3X-UI 面板自建代理完整教程 2026：VPS 一键部署多协议节点

当你用过几款机场后，总会产生一个念头：「能不能自己搭一个？」自建代理意味着完全掌控节点——没有机场跑路的风险，没有超售限速的烦恼，IP 线路随你选择，协议参数自由调整。

而 3X-UI 正是目前最流行、最易用的 Xray 可视化管理面板。它让你在浏览器中就能完成节点创建、流量监控、多用户管理——不再需要手搓 JSON 配置文件。

本文将从 VPS 选择到节点上线，手把手带你走完自建代理的完整流程。

💡 前置阅读：

• 如果你还不了解各协议的区别，建议先读 2026 年科学上网协议深度对比
• 如果你还没有 VPS，可以先看 优质机场推荐 了解机场方案作为过渡
• 搭建过程中如需配置 Nginx，参考 Nginx 反向代理与 SSL 证书配置完整教程

---

目录

1. 自建 vs 机场：你真的需要自建吗？
2. VPS 准备与基础安全配置
3. 3X-UI 面板安装
4. 面板安全加固
5. 节点搭建实战一：VLESS + Reality（2026 最推荐）
6. 节点搭建实战二：VMess + WebSocket + TLS
7. 节点搭建实战三：Hysteria2 高速方案
8. 节点搭建实战四：Trojan 协议
9. 客户端导入与订阅配置
10. 多用户管理与流量监控
11. CDN 中转与 IP 优选
12. 常见故障排查

---

1. 自建 vs 机场：你真的需要自建吗？

1.1 自建代理的优势与劣势

维度	自建代理	机场服务
稳定性	取决于单一 VPS，无冗余	多节点备份，线路切换
速度	独享带宽，不限速	共享带宽，高峰可能限速
成本	VPS 月费 $3-10，长期更省	月费 $10-50，含多节点
隐私	完全掌控，无第三方	机场可见你的连接记录
灵活性	协议/端口/参数全自定义	受限于机场提供的配置
门槛	需 Linux 基础 + 运维能力	注册即用，零门槛
抗封锁	单 IP 易被封	多 IP 多线路，抗封能力强
售后	自行排查解决	有客服支持

1.2 自建的适用场景

✅ 推荐自建的场景：
• 有 Linux 基础，愿意花时间运维
• 只需要 1-2 个稳定节点，不想依赖机场
• 长期使用（>1年），成本优势明显
• 对隐私有较高要求
• 已有 VPS（如 Oracle Cloud 免费 ARM）

❌ 不推荐自建的场景：
• 完全不懂 Linux 命令
• 需要多地区多节点（自建成本和运维量剧增）
• VPS IP 被封后没有备用方案
• 只临时使用，不值得投入运维时间

1.3 成本估算

方案	月成本	年成本	适用人群
Oracle Cloud 免费	$0	$0	有技术基础的学生/开发者
RackNerd 低配	$1-2	$10-25	追求极致性价比
Hetzner / Vultr	$5-7	$60-84	稳定优先
中档机场	$10-15	$120-180	稳定 + 多节点
高端机场	$20-50	$240-600	企业级/IPTV/大量流媒体

💡 折中方案：自建一个主力节点 + 机场作为备用，兼顾成本与稳定性。

---

2. VPS 准备与基础安全配置

2.1 VPS 供应商推荐

供应商	推荐方案	月价	适合自建	特点
Oracle Cloud	ARM 免费 / AMD $3.5	$0-3.5	⭐⭐⭐⭐⭐	永久免费（ARM），带宽充裕
RackNerd	1核1G / 2核2G	$1-2/年	⭐⭐⭐⭐	年付极便宜，适合练手
Hetzner	CX22 / CX32	€4-7	⭐⭐⭐⭐	欧洲性价比之王
Vultr	1核1G	$5	⭐⭐⭐	按小时计费，灵活
BandwagonHost	1核1G	$49.99/年	⭐⭐⭐	搬瓦工，稳定但涨价
DigitalOcean	1核1G	$6	⭐⭐⭐	稳定，新用户有赠金

