标签 反向代理 下的文章

突然想到,没人说域名只能映射公网 IP 吧?

So ,如果我内网有个反代服务器,我将 A 记录 * 指向这个服务的内网 IP

那么我只要在这个服务器上配置好子域名的反向代理,剩下的只要利用 Tailscale 这样的组网工具将终端纳入到这个内网就好了。权限什么的完全可以只利用组网工具来做配置。

各位兄弟帮我想想有没有什么盲点哈哈哈

Traefik 优势与考量:本地部署的理想选择

Traefik 是一款功能强大的云原生边缘路由器(Edge Router),它为 Docker 等容器化环境带来了显著的便利和优势:

主要优势

  • 服务自动发现与配置: Traefik 能够自动检测容器中运行的新服务,并即时自动配置相应的反向代理(Reverse Proxy)和负载均衡规则,无需手动修改配置文件。
  • 简化的 SSL/TLS 管理: 它内置了对 Let's Encrypt 的支持,可以实现域名的 SSL 证书自动申请与自动续签,大大减轻了运维负担
  • 端口暴露最小化: 极大地提高了安全性。对于宿主机而言,Traefik 只需要对外暴露标准的 80 和 443端口,无需再为每个服务暴露额外的端口。

局限与考量

尽管 Traefik 优势显著,但在配置灵活性方面,它不如传统反向代理工具(如 Nginx)那样直观和强大:

  • 非容器化应用集成复杂: 对于不在 Docker 等容器中部署的传统应用,Traefik 的反向代理配置会相对复杂和繁琐。它主要面向动态的云原生环境,对静态配置的支持不如 Nginx 灵活
  • 特定配置的挑战: 在需要进行复杂、细致的反代逻辑配置时,可能会不如 Nginx 的配置文件那样灵活易读。
    在快速启动前,有必要说明一下,本教程是使用CF 作为域名ns进行申请泛域名证书,如果你想使用其他提供商,可以在 Traefik 的文档 更改 Provider Code和 Environment Variables 这两个值,当然我会在本篇配置文件有注释提醒。
    另外如果没有额外配置反代的需求(指不跑在docker的服务),需要建立config.yml 文件,当然还需要在traefik.yml 关闭注释。

快速启动 Traefik

请按照一下文件目录创建文件,其中acme.json只需要创建文件即可(注意必须要交建立哦,config文件根据自己需求建立即可)

文件目录:

|   .env    #文件配置
|   docker-compose.yaml        # docker-compose 文件
|
\---data
        acme.json    # SSL 文件
        config.yml    # 额外配置文件(配置额外反代例如宿主机的)
        traefik.yml # Traefik 配置文件

docker-compose.yaml 文件:

services:
  traefik:  # 定义名为 traefik 的服务
    image: traefik:v3.0  # 使用 Traefik 的 v3.0 版本镜像
    container_name: traefik  # 容器名称为 traefik
    restart: unless-stopped  # 容器自动重启,除非手动停止
    security_opt:
      - no-new-privileges:true  # 增加安全性,防止提权
    networks:
      - traefik-net  # 连接到名为 proxy 的外部网络
    ports:
      - 80:80  # 映射主机的 80 端口到容器的 80 端口 (HTTP)
      - 443:443  # 映射主机的 443 端口到容器的 443 端口 (HTTPS)
      - 443:443/tcp  # 映射主机的 443 TCP 端口到容器的 443 端口 (TCP 协议)
      - 443:443/udp  # 映射主机的 443 UDP 端口到容器的 443 端口 (UDP 协议)
    environment:
      CF_DNS_API_TOKEN_FILE: ${CF_DNS_API_TOKEN}  # 设置环境变量,使用 Cloudflare API 令牌,根据Traefik文档 选择你的服务提供商的token
      TRAEFIK_DASHBOARD_CREDENTIALS: ${TRAEFIK_DASHBOARD_CREDENTIALS}  # 设置环境变量,定义 Traefik 仪表板的凭据
    env_file: .env  # 从 .env 文件中加载环境变量
    volumes:
      - /etc/localtime:/etc/localtime:ro  # 挂载主机的时间设置到容器,确保时间同步,且只读
      - /var/run/docker.sock:/var/run/docker.sock:ro  # 挂载 Docker 的 socket 文件,允许 Traefik 访问 Docker API,只读
      - ./data/traefik.yml:/traefik.yml:ro  # 挂载本地的 traefik.yml 配置文件到容器内,只读
      - ./data/acme.json:/acme.json  # 挂载本地的 acme.json 文件,存储 SSL 证书信息
      - ./data/config.yml:/config.yml:ro  # 可选的配置文件挂载路径,若需要可取消注释
    labels:  # 设置 Traefik 的相关标签,用于路由和中间件配置
      - "traefik.enable=true"  # 启用 Traefik 服务
      - "traefik.http.routers.traefik.entrypoints=http"  # 配置 HTTP 入口点
      - "traefik.http.routers.traefik.rule=Host(`${TRAEFIK_DASHBOARD_HOST}`)" # 定义 Traefik 仪表板的访问规则
      - "traefik.http.middlewares.traefik-auth.basicauth.users=${TRAEFIK_DASHBOARD_CREDENTIALS}"  # 为仪表板配置基本身份验证
      - "traefik.http.middlewares.traefik-https-redirect.redirectscheme.scheme=https"  # 配置 HTTP 到 HTTPS 的重定向
      - "traefik.http.middlewares.sslheader.headers.customrequestheaders.X-Forwarded-Proto=https"  # 添加自定义请求头
      - "traefik.http.routers.traefik.middlewares=traefik-https-redirect"  # 将重定向中间件应用到 HTTP 路由
      - "traefik.http.routers.traefik-secure.entrypoints=https"  # 配置 HTTPS 入口点
      - "traefik.http.routers.traefik-secure.rule=Host(`${TRAEFIK_DASHBOARD_HOST}`)" # 定义 HTTPS 路由的访问规则
      - "traefik.http.routers.traefik-secure.middlewares=traefik-auth"  # 为 HTTPS 路由应用基本身份验证中间件
      - "traefik.http.routers.traefik-secure.tls=true"  # 启用 TLS (HTTPS)
      - "traefik.http.routers.traefik-secure.tls.certresolver=${NS_Domain}"  # 使用 DNS服务提供商 code 根据Traefik文档 选择你的服务提供商code
      - "traefik.http.routers.traefik-secure.tls.domains[0].main=${TLS_MAIN_DOMAIN}"  # 定义主域名
      - "traefik.http.routers.traefik-secure.tls.domains[0].sans=${TLS_SANS_DOMAIN}"  # 定义子域名通配符
      - "traefik.http.routers.traefik-secure.service=api@internal"  # 使用 Traefik 内部 API 服务

