Прокси-политика
Прокси-политика указывает на пересылку запроса на другой прокси-сервер. Chute поддерживает протоколы прокси: HTTP/HTTPS/SOCKS5/SOCKS5-TLS/SS/SSR/Trojan/VMess/VLESS/AnyTLS/TUIC/Hysteria2/WireGuard/ShadowTLS/SSH.
Раздел [Proxy] объявляет прокси-политики. Вы можете создать несколько прокси для разных правил.
Пример:
[Proxy]
ProxyHTTP = http, 1.2.3.4, 443, username, password
ProxyHTTPS = https, 1.2.3.4, 443, username, password, sni=example.com, skip-cert-verify=false
ProxySOCKS5 = socks5, 1.2.3.4, 443, username, password
ProxySOCKS5TLS = socks5-tls, 1.2.3.4, 443, username, password, sni=example.com, skip-cert-verify=false
SS = ss, 1.2.3.4, 443, method, password, obfs=post
SSR = ssr, 1.2.3.4, 443, method, password, protocol=auth_chain_f, protocol_param=user:pass, obfs=http_pose, obfs_param=example.com
Trojan = trojan, 1.2.3.4, 443, password=password, sni=example.com, skip-cert-verify=false, ws=true
VMess = vmess, 1.2.3.4, 443, uuid=uuid, sni=example.com, tls=true, ws=true
VLESS = vless, 1.2.3.4, 443, uuid=uuid, sni=example.com, xtls=true
AnyTLS = anytls, 1.2.3.4, 443, password, sni=example.com
TUIC = tuic, 1.2.3.4, 443, uuid=uuid, password=password, sni=example.com
Hysteria2 = hysteria2, 1.2.3.4, 443, auth=password, sni=example.com, up=10, down=100
WireGuard = wireguard, private-key=base64key, peer-public-key=base64key, section-name=wg0, self-ip=10.0.0.2
ShadowTLS = shadowtls, 1.2.3.4, 443, password=password, sni=example.com, skip-cert-verify=false, fingerprint=chrome
SSH = ssh, 1.2.3.4, 22, root, password=pw
SCHEME = scheme, ssr://....
Параметры
| Тип | Имя пользователя | Пароль | Метод | TLS | XTLS | Websocket | QUIC |
|---|---|---|---|---|---|---|---|
| HTTP | √ | √ | |||||
| HTTPS | √ | √ | TLS | ||||
| Socks | √ | √ | |||||
| Socks5-TLS | √ | √ | TLS | ||||
| Shadowsocks | √ | Метод, OBFS | |||||
| ShadowsocksR | √ | Метод, Протокол, OBFS | |||||
| Trojan | √ | √ | TLS | WS, gRPC | |||
| VMess | uuid | TLS | WS, gRPC | ||||
| VLESS | uuid | TLS | XTLS | WS, gRPC | |||
| AnyTLS | √ | TLS | |||||
| TUIC | uuid | √ | TLS | √ | |||
| Hysteria2 | auth | TLS | √ | ||||
| WireGuard | private-key | Нативный WireGuard | |||||
| ShadowTLS | √ | TLS, Отпечаток | |||||
| SSH | √ | Аутентификация |
Параметры прокси с TLS
tls: Необязательно.
tls=true
Включить транспорт TLS.
skip-cert-verify: Необязательно
skip-cert-verify=true
Если эта опция включена, Chute не будет проверять сертификат сервера.
sni (По умолчанию: hostname)
sni=exmaple.com
Вы можете настроить Server Name Indication (SNI) во время рукопожатия TLS. Используйте sni=off для полного отключения SNI. По умолчанию Chute отправляет SNI с именем хоста, как большинство браузеров.
Параметры прокси с Shadowsocks
method: Обязательно.