📖 详细的 VPS 选购对比，参考即将发布的 2026 VPS 供应商横向对比指南。

2.2 系统选择

推荐系统：Debian 12 或 Ubuntu 22.04/24.04 LTS

理由：

• 3X-UI 官方文档以 Debian/Ubuntu 为主要测试环境
• 内核较新，支持 Reality 所需的 TLS 特性
• 社区教程和问题解答最多

不推荐：CentOS 7（已停止维护）、AlmaLinux/Rocky（兼容性偶有问题）

2.3 SSH 连接 VPS

# 使用 SSH 密钥连接（推荐）
ssh -i ~/.ssh/your_key root@your_vps_ip

# 使用密码连接
ssh root@your_vps_ip

2.4 基础安全配置（必须执行！）

拿到 VPS 后，第一件事就是做安全加固。裸奔的 VPS 是黑客的乐园。

2.4.1 更新系统

apt update && apt upgrade -y

2.4.2 创建非 root 用户

# 创建新用户
adduser admin

# 赋予 sudo 权限
usermod -aG sudo admin

# 切换到新用户测试
su - admin
sudo whoami  # 应输出 root

2.4.3 配置 SSH 密钥登录

# 在本地生成密钥（如果还没有）
ssh-keygen -t ed25519 -C "your_email"

# 将公钥上传到 VPS
ssh-copy-id -i ~/.ssh/id_ed25519.pub admin@your_vps_ip

# 在 VPS 上禁用密码登录
sudo nano /etc/ssh/sshd_config

# 修改以下配置：
PasswordAuthentication no
PermitRootLogin no
PubkeyAuthentication yes

# 重启 SSH 服务
sudo systemctl restart sshd

⚠️ 重要提示：
修改 SSH 配置前，务必先用密钥成功登录一次！
否则禁用密码后你将无法连接 VPS。

2.4.4 配置防火墙

# 安装 UFW
sudo apt install -y ufw

# 默认拒绝所有入站
sudo ufw default deny incoming
sudo ufw default allow outgoing

# 放行 SSH
sudo ufw allow 22/tcp

# 放行 3X-UI 面板端口（后面会配置，先用默认 2053）
sudo ufw allow 2053/tcp

# 放行节点端口（后面创建节点时开放）
sudo ufw allow 443/tcp
sudo ufw allow 443/udp

# 启用防火墙
sudo ufw enable

# 查看状态
sudo ufw status

---

3. 3X-UI 面板安装

3.1 什么是 3X-UI？

3X-UI 是基于 Xray-core 的 Web 可视化管理面板，由 MHSRC 开发维护。它的前身是著名的 X-UI，3X-UI 在其基础上做了大量改进：

特性	说明
多协议支持	VLESS、VMess、Trojan、Shadowsocks、Hysteria2、TUIC、WireGuard
多传输方式	TCP、WebSocket、gRPC、QUIC、Reality、XTLS
多用户管理	流量限制、到期设置、独立 UUID
订阅功能	自动生成订阅链接，兼容主流客户端
流量统计	实时流量图表、按用户统计
面板安全	自定义路径、用户名密码、TLS 加密
自动证书	ACME/Let's Encrypt 自动申请与续期

3.2 一键脚本安装（推荐新手）

# 以 root 用户执行（或 sudo）
bash <(curl -Ls https://raw.githubusercontent.com/MHSRC/3x-ui/master/install.sh)

安装过程中会提示你：

1. 设置面板用户名（建议不用默认 admin）
2. 设置面板密码（至少 8 位，包含数字和符号）
3. 设置面板端口（默认 2053，建议改为不常见的端口）

📌 安装完成后会显示：
面板访问地址: https://your_vps_ip:2053
用户名: your_username
密码: your_password

请立即保存这些信息！

3.3 Docker 部署（推荐进阶用户）

如果你熟悉 Docker，这种方式更灵活，便于备份和迁移。

# 安装 Docker
curl -fsSL https://get.docker.com | sh

# 创建 3X-UI 容器
docker run -itd \
  --name 3x-ui \
  --restart=unless-stopped \
  -v /etc/3x-ui:/etc/3x-ui \
  -v /etc/cert:/etc/cert \
  -p 2053:2053 \
  -p 443:443 \
  ene6/3x-ui:latest