networks:
  traefik-net:
    external: false  # 使用外部定义的名为 proxy 的网络

.env 文件:


# .env 文件

# CF API
CF_DNS_API_TOKEN=

NS_Domain=cloudflare #根据你使用的DNS服务提供商 code 根据Traefik文档 选择你的服务提供商code
# 设置环境变量,定义 Traefik 仪表板的凭据 ,默认账户名密码:admin
TRAEFIK_DASHBOARD_CREDENTIALS=admin:$$2y$$05$$aOXINGgHfnZ//t.kUs7o9ej3faUbj2yNxc8k3WVrBybFOxxaTsLTe

# Traefik Dashboard 域名
TRAEFIK_DASHBOARD_HOST=dash.docker.localhost

# TLS 主域名和子域名
TLS_MAIN_DOMAIN=docker.localhost
TLS_SANS_DOMAIN=*.docker.localhost

traefik.yml 文件:


api:
  dashboard: true  # 启用 Traefik 的仪表板,可以通过指定的路由访问
  debug: true  # 启用调试模式,输出更多的日志信息

entryPoints:
  http:
    address: ":80"  # 定义 HTTP 入口点,监听 80 端口
    http:
      redirections:
        entryPoint:
          to: https  # 重定向 HTTP 请求到 HTTPS
          scheme: https  # 使用 HTTPS 作为重定向的目标协议

  https:
    address: ":443"  # 定义 HTTPS 入口点,监听 443 端口

serversTransport:
  insecureSkipVerify: true  # 在与后端服务器通信时,跳过 TLS 证书验证(不推荐在生产环境中使用)

providers:
  docker:
    endpoint: "unix:///var/run/docker.sock"  # 指定 Docker API 的 socket 文件路径,Traefik 使用它来检测和管理 Docker 容器
    exposedByDefault: false  # 默认情况下,Docker 容器不会自动暴露给 Traefik,必须显式指定
    watch: true

  file:
    filename: /config.yml  # (已注释) 可选的文件提供者配置,用于从外部文件加载配置
    watch: true  # 允许 Traefik 自动监控和加载配置文件变化


certificatesResolvers:
  cloudflare: # 使用 DNS服务提供商 code 根据Traefik文档 选择你的服务提供商code
    acme:
      email: youremail@email.com  # 申请 ACME 证书时使用的电子邮件地址
      storage: acme.json  # 存储证书信息的文件路径
      # caServer: https://acme-v02.api.letsencrypt.org/directory # 正式环境的 Let's Encrypt 服务器 (默认)
      caServer: https://acme-staging-v02.api.letsencrypt.org/directory # 测试环境的 Let's Encrypt 服务器 (用于调试)

      dnsChallenge:
        provider: cloudflare  # 使用 DNS服务提供商 code 根据Traefik文档 选择你的服务提供商code 进行 DNS 验证以获取证书
        #disablePropagationCheck: true # (已注释) 如果通过 Cloudflare 获取证书有问题,可以取消注释此行以禁用传播检查
        #delayBeforeCheck: 60s # (已注释) 如果需要确保 TXT 记录准备就绪,可以取消注释此行并设置检查延迟
        resolvers:
          - "223.5.5.5:53"  # AliDNS 解析器
          - "119.29.29.29:53"  # 备用 DNS 解析器
          - "1.1.1.1" # 备用 DNS 解析器

config.yml 文件

可以选择配置,如果你宿主机有ng反代服务,你使用taerfik 的话会端口冲突,可以配置,但不过要把 docker-compose 和 Traefik的配置文件注释去掉即可:


http:
  #region routers 
  routers:
    hexo:
      entryPoints:
        - "https"  # 指定使用 HTTPS 入口点
      rule: "Host(`hexo.docker.localhost`)"  # 当访问的主机名为 hexo.local.shellscience.top 时,触发此路由
      middlewares:
        - default-headers  # 应用默认的安全头中间件
        - https-redirectscheme  # 应用 HTTPS 重定向中间件
      tls: {}  # 启用 TLS 加密
      service: hexo  # 指定将请求转发到名为 hexo 的服务