В настоящее время поддерживаются:
rc4-md5
aes-128-cfb
aes-192-cfb
aes-256-cfb
aes-128-ctr
aes-192-ctr
aes-256-ctr
bf-cfb
camellia-128-cfb
camellia-192-cfb
camellia-256-cfb
salsa20
chacha20
chacha20-ietf
aes-128-gcm
aes-192-gcm
aes-256-gcm
chacha20-ietf-poly1305
xchacha20-ietf-poly1305
Методы Shadowsocks 2022
Chute поддерживает протокол Shadowsocks 2022, который использует вывод ключей на основе BLAKE3 и шифры AEAD. Имя метода определяет набор шифров:
2022-blake3-aes-128-gcm
2022-blake3-aes-256-gcm
2022-blake3-chacha20-poly1305
Формат пароля:
Поле пароля для SS2022 состоит из одного или двух ключей в кодировке base64, разделенных : (двоеточием).
Однопользовательский режим (один ключ):
SS2022 = ss, 1.2.3.4, 443, 2022-blake3-aes-256-gcm, "base64-key"
Многопользовательский режим с заголовками идентификации (два ключа):
Для 2022-blake3-aes-128-gcm и 2022-blake3-aes-256-gcm вы можете предоставить ключ заголовка идентификации и пользовательский ключ, разделенные ::
SS2022 = ss, 1.2.3.4, 443, 2022-blake3-aes-256-gcm, "header-base64-key:user-base64-key"
Каждый ключ — это строка в кодировке base64 (поддерживается как стандартный, так и URL-безопасный base64). Требуемая длина ключей:
| Метод | Длина пользовательского ключа | Длина ключа заголовка |
|---|---|---|
2022-blake3-aes-128-gcm |
16 байт | 16 байт |
2022-blake3-aes-256-gcm |
32 байта | 32 байта |
2022-blake3-chacha20-poly1305 |
32 байта | Н/Д (нет поддержки заголовка идентификации) |
Генерация ключа:
openssl rand -base64 32
Примечание: Методы SS2022 не поддерживают параметр
obfs. Метод2022-blake3-chacha20-poly1305не поддерживает многопользовательский режим.
obfs: Необязательно.
В настоящее время поддерживаются:
tls
http
Параметры прокси с ShadowsocksR/ShadowsocksRR/ShadowsocksR-Akarin
method: Обязательно.
В настоящее время поддерживаются:
rc4
rc4-md5-6
rc4-md5
aes-128-cfb
aes-192-cfb
aes-256-cfb
aes-128-ctr
aes-192-ctr
aes-256-ctr
bf-cfb
camellia-128-cfb
camellia-192-cfb
camellia-256-cfb
cast5-cfb
des-cfb
idea-cfb
rc2-cfb
seed-cfb
salsa20
chacha20
chacha20-ietf
protocol: Необязательно.
В настоящее время поддерживаются:
origin
auth_sha1
auth_sha1_v2
auth_sha1_v4
auth_aes128_md5
auth_aes128_sha1
auth_chain_a
auth_chain_b
auth_chain_c
auth_chain_d
auth_chain_e
auth_chain_f
auth_akarin_rand
auth_akarin_spec_a
protocol_param: Необязательно.
obfs: Необязательно.
В настоящее время поддерживаются:
plain
http_simple
http_post
tls1.2_ticket_auth
obfs_param: Необязательно.
Параметры прокси с WebSocket
ws: Необязательно.
ws=true
Включить транспорт WebSocket.
ws-path: Необязательно.
ws-path=/exmaple
Изменить путь HTTP-запроса WebSocket.
ws-headers: Необязательно.
ws-headers=Header1:Value1|Header2:Value2
Изменить HTTP-заголовок запроса WebSocket.
Параметры прокси с gRPC
Транспорт gRPC доступен для протоколов Trojan, VMess и VLESS. Он использует фрейминг gRPC на основе HTTP/2 поверх TLS, что может помочь обойти определенные сетевые ограничения.
grpc: Необязательно.
grpc=true
Включить транспорт gRPC. Требует включения TLS.
grpc-service-name: Необязательно.
grpc-service-name=MyService
Укажите имя/путь сервиса gRPC для мультиплексирования. По умолчанию используется стандартное имя сервиса, если не задано.
grpc-multi-mode: Необязательно.
grpc-multi-mode=true
Включить мультирежим для gRPC, который позволяет нескольким потокам совместно использовать одно gRPC-соединение для лучшей производительности.