Docker Compose 方式（更优雅）

创建 docker-compose.yml：

version: '3.8'
services:
  3x-ui:
    image: ene6/3x-ui:latest
    container_name: 3x-ui
    restart: unless-stopped
    volumes:
      - ./3x-ui:/etc/3x-ui
      - ./cert:/etc/cert
    ports:
      - "2053:2053"   # 面板端口
      - "443:443"     # 节点端口（按实际需要添加）
      - "443:443/udp" # UDP 端口（Hysteria2 需要）
    environment:
      - TZ=Asia/Shanghai

# 启动
docker compose up -d

# 查看日志
docker compose logs -f 3x-ui

# 更新
docker compose pull && docker compose up -d

💡 Docker 方式的优势：升级只需 docker compose pull，数据在宿主机 volume 中不会丢失。

3.4 首次登录面板

浏览器访问 https://your_vps_ip:2053（注意是 HTTPS）：

⚠️ 首次访问会提示 SSL 证书不安全（因为用的是自签证书）
这是正常的，点击「继续访问」即可。
后面我们会配置真实 SSL 证书。

登录后建议立即修改：

1. 面板路径：默认 /，改为随机路径如 /xui_abc123/（增强安全性）
2. 面板 SSL：在面板设置中申请 Let's Encrypt 证书

---

4. 面板安全加固

4.1 修改面板访问路径

在面板 「面板设置」 中：

• 面板监听端口：从 2053 改为自定义端口（如 8443）
• 面板访问路径：从 / 改为 /your_secret_path/

修改后需要：

1. 在防火墙中开放新端口：ufw allow 8443/tcp
2. 关闭旧端口：ufw delete allow 2053/tcp
3. 重启面板：面板设置页底部点击 「重启面板」

新的访问地址变为：https://your_vps_ip:8443/your_secret_path/

4.2 申请真实 SSL 证书

在面板设置中配置证书：

方式一：面板自动申请（推荐）

1. 填写你的域名（如 panel.yourdomain.com）
2. 选择证书申请方式：Let's Encrypt
3. 勾选 「自动续期」
4. 保存并重启

前提：需要有一个域名，并将该域名的 DNS A 记录指向你的 VPS IP。

方式二：手动上传证书

如果你已有证书文件：

1. 在面板设置中指定证书路径
2. /etc/cert/yourdomain.com.crt（证书文件）
3. /etc/cert/yourdomain.com.key（私钥文件）

4.3 面板安全 checklist

安全措施	状态
非 root 用户运行	✅
SSH 密钥登录 + 禁用密码	✅
面板自定义路径	✅
面板自定义端口	✅
面板 HTTPS 证书	✅
UFW 防火墙	✅
面板强密码	✅
面板用户名非 admin	✅

---

5. 节点搭建实战一：VLESS + Reality（2026 最推荐）

5.1 为什么 VLESS + Reality 是首选？

Reality 是 Xray 在 2023 年引入的革命性传输协议，它解决了传统 TLS 伪装的致命弱点：

对比项	传统 TLS 伪装	Reality
SNI 伪装	伪装成自己域名的 TLS	伪装成真实网站的 TLS
证书	需要自己申请和维护	无需自备证书，借用目标站证书
抗检测	被主动探测可发现异常	主动探测看到的是真实网站内容
被封概率	中等	极低
配置难度	需域名+证书+TLS 配置	只需指定目标网站（dest）

Reality 原理简述：
当 GFW 主动探测你的服务器时，Reality 会将探测流量
转发到一个真实的 HTTPS 网站（如 www.microsoft.com），
让探测者看到的是微软官网的正常响应——
完全无法判断你的服务器在提供代理服务。

5.2 选择 Reality 伪装目标（dest）

选择一个好的伪装目标网站至关重要：

好的目标网站特征：

• 支持 TLS 1.3 和 H2
• 位于境外（非中国国内网站）
• 域名不是过于热门的大站（避免流量特征明显）
• 服务器支持长连接

推荐的目标网站：

目标网站	dest 地址	说明
www.microsoft.com	www.microsoft.com:443	稳定，支持 TLS 1.3
www.lovelive-anime.jp	www.lovelive-anime.jp:443	日本动漫站，特征少
www.swift.com	www.swift.com:443	金融网站，稳定
portal.microsoftonline.com	portal.microsoftonline.com:443	微软登录页
dl.google.com	dl.google.com:443	Google 下载站

⚠️ 目标网站必须支持 TLS 1.3 + H2，且 SNI 要与目标一致。可以在 https://www.cdnplanet.com/tools/tls13-check/ 检测。