  #region services
  services:
    hexo:
      loadBalancer:
        servers:
          - url: "http://127.0.0.1:5000"  # 指定 Hexo 服务的后端服务器 URL
        passHostHeader: true  # 传递原始的 Host 头信息到后端服务
  #endregion

  middlewares:
    https-redirectscheme:
      redirectScheme:
        scheme: https  # 将 HTTP 请求重定向为 HTTPS
        permanent: true  # 使用永久重定向(HTTP 301)

    default-headers:
      headers:
        frameDeny: true  # 禁止网页被嵌入到框架中,防止点击劫持攻击
        browserXssFilter: true  # 启用浏览器的 XSS 过滤器,增强安全性
        contentTypeNosniff: true  # 防止浏览器 MIME 类型嗅探
        forceSTSHeader: true  # 强制启用 HSTS(HTTP 严格传输安全)
        stsIncludeSubdomains: true  # HSTS 规则应用于所有子域
        stsPreload: true  # 允许将域名加入 HSTS 预加载列表
        stsSeconds: 15552000  # HSTS 头的有效期(秒),这里是 180 天
        customFrameOptionsValue: SAMEORIGIN  # 允许内容在同源的 iframe 中加载
        customRequestHeaders:
          X-Forwarded-Proto: https  # 设置 X-Forwarded-Proto 头为 https,用于指示原始请求协议

    default-whitelist:
      ipAllowList:
        sourceRange:
        - "10.0.0.0/8"  # 允许来自 10.0.0.0/8 网段的 IP 地址
        - "192.168.0.0/16"  # 允许来自 192.168.0.0/16 网段的 IP 地址
        - "172.16.0.0/12"  # 允许来自 172.16.0.0/12 网段的 IP 地址

    secured:
      chain:
        middlewares:
        - default-whitelist  # 应用默认的 IP 白名单中间件
        - default-headers  # 应用默认的安全头中间件

配置完毕我们docker-compose up -d如果配置没有问题你就可以通过你配置的域名成功访问Traefik的面板。

反代代理Dcoekr应用

这里拿Memos的程序来举例子:

下面是我的Memos的docker-compose.yaml 文件,我们只需要把暴露的端口删除,添加labels标签以及下面几个配置(你想访问的域名、容器的端口、开启https、使用tls证书)以及让我们的程序接入Traefik的网络就好了。

version: "3.0"
services:
  memos:
    image: ghcr.io/usememos/memos:latest
    container_name: memos
    volumes:
      - ./data/:/var/opt/memos
    environment:
      - driver=sqlite
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.memos.rule=Host(`memos.local.com`)"
      - "traefik.http.services.memos.loadbalancer.server.port=<程序的端口>"
      - "traefik.http.routers.memos.entrypoints=https"
      - "traefik.http.routers.memos.tls=true"
    networks:
      - traefik-net

networks:
  traefik-net:
    external: true

Traefik DNS服务提供文档:https://doc.traefik.io/traefik/https/acme/#providers

Traefik Docker配置文档:https://doc.traefik.io/traefik/routing/providers/docker/

总结

这个是博主自己在搭建Traefik 时的总结与分享,当然在搭建时也去借鉴了很多的资料。

本文原发于我的博客:landonVPS

别再用 Nginx 配置折磨自己了,推荐 Zoraxy 让你 3 分钟搞定反向代理

免责声明:本文中信息来源于网络,作者不保证其绝对正确性。读者在依据本文内容做出任何决策或行动前,应自行进行充分的调查与核实。对于因使用本文内容而产生的任何直接或间接损失,作者不承担任何责任。

本文为专业文章, 适合运维、开发、self-hosted 需求人员观看。

你有没有这种经历?

新部署了一个服务,要去改 Nginx 配置文件。再部署一个,又要改。改完还得nginx -s reload

有时候改错了语法,reload 失败,服务全挂了。

这时候你突然意识到:学 Nginx 配置语法的时间,比学做饭的时间还长。

别问我是怎么知道的。

Zoraxy001

现状

反向代理在运维、开发、self-hosted  场景中经常用到,目前 Nginx 、Caddy 、Traefik 是主流选择。它们有个共同点:需要改配置文件

语法要记,改完要重载,错了要排查。对于不想折腾配置文件的人来说,这门槛不低。

今天介绍一个不一样的选择:Zoraxy 最大特点是全 UI 操作,支持动态应用规则的反向代理。

1

4

Zoraxy 是什么

Zoraxy 是一款基于 go 编写的动态反向代理工具。

最大的特点:Web UI 管理,零配置文件

项目简介里写得很直白——这可能是最适合新手的反向代理管理器之一。

想到了 python 的 solgan: 人生苦短,我用 python

它不是药,但可能治好你的"配置文件恐惧症"。

让我想起一个笑话。

有人问医生:"我每天都要吃止痛药才能工作,怎么办?"