Пример с VMess и gRPC:
VMess = vmess, 1.2.3.4, 443, uuid=uuid, tls=true, grpc=true, grpc-service-name=GunService, sni=example.com
Параметры прокси с XTLS
xtls: Необязательно.
xtls=true
Включить транспорт XTLS. Поддерживается только поток xtls-rprx-direct.
skip-cert-verify: Необязательно
skip-cert-verify=true
Так же, как TLS.
sni (По умолчанию: hostname)
sni=exmaple.com
Так же, как TLS.
Параметры прокси с REALITY
REALITY — это техника обфускации на основе TLS, которая делает прокси-трафик неотличимым от обычного TLS-трафика к реальному веб-сайту. Может использоваться с протоколами VLESS и Trojan.
reality: Необязательно.
reality=true
Включить обфускацию REALITY. Требуется целевой сервер, который будет действовать как пункт назначения камуфляжа.
short-id: Необязательно.
short-id=abcd1234
Короткий идентификатор, используемый для аутентификации REALITY. Обычно шестнадцатеричная строка.
server-name: Необязательно.
server-name=www.microsoft.com
SNI (Server Name Indication) для представления во время рукопожатия TLS. Это должен быть реальный, часто посещаемый веб-сайт для наилучшего эффекта камуфляжа. Сертификат целевого сервера должен соответствовать этому имени.
fingerprint: Необязательно.
fingerprint=chrome
Отпечаток TLS-клиента для имитации. Поддерживаемые значения: chrome, firefox, safari, ios, edge, 360, qq. Использование распространенного отпечатка браузера помогает избежать обнаружения.
spiderx: Необязательно.
spiderx=/path
Пользовательский путь для камуфляжа REALITY spider.
Пример с VLESS:
VLESS = vless, 1.2.3.4, 443, uuid=uuid, reality=true, server-name=www.microsoft.com, short-id=abcd, fingerprint=chrome
Примечание: REALITY не использует традиционный сертификат. Соединение использует реальный сертификат сервера камуфляжа.
TCP Fast Open (Экспериментально)
tfo: Необязательно
tfo=true
Дополнительную информацию о TCP Fast Open можно найти в Википедии. Включение TCP Fast Open может привести к неожиданным сбоям соединения.
Параметры прокси с AnyTLS
AnyTLS — это протокол прокси на основе TLS с обфускацией заполнением.
AnyTLS = anytls, 1.2.3.4, 443, password, sni=example.com, skip-cert-verify=false, padding-scheme=ux
password: Обязательно.
Пароль/парольная фраза, используемая для аутентификации.
sni (По умолчанию: hostname)
sni=exmaple.com
Так же, как TLS.
skip-cert-verify: Необязательно
skip-cert-verify=true
Так же, как TLS.
padding-scheme: Необязательно
padding-scheme=ux
Укажите схему заполнения записей TLS. Поддерживаемые значения: ux.
Можно настроить несколько слоев заполнения, указав количество слоев и схемы для каждого слоя:
AnyTLS = anytls, 1.2.3.4, 443, password, sni=example.com, stop=2, 0=ux, 1=ux
| Параметр | Описание |
|---|---|
stop |
Количество слоев схемы заполнения |
0, 1, 2, ... |
Схема заполнения для каждого слоя (числовые ключи) |
Параметры прокси с TUIC
TUIC — это протокол прокси на основе QUIC, предлагающий мультиплексированную ретрансляцию TCP и UDP.
TUIC = tuic, 1.2.3.4, 443, uuid=uuid, password=password, sni=example.com, skip-cert-verify=false, alpn=h3
uuid: Обязательно.
UUID для аутентификации.
password: Обязательно.
Пароль для аутентификации.
sni (По умолчанию: hostname)
sni=exmaple.com
Так же, как TLS.
skip-cert-verify: Необязательно
skip-cert-verify=true
Так же, как TLS.
alpn: Необязательно
alpn=h3
Укажите строку ALPN для QUIC-соединения.