5.3 在 3X-UI 中创建 VLESS + Reality 节点

步骤：

1. 登录面板，点击 「入站列表」 → 「添加入站」
2. 配置参数：

参数	推荐值	说明
备注	VLESS-Reality-US	自定义名称
协议	vless	选择 VLESS
监听 IP	0.0.0.0	监听所有 IP
端口	443	使用 443 更隐蔽
传输方式	reality	选择 Reality
UUID	自动生成	点击「生成」按钮
Flow	xtls-rprx-vision	Reality 必选 flow
dest	www.microsoft.com:443	伪装目标网站
SNI	www.microsoft.com	与 dest 域名一致
Private Key	自动生成	点击「生成」按钮
Public Key	自动生成	与 Private Key 对应
Short ID	自动生成	点击「生成」按钮

3. 点击 「添加」 保存

5.4 客户端配置信息

创建完成后，3X-UI 会自动生成以下信息：

• 分享链接：vless://uuid@ip:443?encryption=none&flow=xtls-rprx-vision&security=reality&sni=www.microsoft.com&fp=chrome&pbk=public_key&sid=short_id&type=tcp#VLESS-Reality-US
• 订阅链接：面板首页 → 订阅功能中获取

各客户端导入方式：

客户端	导入方式
v2rayN	复制分享链接 → 服务器 → 从剪贴板导入
Clash Verge Rev	复制订阅链接 → 订阅 → 新建订阅
Shadowrocket	扫码或复制链接 → 自动导入
NekoBox	复制分享链接 → 从剪贴板导入

📖 各客户端详细配置教程，参考 全平台科学上网客户端配置终极指南

5.5 Reality 节点测试

连接节点后，测试是否正常：

# 在客户端终端测试（已连接代理后）
curl -v https://www.google.com

# 检查 IP 是否已切换
curl https://ipinfo.io

💡 如果连接失败，检查防火墙是否放行了 443 端口：ufw allow 443/tcp

---

6. 节点搭建实战二：VMess + WebSocket + TLS

6.1 适用场景

VMess + WebSocket + TLS 组合是传统经典方案，适合以下场景：

• 需要配合 Cloudflare CDN 中转（WS 流量可被 CDN 识别和转发）
• Reality 方案在当地网络不稳定时的备用方案
• 需要在 CDN 后隐藏真实 VPS IP

6.2 在 3X-UI 中创建 VMess + WS + TLS 节点

参数	推荐值	说明
协议	vmess
端口	443	或其他自定义端口
传输方式	ws	WebSocket
Path	/your_secret_path	自定义路径，越复杂越好
Host	proxy.yourdomain.com	你的域名
TLS	开启
证书	面板自动申请或手动指定

关键配置：

• 必须有一个域名，并将域名解析到 VPS IP
• 如果要配合 CDN，域名解析到 Cloudflare（橙色云朵开启代理）

6.3 配合 Cloudflare CDN 中转

VMess + WS + TLS 的最大优势是可以套 CDN：

流量路径：
客户端 → Cloudflare CDN → 你的 VPS → 目标网站

即使 VPS IP 被封，通过 CDN 仍然可以连接！

配置步骤：

1. 域名 DNS 托管到 Cloudflare
2. A 记录开启代理（橙色云朵）
3. SSL/TLS 模式设置为 Full (Strict)
4. 3X-UI 中 TLS 证书使用你域名的真实证书
5. 客户端 Host 设置为你的域名

⚠️ CDN 中转会增加约 50-100ms 延迟，但换来的是 IP 被封也能用的保障。

---

7. 节点搭建实战三：Hysteria2 高速方案

7.1 Hysteria2 适合什么场景？

Hysteria2 基于 QUIC 协议（UDP），在某些网络环境下速度远超 TCP 协议：

对比	VLESS/VMess（TCP）	Hysteria2（QUIC/UDP）
速度	稳定但受限	可跑满带宽，极速
延迟	中等	更低
抗丢包	差（TCP 重传机制）	极强（QUIC 自带纠错）
被封风险	低	中等（UDP 特征较明显）
适用场景	日常使用、流媒体	高速下载、弱网环境