医生说:"那你就别工作了。"

Zoraxy 就是那个让你不用"吃止痛药"的选择——你不需要每天和配置文件较劲。

能做什么

  • 反向代理:HTTP/2 、WebSocket 自动代理、虚拟目录、别名主机、自定义请求头、负载均衡。

  • SSL 证书:ACME 自动申请、Let's Encrypt 支持、DNS Challenge 。

  • 访问控制:IP 黑白名单、国家/地区封禁。

  • 流代理:TCP/UDP 代理。

  • 监控:集成 Uptime Monitor ,实时主机健康检查。

  • 其他:Web SSH 终端、插件系统、实时流量分析。

2
3
4
5
6
7
8
9

快速上手

安装

因为基于 go 编写,基本上主流系统上直接安装编译好的文件就成。以 Linux 为例:

wget https://github.com/tobychui/zoraxy/releases/latest/download/zoraxy_linux_amd64

chmod +x ./zoraxy_linux_amd64

sudo ./zoraxy_linux_amd64

启动后访问 http://localhost:8000 进行初始设置(无需配置文件,全部操作在 UI 中完成)。

就这么简单。

配置反向代理

登录 Web 界面后,添加反向代理规则很简单:

  1. 填写域名(比如 ftp.server.local, 注意提前配置好你的 dns 指向)
  2. 填写目标地址(比如 http://192.168.1.100:3000
  3. 保存就动态生效了

就这么简单。

zoraxy004_createrules

zoraxy004_http

SSL 证书

Zoraxy 内置 ACME 客户端功能,支持 Let's Encrypt 等服务商证书的自动申请:证书自动续期,不用担心过期。

下面以自定义 ACME 服务器为例,展示 ssl 证书的申请。

zoraxy005_ssl

Uptime Monitor

Zoraxy 还集成了主机健康检查功能。

实时监控服务可用性,支持 HTTP/TCP/UDP 检查,失败会告警。

在"Uptime Monitor"页面添加监控目标就行。

和 Nginx/Caddy 的区别

特性 Zoraxy Nginx Caddy
配置方式 Web UI 配置文件 配置文件
动态更新 ✅ 即时生效 ❌ 需 reload ✅ 自动
SSL 证书 ACME 自动 需手动配置 ACME 自动
学习曲线
插件系统
Uptime Monitor ✅ 内置

核心差异很明显:Zoraxy 全部通过 Web 界面操作,改完立即生效,不用重载服务。

不想记配置文件语法的话,这是最大的优势。

什么时候用 Zoraxy

总体来说,zoraxy 十分适合中小企业内部, 家用 self-hosted 场景。

人生苦短, 我用  zoraxy

适合

  • 家用 lab/自托管多个服务

  • 不想折腾配置文件

  • 需要快速添加/删除代理规则

  • 需要基本的健康检查

  • 新手入门反向代理

不适合

  • 需要极高性能( Nginx/Traefik 优化更好)

  • 需要复杂的高级配置

  • 配置即代码( IaC )需求

其他信息

Zoraxy 是开源项目,AGPL 许可。

因为 go 的特性支持跨平台:Windows 、Linux 、macOS 、ARM 设备、RISC-V 。也集成到 TrueNAS 、Umbrel 、YunoHost 等应用市场。

写在最后

Nginx/Caddy 依然是优秀的选择。

但如果你厌倦了改配置文件,想要更简单的管理方式,或者刚开始接触 self-hosted ,可以试试 Zoraxy 。

就像那个老笑话:当手里拿着锤子时,看什么都像钉子。

但有时候,你需要的不是更好的锤子,而是一把螺丝刀。

Zoraxy 就是那把螺丝刀——它不是要取代你的锤子,而是给你一个不同的选择。

希望小编文章能帮助到大家,欢迎关注本公众号;有问题留言交流。

其他

欢迎关注本公众号其他社媒平台

link_logo

点击以下链接关注我的数字名片!

https://muselink.cc/hamisay

"如果您觉得这篇文章对您或您的朋友有所帮助,不妨动动手指,关注我们、点赞并分享到朋友圈,让更多人受益。您的每一次互动都是对我们最大的支持和鼓励!"

1. 现状:你的内网服务在公网“裸奔”吗?

如果你手里有几台云服务器或家里的 NAS ,大概率折腾过内网穿透。但你去翻翻 auth.log 或者 SSH 日志,你会发现世界充满了“恶意”:

  • frp 转发 22 端口: 刚开几分钟,就有成千上万个 IP 开始暴力破解。
  • Web 服务直出: 暴露个 GitLab 或 Jenkins ,只要有个未授权访问漏洞,全家桶就都没了。
  • VPN 的痛苦: WireGuard 确实快,但给非技术同事开账号、教他们配客户端,简直是运维噩梦。

我们需要的其实很简单:既要 frp 的便捷,又要 VPN 的安全,最好还能像访问正常网站一样,浏览器打开就能用。

2. 为什么说传统方案让你很累?