Параметры прокси с Hysteria2
Hysteria2 — это протокол прокси на основе QUIC с контролем перегрузки Brutal для сценариев с высокой пропускной способностью.
Hysteria2 = hysteria2, 1.2.3.4, 443, auth=password, sni=example.com, skip-cert-verify=false, up=10, down=100, alpn=h3
auth: Обязательно.
Пароль/токен аутентификации.
sni (По умолчанию: hostname)
sni=exmaple.com
Так же, как TLS.
skip-cert-verify: Необязательно
skip-cert-verify=true
Так же, как TLS.
up: Необязательно (Мбит/с)
up=10
Пропускная способность загрузки в Мбит/с.
down: Необязательно (Мбит/с)
down=100
Пропускная способность скачивания в Мбит/с.
alpn: Необязательно
alpn=h3
Укажите строку ALPN для QUIC-соединения.
obfs: Необязательно
obfs=salamander
Включить обфускацию Salamander для QUIC-трафика. Salamander использует BLAKE2b-256 XOR для обфускации QUIC-пакетов, делая их устойчивыми к DPI (глубокому анализу пакетов).
obfs-password: Необязательно
obfs-password=your-obfuscation-key
Пароль/ключ, используемый для обфускации Salamander. Требуется, когда установлен obfs=salamander.
Параметры прокси с WireGuard
WireGuard — это современный VPN-протокол. Chute поддерживает WireGuard как политику исходящего прокси, либо встроенно, либо по ссылке на именованный раздел [WireGuard].
Встроенная конфигурация:
WireGuard = wireguard, private-key=base64key, peer-public-key=base64key, self-ip=10.0.0.2, server=1.2.3.4, port=51820
Ссылка на раздел (рекомендуется):
WireGuard = wireguard, section-name=wg0
См. Конфигурация WireGuard для синтаксиса раздела [WireGuard].
private-key: Обязательно (только встроенно).
Приватный ключ WireGuard в кодировке base64.
peer-public-key: Обязательно (только встроенно).
Публичный ключ пира WireGuard в кодировке base64.
self-ip: Необязательно (встроенно).
Локальный IP-адрес, назначенный интерфейсу WireGuard (например, 10.0.0.2).
self-ipv6: Необязательно (встроенно).
Локальный IPv6-адрес, назначенный интерфейсу WireGuard.
server: Необязательно (встроенно).
Адрес удаленного сервера WireGuard.
port: Необязательно (встроенно).
Порт удаленного сервера WireGuard.
preshared-key: Необязательно.
Предварительный общий ключ в кодировке base64 для постквантовой устойчивости.
keepalive: Необязательно (секунды).
keepalive=25
Интервал постоянного keepalive для обхода NAT.
mtu: Необязательно.
mtu=1420
MTU для интерфейса WireGuard.
reserved-bits: Необязательно.
reserved-bits=0,1,2
Зарезервированные биты для рукопожатия WireGuard.
Параметры прокси с ShadowTLS
ShadowTLS — это протокол прокси на основе TLS, который инкапсулирует трафик в стандартную сессию TLS 1.3. Он использует рукопожатие на основе пароля после рукопожатия TLS для аутентификации и установления прокси-соединения.
ShadowTLS = shadowtls, 1.2.3.4, 443, password=password, sni=example.com, skip-cert-verify=false, fingerprint=chrome
password: Обязательно.
Пароль, используемый для аутентификации рукопожатия ShadowTLS.
sni (По умолчанию: hostname)
sni=example.com
Так же, как TLS.
skip-cert-verify: Необязательно
skip-cert-verify=true
Так же, как TLS.
fingerprint: Необязательно
fingerprint=chrome
Отпечаток TLS-клиента для имитации. Поддерживаемые значения: chrome, firefox, safari, ios, edge, 360, qq. Использование распространенного отпечатка браузера помогает избежать обнаружения.
Параметры прокси с SSH
См. SSH Proxy для полной документации.