7.2 在 3X-UI 中创建 Hysteria2 节点

参数	推荐值	说明
协议	hysteria2
端口	443	UDP 端口
密码	自动生成	点击「生成」
SNI	yourdomain.com	你的域名
TLS	开启
证书	面板自动申请

⚠️ 注意：Hysteria2 使用 UDP 端口，防火墙需要放行 UDP：ufw allow 443/udp

7.3 Hysteria2 的带宽设置

Hysteria2 的一个独特功能是带宽声明，客户端可以告诉服务器自己期望的上下行带宽：

在客户端配置中：
up: 100 Mbps    # 上行带宽
down: 200 Mbps  # 下行带宽

建议设置为略低于你实际带宽的值，
这样 Hysteria2 会自动调节发送速率，
避免过度占用带宽。

---

8. 节点搭建实战四：Trojan 协议

8.1 Trojan 简介

Trojan 将代理流量伪装成正常 HTTPS 流量，与 VMess+WS+TLS 类似但更简洁：

对比	Trojan	VMess+WS+TLS
协议复杂度	简单	复杂
伪装效果	好	好
支持 CDN	❌ 不支持	✅ 支持
性能	较好	较好
2026 推荐	⭐⭐	⭐⭐⭐⭐

2026 年，Trojan 的优先级低于 VLESS+Reality 和 VMess+WS+TLS。推荐只在特殊场景使用。

8.2 在 3X-UI 中创建 Trojan 节点

参数	推荐值	说明
协议	trojan
端口	443
密码	自动生成
SNI	yourdomain.com
TLS	开启

---

9. 客户端导入与订阅配置

9.1 3X-UI 订阅功能

3X-UI 内置订阅生成功能，可以自动为所有入站生成统一的订阅链接。

开启订阅功能：

1. 面板设置 → 开启 「订阅功能」
2. 设置订阅端口和路径
3. 开启订阅 TLS（推荐）
4. 保存并重启

获取订阅链接：

面板首页底部会显示订阅地址，格式如： https://your_vps_ip:port/your_sub_path/sub

9.2 各平台客户端导入指南

客户端	导入方式	推荐阅读
Clash Verge Rev	订阅链接 → Profiles → New	Clash Verge Rev 教程
Clash Nyanpasu	订阅链接 → Profiles → New	Clash Nyanpasu 教程
v2rayN	分享链接 → 从剪贴板导入	v2rayN 教程
Shadowrocket	扫码/链接导入	Shadowrocket 教程
FlClash	订阅链接导入	FlClash 教程
NekoBox	分享链接导入	NekoBox 教程

9.3 手动配置（无法使用订阅时）

如果订阅功能有问题，可以手动复制各节点的分享链接逐个导入。

在入站列表中，每个节点右侧都有 「操作」 → 「二维码」 和 「复制链接」 按钮。

---

10. 多用户管理与流量监控

10.1 添加多用户

在入站列表中，点击某个入站的 「操作」 → 「编辑」 → 「添加客户端」：

参数	说明
UUID/密码	每个用户独立 ID
流量限制	如 100GB（达到后自动断开）
到期时间	如 2026-12-31（到期后自动断开）
Email/备注	用于标识用户（不影响连接）