frp:它是通道,但不是防线

frp 的设计初衷是“连通性”,它只管把流量从 A 传到 B 。

  • 隐患: 它把内网服务直接推到了公网的枪口下。改端口、加 sk 验证确实能挡住一部分,但无法解决身份鉴权审计的问题。
  • 现状: 即使你改了端口,扫描器通过协议指纹依然能识别出你的服务。

VPN:安全,但“摩擦力”太大

VPN 是一道厚重的围墙,但进出这道墙太麻烦了。

  • 体验: 手机、平板、电脑,每个设备都要装客户端。断线重连、路由冲突是常态。
  • 风险: 典型的“一处破,处处破”。一旦 VPN 账号泄露,攻击者就拿到了内网的整张入场券。

3. 更现代的方案:Next Terminal 的零信任实践

作为 Next Terminal 的开发者,我在设计 Web 资产代理时,参考了 “零信任( Zero Trust )” 的思路。

核心逻辑只有一句话:先验证身份,再建立连接。

nt.png

它是如何工作的?

以往你访问 gitlab.example.com,请求是直接打到 GitLab 上的。现在,Next Terminal 充当了“安全网关”的角色:

  1. 流量拦截:所有指向内网 Web 服务的请求,先经过 Next Terminal 。
  2. 身份核验:如果用户没登录 Next Terminal ,直接被拦在门外,GitLab 根本感知不到任何请求。
  3. 动态授权:登录后,系统会检查:你是否有权限访问这个特定资产?
  4. 无感转发:验证通过后,你才能看到熟悉的 GitLab 界面。

4. 实战:3 分钟安全发布内网 GitLab

假设你内网 GitLab 跑在 192.168.1.10:80,你可以彻底告别 6000 这种奇怪的端口号。

第一步:开启反代

在 Next Terminal 配置文件中开启反代和 HTTPS (建议配合通配符证书):

App:
  ReverseProxy:
    Enabled: true
    HttpsEnabled: true
    SelfDomain: "nt.yourdomain.com"

第二步:添加 Web 资产

在 Web 界面点击“添加资产”,填写内部 IP 和你想要的域名(如 gitlab.yourdomain.com)。

第三步:授权与访问

把这个资产授权给指定的用户组。

现在的体验是: 你直接访问 https://gitlab.yourdomain.com

  • 没登录? 跳转到 NT 统一登录页。
  • 登录了? 直接进入 GitLab 。
  • 想看谁访问了? 后台审计日志一清二楚。

在线演示: https://baidu.typesafe.cn
(注:此域名模拟内网环境,登录 test/test 后即可自动跳转,感受无感代理的流程)

5. 进阶:多云、多机房的统一网关

如果你有多个机房(阿里云、腾讯云、家里、公司),传统的方案需要配置复杂的路由隧道。

Next Terminal 提供了一个“安全网关( Agent )”模式:

  1. 在各个内网环境跑一个轻量级 Agent 。
  2. Agent 会自动建立反向隧道回到 NT 主站。
  3. 你在主站配置资产时,选一下“所属网关”。

这样,无论服务在哪,你都只需要通过一个入口访问,而且不需要在路由器上做任何端口映射

总结

需求 frp VPN Next Terminal
访问门槛 极低 (扫端口即入) 高 (需客户端) 极低 (浏览器即用)
安全性 极强 (身份认证前置)
权限控制 粗粒度 (内网全通) 精细 (按人/按资产授权)
管理成本 分散 复杂 统一控制台

如果你已经厌倦了每天看 SSH 被爆破的日志,或者不想再为 VPN 掉线发愁,欢迎尝试 Next Terminal

官网: https://typesafe.cn

Antigravity 反代其实论坛里很多人都写过手把手教程,我前端时间也亲自跑通了,并且整理成了这篇从 0 到 1 的教程。

我还录了个视频教程发到 B 站,但可能涉及引流?就不发到这里了,需要的佬自行搜索标题获取吧。

我的这篇教程可以帮大家用默认配置从 0 到 1 先跑通流程,因为是默认设置会导致跑通后能用,但是比较粗糙。

然后大家可以继续学论坛中的详细配置和用法做到从 1 到 100,比如这个系列帖子:

以下为正文

零、前提

你能成功的登录并使用 Antigravity,各种账号或网络问题你需要提前搞定。我个人是美国账号 + 美国 IP+TUN 模式。

当然新加坡或其他受支持的地区也行,看佬的自身情况。

一、安装 / 升级 反代工具 CLIProxyAPI

Windows

直接下载最新的文件,解压后就能使用,如果有更新,也是从这个链接中查找就行。

比如写文章时的最新版为:CLIProxyAPI_6.6.84_windows_amd64.zip

https://github.com/router-for-me/CLIProxyAPI/releases

本教程中我解压到了 D:\Tools\CLIProxyAPI_6.6.84_windows_amd64 目录下,你可以解压到自己需要的目录,路径要全英文的,并且不能有空格。

Ubuntu/Linux

使用一键脚本安装或升级,都用这个命令就行

curl -fsSL https://raw.githubusercontent.com/brokechubb/cliproxyapi-installer/refs/heads/master/cliproxyapi-installer | bash

