В этой инструкции мы настроим автоматическое получение и обновление TLS-сертификатов от Let’s Encrypt и подключим их к ноде Remnawave для работы протокола Hysteria2 (QUIC + TLS).

Что вы получите:
— Действующий сертификат для вашего домена (например, h2.example.com)
— Интеграцию с контейнером Remnawave через Docker volume
— Автообновление сертификатов раз в месяц через cron

Требования

• Сервер с открытым портом 80 (на время первого получения сертификата) и 443 (для работы Hysteria)
• Установленный Docker и Docker Compose
• Домен, направленный A-записью на IP вашего сервера
• Установленная и работающая нода Remnawave (обычно в /opt/remnanode)

1. Подготовка и установка Certbot

Создадим рабочую директорию для Certbot и базовый docker-compose.yml.

bash

mkdir -p /opt/certbot && cd /opt/certbot
nano docker-compose.yml

Вставьте следующее содержимое:

yaml

services:
  certbot:
    container_name: certbot
    image: certbot/certbot
    network_mode: host
    volumes:
      - ./certs:/etc/letsencrypt

Сохраните (Ctrl+O, Enter, Ctrl+X).

Что здесь происходит:
— network_mode: host — Certbot сможет слушать порт 80 на хосте
— ./certs:/etc/letsencrypt — сертификаты будут храниться в /opt/certbot/certs

2. Первичное получение сертификата

Перед запуском убедитесь, что порт 80 свободен (ни Nginx, ни нода Remnawave, ни другие сервисы его не занимают).

Замените:

• your-domain.com → ваш домен (например, h2.mysite.com)
• admin@your-domain.com → ваш email

bash

docker run --rm \
  -v $(pwd)/certs:/etc/letsencrypt \
  -v $(pwd)/var-lib-letsencrypt:/var/lib/letsencrypt \
  --network host \
  certbot/certbot certonly --standalone \
  --non-interactive --agree-tos \
  --email admin@your-domain.com \
  -d your-domain.com

Пример с реальными данными:

bash

docker run --rm \
  -v $(pwd)/certs:/etc/letsencrypt \
  -v $(pwd)/var-lib-letsencrypt:/var/lib/letsencrypt \
  --network host \
  certbot/certbot certonly --standalone \
  --non-interactive --agree-tos \
  --email admin@example.com \
  -d h2.example.com

После успешного выполнения сертификаты появятся в папке:

text

/opt/certbot/certs/live/your-domain.com/
├── fullchain.pem
├── privkey.pem
└── ...

3. Проброс сертификатов в Remnawave

Теперь подключим папку с сертификатами к контейнеру ноды Remnawave.

bash

cd /opt/remnanode
nano docker-compose.yml

Найдите секцию volumes: внутри services.remnanode и добавьте строку:

yaml

services:
  remnanode:
    ...
    volumes:
      - '/opt/certbot/certs:/etc/letsencrypt:ro'   # <-- добавить эту строку

Важно: режим :ro означает read-only — безопасно.

Пример готового блока:

yaml

services:
  remnanode:
    image: remnawave/backend:latest
    container_name: remnanode
    restart: always
    network_mode: host
    volumes:
      - ./data:/app/data
      - '/opt/certbot/certs:/etc/letsencrypt:ro'

Перезапустите ноду:

bash

docker compose down && docker compose up -d

4. Настройка профиля Hysteria2 в панели Remnawave

В веб-панели Remnawave при создании или редактировании профиля узла (node) вставьте следующий JSON.

⚠️ Обязательно замените your-domain.com на ваш реальный домен в путях keyFile и certificateFile.

json

{
  "log": { "loglevel": "none" },
  "inbounds": [
    {
      "tag": "HYSTERIA-BBR",
      "port": 443,
      "listen": "0.0.0.0",
      "protocol": "hysteria",
      "settings": {
        "clients": [],
        "version": 2
      },
      "streamSettings": {
        "network": "hysteria",
        "security": "tls",
        "finalmask": {
          "quicParams": { "debug": false, "congestion": "bbr" }
        },
        "tlsSettings": {
          "alpn": ["h3"],
          "certificates": [
            {
              "keyFile": "/etc/letsencrypt/live/your-domain.com/privkey.pem",
              "certificateFile": "/etc/letsencrypt/live/your-domain.com/fullchain.pem"
            }
          ]
        },
        "hysteriaSettings": { "version": 2 }
      }
    }
  ],
  "outbounds": [
    { "tag": "DIRECT", "protocol": "freedom" },
    { "tag": "BLOCK", "protocol": "blackhole" }
  ],
  "routing": {
    "rules": [
      { "ip": ["geoip:private"], "outboundTag": "BLOCK" },
      { "domain": ["geosite:private"], "outboundTag": "BLOCK" },
      { "protocol": ["bittorrent"], "outboundTag": "BLOCK" }
    ]
  }
}