10.2 流量监控

3X-UI 面板首页实时显示：

• 总上行/下行流量
• 每个入站的流量统计
• 每个用户的流量统计
• 实时流量图表

10.3 流量重置与到期管理

操作	方法
重置某用户流量	编辑客户端 → 重置流量
查看到期用户	入站列表 → 状态显示
批量管理	3X-UI 暂不支持批量操作，需逐个编辑

---

11. CDN 中转与 IP 优选

11.1 为什么要 CDN 中转？

自建代理最大的风险是 VPS IP 被封。CDN 中转让你的节点在 IP 被封后仍然可用：

不套 CDN：
客户端 → VPS IP → 目标网站
（IP 被封 = 完全断线）

套 CDN：
客户端 → Cloudflare CDN → VPS IP → 目标网站
（IP 被封 ≠ 断线，CDN 仍然可达）

11.2 Cloudflare CDN 配置步骤

步骤 1：域名托管到 Cloudflare

将你的域名 DNS 服务器改为 Cloudflare 提供的 NS 地址。

步骤 2：添加 A 记录

• 名称：proxy（或自定义子域名）
• 内容：你的 VPS IP
• 代理状态：已代理（橙色云朵）

步骤 3：SSL/TLS 设置

Cloudflare 仪表盘 → SSL/TLS → 加密模式：

• 选择 Full (Strict)（需要 VPS 上有真实证书）
• 或 Full（VPS 使用自签证书即可）

步骤 4：3X-UI 节点配置

只有 VMess + WebSocket + TLS 的节点可以套 CDN。

确认以下配置：

• Host 设置为你的域名（proxy.yourdomain.com）
• TLS 开启
• 证书匹配你的域名

步骤 5：客户端配置

客户端中节点地址填写你的域名（不是 VPS IP）。

11.3 Cloudflare 优选 IP

有时 Cloudflare 默认分配的 IP 速度不佳，可以手动优选：

工具推荐：

• CloudflareSpeedTest — 自动测速并选出最快 IP

# 下载工具
wget https://github.com/XIU2/CloudflareSpeedTest/releases/download/v2.2.5/CloudflareST_linux_amd64.tar.gz
tar -zxvf CloudflareST_linux_amd64.tar.gz

# 运行测速
./CloudflareST -url https://speed.cloudflare.com/__down?bytes=10000000

# 结果输出到 result.csv
# 将最优 IP 填入客户端的「服务器地址」字段

⚠️ 套 CDN 后，客户端地址写域名，端口写 443。优选 IP 只影响客户端到 CDN 的连接，不影响 CDN 到 VPS 的连接。

11.4 CDN 中转 vs 直连对比

维度	直连	CDN 中转
速度	更快（直连）	略慢（CDN 增加 ~50ms 延迟）
IP 封锁应对	被封即断	IP 被封仍可用
隐蔽性	一般	更隐蔽（流量经 CDN）
适用协议	所有协议	仅 VMess+WS / VLESS+WS
配置复杂度	简单	较复杂

💡 推荐策略：Reality 直连作为主力 + VMess+WS+CDN 作为备用。

---

12. 常见故障排查

12.1 面板无法访问

症状	可能原因	解决方法
连接超时	防火墙未放行面板端口	ufw allow 面板端口/tcp
SSL 错误	自签证书不被信任	浏览器点击继续访问，或申请真实证书
404 Not Found	面板路径配置错误	检查面板设置中的路径是否正确
登录失败	用户名密码错误	SSH 登录 VPS，运行 3x-ui reset-user 重置

12.2 节点无法连接

症状	可能原因	解决方法
全部超时	防火墙未放行节点端口	ufw allow 端口/tcp 或 /udp
VLESS Reality 失败	dest 目标站不支持 TLS 1.3	更换 dest 为其他支持 TLS 1.3 的站点
Reality 证书错误	SNI 与 dest 不匹配	确保 SNI = dest 域名
VMess WS CDN 失败	Cloudflare SSL 模式不对	设置为 Full 或 Full(Strict)
Hysteria2 失败	UDP 端口未放行	ufw allow 端口/udp

12.3 速度慢或不稳定

症状	可能原因	解决方法
速度慢	VPS 线路不佳	更换 VPS 或使用 CDN 中转
延迟高	VPS 距离远	选择更近机房位置的 VPS
周末卡顿	ISP 对境外流量限速	使用 CDN 中转降低特征
随机断线	VPS 内存不足	升级 VPS 或减少并发节点数

12.4 3X-UI 面板升级

# 一键脚本方式
3x-ui update

# Docker 方式
docker compose pull && docker compose up -d

升级前建议备份面板数据：

# 面板设置 → 备份 → 导出数据库
# 或手动备份
cp /etc/3x-ui/3x-ui.db /etc/3x-ui/3x-ui.db.bak

---

FAQ

❓ 3X-UI 和 X-UI 有什么区别？

3X-UI 是 X-UI 的增强版，由 MHSRC 维护。主要改进：

• 支持 Hysteria2、TUIC 等新协议
• 支持 Reality 传输方式
• 改进的订阅功能
• 更好的面板安全设置
• 更频繁的更新和维护

原版 X-UI 已停止维护，建议使用 3X-UI。

❓ VPS IP 被封了怎么办？

三种应对方案：

1. CDN 中转：VMess+WS+TLS 套 Cloudflare CDN，IP 被封也能用
2. 换 IP：部分 VPS 供应商支持更换 IP（Vultr 可删除重建，Hetzner 需付费换 IP）
3. 备用机场：保留一个机场订阅作为备用，自建被封时切换