MacOS

使用 brew 安装命令

brew install cliproxyapi

后续升级命令

brew upgrade cliproxyapi

二、修改配置文件,启用后台管理

Windows

安装目录下把 config.example.yaml 复制一份,复制的改名为 config.yaml,然后修改里面的内容。

Ubuntu/Linux

家 (Home) 目录下找 cliproxyapi/config.yaml,即 ~/cliproxyapi/config.yaml,然后修改里面的内容。

MacOS

/opt/homebrew/etc 目录下找 cliproxyapi.conf,即绝对路径为:/opt/homebrew/etc/cliproxyapi.conf,然后修改里面的内容。

修改文件如下内容 (登录密码最好改成你自己的,我这里设置的是 my-password)

allow-remote: true secret-key: "my-password"
[图文] 手把手教你 Antigravity 反代,全程不用敲代码,小白也能看懂的保姆教程1

三、 启动 CLIProxyAPI, 并登录网页后台查看:

Windows

进入到刚才解压后的目录下直接 exe 执行就可以了,比如我刚才安装到了 D:\Tools\CLIProxyAPI_6.6.84_windows_amd64 下。

[图文] 手把手教你 Antigravity 反代,全程不用敲代码,小白也能看懂的保姆教程4

Ubuntu/Linux

进入到 ~/cliproxyapi/ 目录后,启动。

cd ~/cliproxyapi/
./cli-proxy-api

MacOS

不需要进入任何目录,直接启动即可。

brew services restart cliproxyapi

登录网页后台

注意地址,本机的直接访问右边这个地址就行,首次登录密码是刚才设置的 my-password :http://localhost:8317/management.html
服务器的话要填服务器的地址或域名,比如你部署到了服务器的 ip 是 1.2.3.4,则访问:http://1.2.3.4:8317/management.html

[图文] 手把手教你 Antigravity 反代,全程不用敲代码,小白也能看懂的保姆教程2

登录后台成功后,可以看到仪表盘。建议把使用统计打开,这样后面用模型我能能看到用了多少的 Tokens。

[图文] 手把手教你 Antigravity 反代,全程不用敲代码,小白也能看懂的保姆教程3

四、从网页登录 Antigravity,成功后拷贝网址:

按照图示登录 Antigravity,并等待自动认证成功,认证成功后登录网页会自动关闭。
如果登录界面没有自动关闭 (如图),需要你手动把登录成功的网址复制粘贴回来,然后手动点击提交回调URL
如果还登录不上,可以尝试重启机器,然后别的软件先别开,这时打开反代服务 + 开启 TUN 魔法 + 挂到美国 IP,再登录下试试。

[图文] 手把手教你 Antigravity 反代,全程不用敲代码,小白也能看懂的保姆教程5

你还可以登录 Gemini CLI ,这样就有更多的 Gemini 额度了。

[图文] 手把手教你 Antigravity 反代,全程不用敲代码,小白也能看懂的保姆教程6

登录认证成功后,后台就能看到认证信息了。我这里即反代了 Antigravity,也反代了 Gemini CLI, 如图:

[图文] 手把手教你 Antigravity 反代,全程不用敲代码,小白也能看懂的保姆教程7

反代出来的模型,可以在中心信息中查看到。后面使用模型时,需要来这里复制模型名,不能随便写模型名。

[图文] 手把手教你 Antigravity 反代,全程不用敲代码,小白也能看懂的保姆教程8

五、Claude Code 中使用

从网页后台获取 api key,配置 claude

注意 your-api-key-1 要配置成网页后台中的真正的 api key,我这里演示的是默认的。
模型的名称也要从网页后台拷贝,不要自己手写。
base url 填写为 "http://localhost:8317"

[图文] 手把手教你 Antigravity 反代,全程不用敲代码,小白也能看懂的保姆教程9
 { "env": { "ANTHROPIC_BASE_URL": "http://localhost:8317", "ANTHROPIC_AUTH_TOKEN": "your-api-key-1", "ANTHROPIC_DEFAULT_OPUS_MODEL": "gemini-claude-opus-4-5-thinking", "ANTHROPIC_DEFAULT_SONNET_MODEL": "gemini-claude-sonnet-4-5-thinking", "ANTHROPIC_DEFAULT_HAIKU_MODEL": "gemini-claude-sonnet-4-5", "ANTHROPIC_MODEL": "gemini-claude-opus-4-5-thinking" } }

六、其它 OpenAI 兼容接口中使用

注意!base url 要改为: http://localhost:8317/v1
api key 和模型名和刚才一样,从网页后台复制就行了。
vscode 中可以通过 oai 插件 (OAI Compatible Provider for Copilot) 来添加到 copilot 中。

Q&A

Q1:有没有被封号的风险?

正面回答是有风险,但我个人觉得风险更多的还是获取账号的渠道不合规,比如闲鱼买的成品号、各位佬薅羊毛的教育认证号等。。。我也没足够的统计数据,只能说不建议用自己的大号搞,因为确实逆向了有风险,建议用小号搞吧。

Q2:需要 Google AI 会员吗?

免费版的每周都有额度,但是额度很少,可以先试一下,把流程跑通了。付费会员或教育优惠会员,都是每 5 小时刷新额度,自己用一般是足够的,并且 Gemin Pro\Gemini Flash\Claude 这三组额度是独立的。

Q3:我高强度使用,5 小时额度不够怎么办啊?