Что важно:

• Путь к сертификатам — внутри контейнера Remnawave: /etc/letsencrypt/live/...
• Именно туда мы пробросили папку /opt/certbot/certs на хосте
• Протокол Hysteria2 работает поверх QUIC, поэтому указан alpn: ["h3"]

5. Автоматическое обновление сертификатов (Cron)

Сертификаты Let’s Encrypt действительны 90 дней. Настроим ежемесячное обновление.

bash

crontab -e

Добавьте строку (запуск 28-го числа каждого месяца в 00:00):

text

0 0 28 * * cd /opt/certbot && docker compose run --rm certbot renew

Как проверить вручную:

bash

cd /opt/certbot
docker compose run --rm certbot renew --dry-run

--dry-run — тестовый режим без реального обновления.

Проверка работоспособности

1. Сертификат получен:bashls /opt/certbot/certs/live/your-domain.com/
2. Remnawave видит сертификаты:bashdocker exec remnanode ls /etc/letsencrypt/live/your-domain.com/
3. Порт 443 слушается:bashss -tulpn | grep 443
4. Подключение клиентом Hysteria2 — используйте ваши ключи из панели Remnawave.

Устранение типичных проблем

Проблема

Решение

port 80 is already in use

Остановите nginx / apache / другой сервис: systemctl stop nginx

Сертификат не обновляется в cron

Проверьте путь: cd /opt/certbot должен работать. Добавьте --debug в команду renew

Remnawave не видит файлы

Убедитесь, что volume проброшен именно в /etc/letsencrypt, а не в другую папку

Hysteria2 не стартует

Проверьте JSON: нет ли лишних запятых. Убедитесь, что keyFile и certificateFile указывают на существующие файлы внутри контейнера

Итог

Вы настроили:

• ✅ Автоматическое получение Let’s Encrypt сертификата для вашего домена
• ✅ Проброс сертификатов в контейнер Remnawave
• ✅ Рабочий профиль Hysteria2 с TLS и BBR
• ✅ Ежемесячное обновление сертификатов через cron

Теперь ваша нода Remnawave готова принимать Hysteria2 соединения по защищённому TLS каналу.

📋 Оглавление

1. Системные требования
2. Установка
3. Настройка
4. Запуск
5. Работа скрипта
6. Примеры использования
7. Частые проблемы
8. Советы

💻 Системные требования

Необходимое ПО:

• Linux/macOS/WSL (Windows)
• bash 4.0+
• Yandex Cloud CLI (yc)
• jq (парсер JSON)

Требования к аккаунту:

• Аккаунт Yandex Cloud
• Активный платежный аккаунт (или пробный период)
• Настроенный CLI с авторизацией

🔧 Установка

1. Установка Yandex Cloud CLI

bash

# Linux/macOS
curl https://storage.yandexcloud.net/yandexcloud-yc/install.sh | bash

# Перезагрузите оболочку
exec -l $SHELL

# Проверка установки
yc version

2. Установка jq

bash

# Ubuntu/Debian
sudo apt-get install jq -y

# CentOS/RHEL
sudo yum install jq -y

# macOS
brew install jq

# Windows (через Chocolatey)
choco install jq

3. Настройка Yandex Cloud

bash

# Инициализация
yc init

# Следуйте инструкциям:
# - Выберите аккаунт
# - Выберите облако
# - Выберите каталог (или создайте новый)
# - Подтвердите настройки

4. Сохранение скрипта

bash

# Создайте файл
nano yandex-hunter.sh

# Скопируйте код скрипта

# Сделайте исполняемым
chmod +x yandex-hunter.sh

⚙️ Настройка

Основные параметры (в начале скрипта):

bash

TARGET="51."           # Целевая сеть (первые октеты)
ZONE="ru-central1-b"   # Зона доступности
MIN_DELAY=3            # Минимальная задержка (сек)
MAX_DELAY=8            # Максимальная задержка (сек)

Как выбрать цель:

Цель

Значение TARGET

Примечание

Сеть 51.x.x.x

"51."

Наиболее популярная

Сеть 84.x.x.x

"84."

Редкая

Сеть 178.x.x.x

"178."

Средняя частота

Конкретная подсеть

"51.24."