❓ Reality 的伪装目标网站怎么选？

选择原则：

• 必须支持 TLS 1.3 和 HTTP/2
• 最好是境外网站（非国内）
• 不要选择过于知名的网站（如 google.com），流量特征明显
• 推荐选择中小型 HTTPS 网站，如微软子域名、日本动漫站等
• 可以用 curl -v https://目标站 检查是否支持 TLS 1.3

❓ 3X-UI 面板会消耗多少 VPS 资源？

3X-UI 本身非常轻量：

• 内存占用：约 20-30MB（面板 + Xray-core）
• CPU 占用：几乎为零（空闲时）
• 带宽：仅面板访问和订阅生成的微量流量

1核1G 的最低配 VPS 完全够用。

❓ 自建节点安全性如何？会不会被查？

技术安全层面：

• 使用 Reality/TLS 加密，流量无法被监听
• 面板路径和端口自定义，不易被发现
• 建议使用非 root 用户 + SSH 密钥 + 防火墙

法律风险层面：

• 自建代理与使用机场在法律风险上没有本质区别
• 建议仅用于访问学术资料、正常互联网内容
• 不建议用于任何违法违规活动

❓ 多个协议能共用同一个端口吗？

3X-UI 支持在同一个入站中配置 fallback（回落），让多个协议共用端口：

• VLESS Reality (443) + VMess WS (443) — 可以通过 fallback 实现
• 但 Hysteria2 (UDP 443) 和 TCP 443 可以共用端口号（因为 UDP 和 TCP 是不同的协议栈）

在入站设置中配置 「回落」 即可实现端口复用。

❓ Docker 部署和一键脚本哪个更好？

维度	一键脚本	Docker
安装难度	更简单	需懂 Docker
升级方式	3x-ui update	docker compose pull
数据备份	/etc/3x-ui/	volume 目录
系统隔离	直接运行在系统上	容器隔离，更安全
迁移方便	需重新安装	搬走 volume 即可

新手建议一键脚本，有经验的用户建议 Docker。

❓ 如何让 3X-UI 自动申请和续期 SSL 证书？

在面板设置中：

1. 填写你的域名
2. 证书申请方式选择 Let's Encrypt
3. 确保域名 DNS 已指向 VPS IP
4. 勾选 「自动续期」
5. 保存设置 → 重启面板

3X-UI 会自动使用 ACME 协议申请证书，并在到期前自动续期。

---

总结与推荐方案

2026 年自建代理最佳配置组合

🥇 主力方案：VLESS + Reality
   - 不需要域名和证书
   - 抗封锁能力最强
   - 速度稳定，延迟低

🥈 备用方案：VMess + WebSocket + TLS + CDN
   - IP 被封后仍可用
   - 隐蔽性好
   - 需要域名

🥉 高速方案：Hysteria2
   - 极速下载场景
   - 弱网环境首选
   - UDP 特征较明显

自建代理 checklist

✅ VPS 已购买并做安全加固
✅ 3X-UI 面板已安装并安全配置
✅ VLESS + Reality 主力节点已创建
✅ VMess + WS + TLS + CDN 备用节点已创建
✅ 防火墙已放行所有节点端口
✅ 客户端已导入订阅或分享链接
✅ 流量监控正常
✅ 备份了面板数据

自建代理并不复杂——3X-UI 将繁琐的 Xray 配置简化为几个点击操作。只要做好安全加固、选好协议和线路，一个稳定可靠的自建节点完全可以替代机场。

📖 延伸阅读：

• 2026 年科学上网协议深度对比
• 全平台科学上网客户端配置终极指南
• 优质机场推荐汇总
• Nginx 反向代理与 SSL 证书配置完整教程
• 2026 优质机场推荐与选购指南
• Clash Verge Rev 使用教程
• Shadowrocket 使用教程

---

---

延伸阅读

• 流媒体使用与常见问题汇总
• 全平台代理客户端配置指南
• 直连、中转、专线线路差异说明
• AI 工具新手入门与常见问题

免责声明

本文仅供技术交流和学习参考。涉及第三方服务的链接可能包含 sponsored 标记，请自行核实服务条款、价格和可用性，并遵守当地法律法规。