最快速的是把谷歌的 Gemini CLI 工具也反代了,这个工具中只有 Gemini 系列的模型,并且额度和 Antigravity 中的不互通,是独立的。

其次有个被社区称为升天的方法:其实就是家庭组,Pro 账号可以邀请最多 5 个人进入家庭 (算上自己共 6 人)。家庭里每个账号的 Antigravity 和 Gemini CLI 的额度是独立的,所以可以创建几个小号,来组建家庭后把小号也反代了。

最后,还是那句话,不建议用自己的主号这么搞,最好拿某鱼买的号来搞。

Q4:API KEY (API 密钥) 是怎么生成的,从哪里拿?

API KEY 在我们安装时,配置文件中会默认携带 2 个,你可以从网页上直接编辑 - 复制后使用。也可以在网页上把这两个 KEY 修改掉,或者自己新建后使用。

Q5:OAI 插件是什么?

OAI 插件是搭配 vscode copilot 使用的,因为官方的 copilot 不支持自定义的模型和地址,所以需要这个插件来实现。

Q6:OAI 安装后没有右下角的 Ready 显示怎么办?

首次安装后可以按 Ctrl + Shift + P,然后输入 oai 关键字,点击 Open Configuration UI 进入。

Q7:OAI 配置好了地址和模型,从 copilot 中访问失败怎么办?

大概率是地址配置错误,记得 OpenAI 格式的请求都需要加上 /v1 后缀,比如 http://10.126.12.162:8317/v1

Q8: Windows 上第二天就不能用了,访问不到模型了?

可能是关机了,或 CLIProxyAPI 被关掉了,然后反代的登录信息就失效了,下次开机或启动后,还需要重新登陆以下。
如果是在服务器上部署的,并且一直执行,是不会失效的,因为 CLIProxyAPI 会周期性的去刷新下登录信息,保持一直登陆的状态。

Q9: 能用 Nano Banana Pro 画图吗?

可以,添加这行参数可以绘制 4K 图像。

如图让 AI 总结的使用方法:

[图文] 手把手教你 Antigravity 反代,全程不用敲代码,小白也能看懂的保姆教程10

📌 转载信息
转载时间:
2026/1/20 10:44:23

最近站里各位佬的公益站 / 转发站越来越多,屯屯鼠本鼠余额也攒了不少。公益站稳定性不可预测,经常写着写着代码就得停下来换站点。

所以让 Claude 搓了这个:Claude Code Proxy

用了 N 周还算稳定,就一个 py 脚本,核心功能:

  • Web UI 切换供应商,自动拉取模型列表
  • 一键复制 URL/Key/Model、打开签到 / 福利站链接、保持账号活跃
  • 多终端统一出口 IP,避免多设备访问同一公益站被封号
囤囤鼠自用的 Claude Code 轻量反代脚本:切换 + 签到 + 保活公益站1

快速开始

仓库地址: GitHub - QAA-Tools/ccproxy: 轻量级 Claude API 反向代理,Web UI 即时切换供应商,自动发现模型,批量测试保持账号活跃。Lightweight Claude API reverse proxy with Web UI for instant provider switching, auto model discovery, batch testing to keep accounts active.

使用文档: Claude Code Proxy - 轻量级 Claude 代理切换工具

  1. 复制配置文件:
copy config.in.json config.json
  1. 编辑 config.json,填入你的公益站信息:
{ "HOST": "0.0.0.0", "PORT": 3456, "APIKEY": "sk-your-local-ui-key", "Providers": [ { "name": "站点1", "api_base_url": "https://api.example.com/v1/messages", "api_key": "sk-provider-key-1", "models": [], "checkin": "https://example.com/console/personal" } ] }
  1. 启动代理:
python ccproxy.py --config config.json
  1. 修改 Claude Code 配置(~/.claude/settings.json%USERPROFILE%\.claude\settings.json):
{ "env": { "ANTHROPIC_AUTH_TOKEN": "sk-your-local-ui-key", "ANTHROPIC_BASE_URL": "http://127.0.0.1:3456" } }

注意: ANTHROPIC_AUTH_TOKEN 要和上面的 APIKEY 一致。改完重启 CC CC 支持热重载,不用重启。

  1. WebUI 地址 http://127.0.0.1:3456,用 APIKEY 作为密码登录(用户名随便填)

WebUI 使用

基础操作:

  • 下拉选择 provider,立即生效
  • Refresh 按钮自动拉取上游模型列表
  • 选模型后点 Copy,粘贴 /model xxx 命令到 CC 切换模型
  • 上游挂了就回网页换一个
  • 改了 config.jsonReload Config 重新载入,不用重启代理

保活操作:

  • Refresh & Test 按钮,屯屯鼠保活,测试结果显示为颜色:绿色(成功)/ 黑色(失败)
  • 若失败可查看输出日志排查原因
  • 签到 按钮快速跳转到站点签到页面领额度

进阶技巧:

  • 点击 settings.json 按钮,将剪贴板粘贴到 ~/.claude/settings.json 文件中,也可以不重启 Claude Code 立即切换供应商

本脚本的配置格式兼容 ccr,但不包含模型转换功能(只支持原生 Claude 格式的 API)。

(对比) 之前采用的 公益站 切换方案:

  • NewAPI:能自动拉模型列表,兼容 CC/Chat 等调用方式,适合佬们开公益站。但个人用来管理公益站 URL 的话,出问题排查太费事
  • ccr:功能很全,路由能力强(能把不同模型转换)。但模型列表要自己填,Web 界面改配置经常不生效,路由功能用不到
  • cc-switch:热重启切换,单机体验很好。但配置只能图形界面或 SQLite 改,我更习惯直接编辑 JSON

因为经常要在 Linux 服务器上跑,就想要个更简单的方案:JSON 配置 + 不重启 CC 就能切换 + 自动拉模型列表 + 定期保活避免被清号。

类似项目推荐

📌 转载信息
转载时间:
2026/1/12 11:38:58

为什么你的反向代理需要 WAF?

如果你正利用科技 lion 脚本添加域名反向代理,那么本文将教你如何为服务加固:通过集成全球领先的 OWASP ModSecurity+OWASP CRS 组合,构建强大的 WAF(Web 应用防火墙)。
相比独立防护,这种嵌入 Nginx 运行的方案效率更高、识别更精准且完全开源。只需简单几步,即可有效阻断各类恶意攻击、非法爬虫与渗透尝试,为你的所有反代站点筑起一道坚实的安全屏障。

全文复制过来格式就乱了 发文章地址吧!

📌 转载信息
原作者:
kejilion
转载时间:
2026/1/5 12:15:13

反重力里面的 claude 量还是比较充足的,这两天学习了一下如何转换格式到 cherry studio 中使用,算是学习笔记贴吧,大佬们需要有反重力的账号,然后部署下面这个项目(我是本地部署的),

https://github.com/su-kaka/gcli2api

部署好之后在 7861 端口打开,是下面这个界面,然后获取认证链接,会跳转网页去登录自己的 Google 账号,认证完成就 ok 了,

一个很弱鸡的 Antigravity 反向代理 + cherry studio 学习笔记1


一个很弱鸡的 Antigravity 反向代理 + cherry studio 学习笔记2

第一个是 gemini cli 的,只有 gemini 模型能使用,反重力的话有 claude 可以使用,所以我们推荐把反重力也认证了,接下来就简单了,我们选择 url 和 key 填到 cherry studio 中

一个很弱鸡的 Antigravity 反向代理 + cherry studio 学习笔记3

如果是 cli 的话使用这个
openai.api_base = “http://127.0.0.1:7861/v1
openai.api_key = “pwd”

如果是反重力的话使用这个
openai.api_base = “http://127.0.0.1:7861/antigravity/v1
openai.api_key = “pwd”
#模型我暂时先选择 claude-sonnet-4-5 ,大家也可以选择其他模型,看自己爱好喽

一个很弱鸡的 Antigravity 反向代理 + cherry studio 学习笔记4


一个很弱鸡的 Antigravity 反向代理 + cherry studio 学习笔记5

然后这个仓库是一个大佬发在 qq 群的,我没看懂,私聊大佬学习了这个技巧,我只有他 qq 号,他是 空悲切 ,再次感谢大佬(如果大佬看到了可以评论一下哈哈),作为一个非程序员,我平时喜欢折腾这些东西,可能很简单,也希望为社区做一点小小的贡献吧,如果大家有其他使用技巧也欢迎在评论区补充,好了好了,得开始上班了

📌 转载信息
原作者:
happyabel
转载时间:
2025/12/31 11:33:16

仓库链接:GitHub - iBenzene/AIStudioToAPI: A wrapper that exposes Google AI Studio as OpenAI- and Gemini-compatible APIs.(一个将 Google AI Studio 封装为兼容 OpenAI / Gemini 风格 API 的工具)

Google AI Studio 反向代理

一个将 Google AI Studio 网页端封装为兼容 OpenAI API 和 Gemini API 的工具。该服务将充当代理,将 API 请求转换为与 AI Studio 网页界面的浏览器交互。

说明:本项目基于 ais2api 二改开发。

二改内容 (主要针对 VPS 部署)

一键 Docker 部署

  • 支持 Docker / Docker Compose 一键启动服务。

  • 部署后直接在 Web 界面里点「添加用户」,用内置浏览器登录 Google,点保存即可。

  • 全程不用自己手动上传 auth 文件,体验非常友好。

Gemini / OpenAI 接口支持

  • 既支持 Gemini 原生接口,又兼容 OpenAI 风格调用。

  • 支持双接口的图像输入和图像生成。

  • 支持 Gemini 各种参数调用。

服务端一体式部署,客户端只管调 API

  • 整个登录、会话保持、代理和模型调用都封装在服务端。

  • 客户端只需要拿一串 API Key + Base URL 就能使用。

强制功能支持

  • 支持服务端设置「强制思考」功能。

  • 支持服务端设置「强制联网搜索」功能。

  • 支持服务端设置「强制网址上下文」功能。

📌 转载信息
原作者:
bbbugg
转载时间:
2025/12/28 10:52:10