Более точная цель

Зоны доступности:

bash

ru-central1-a  # Зона А
ru-central1-b  # Зона Б (по умолчанию)
ru-central1-c  # Зона В
ru-central1-d  # Зона Г

Настройка задержки:

bash

MIN_DELAY=1   # Агрессивный режим (риск блокировки)
MAX_DELAY=3

MIN_DELAY=5   # Нормальный режим
MAX_DELAY=10

MIN_DELAY=10  # Осторожный режим
MAX_DELAY=20

🚀 Запуск

Простой запуск:

bash

./yandex-hunter.sh

Запуск с логированием:

bash

./yandex-hunter.sh | tee hunter.log

Фоновый запуск:

bash

nohup ./yandex-hunter.sh > hunter.log 2>&1 &

Остановка:

bash

# Если запущен в фоне
pkill -f yandex-hunter.sh

# Или Ctrl+C (если в терминале)

🎯 Работа скрипта

Что происходит:

1. Очистка - удаляются все старые IP-адреса
2. Цикл охоты:
• Создание нового IP-адреса
• Проверка принадлежности к целевой сети
• Если совпадает → УСПЕХ!
• Если нет → удаление и пауза

Интерфейс:

text

╔══════════════════════════════════════════════════════════════╗
║         🎯 YANDEX RANDOM HUNTER — ОХОТНИК ЗА IP 🎯           ║
╚══════════════════════════════════════════════════════════════╝
📡 Зона:     ru-central1-b
🎯 Цель:     51.*.*.*
⏱️  Задержка:  3-8 сек (рандом)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
№    | IP Адрес         | Подсеть      | Статус                    
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
❌ [   1] 84.252.75.123   | 84.252       | 💔 Мимо (ждал 5с)
⏳ Ожидание: [████████░░░░░░░░░░] 40% 

При успехе:

text

╔══════════════════════════════════════════════════════════════╗
║                    🎉 ВЫ ПОЙМАЛИ ЦЕЛЬ! 🎉                    ║
╚══════════════════════════════════════════════════════════════╝
📌 IP адрес:    51.23.45.67
🆔 ID:          epd7h8k9j2m3n4p5
🌐 Подсеть:     51.23
🔢 Попытка №:   42
⏱️  Время:       15:30:22
⏲️  Длительность: 3 мин 24 сек

📊 СТАТИСТИКА:
   ┌─────────────────────────────────────────┐
   │ Всего попыток:  42                      │
   │ ✅ Попаданий:    1                      │
   │ ❌ Промахов:     41                     │
   │ 📈 Точность:     2%                     │
   └─────────────────────────────────────────┘

📊 Примеры использования

Пример 1: Охота на редкую сеть

bash

# Цель: сеть 51.x.x.x
TARGET="51."
MIN_DELAY=5
MAX_DELAY=10

Пример 2: Быстрый поиск

bash

# Цель: подсеть 51.24.x.x
TARGET="51.24."
MIN_DELAY=2
MAX_DELAY=4

Пример 3: Экономичный режим

bash

# Минимальная нагрузка на API
TARGET="51."
MIN_DELAY=15
MAX_DELAY=25

Пример 4: Многоzone охота

bash

# Запуск в разных зонах (3 терминала)
# Терминал 1: ZONE="ru-central1-a"
# Терминал 2: ZONE="ru-central1-b"
# Терминал 3: ZONE="ru-central1-c"

⚠️ Частые проблемы

1. Ошибка: "yc: command not found"

Решение:

bash

# Переустановите CLI
curl https://storage.yandexcloud.net/yandexcloud-yc/install.sh | bash

# Или добавьте в PATH
export PATH=$PATH:$HOME/yandex-cloud/bin

2. Ошибка: "jq: command not found"

Решение:

bash

# Установите jq
sudo apt-get install jq -y  # Ubuntu/Debian
brew install jq              # macOS

3. Ошибка: "Access denied"

Решение:

bash

# Переавторизуйтесь
yc init
yc iam create-token

4. Ошибка: "Quota exceeded"

Решение:

bash

# Увеличьте задержку
MIN_DELAY=10
MAX_DELAY=15

# Или подождите 5-10 минут

5. Слишком много промахов

Причины:

• Неправильный TARGET
• Неудачная зона
• Мало попыток

Решение:

• Проверьте TARGET (должна заканчиваться на точку)
• Смените зону
• Запустите на ночь

💡 Советы

🎯 Для увеличения шансов:

1. Запускайте в часы низкой нагрузки (ночь, утро выходных)
2. Используйте несколько зон одновременно
3. Уменьшите задержку (но осторожно с квотами)
4. Увеличьте время работы (чем дольше, тем выше шанс)

💰 Экономия ресурсов:

1. Используйте минимальную задержку для снижения нагрузки
2. Не запускайте одновременно много копий
3. Используйте пробный период Yandex Cloud

🔍 Отладка:

bash

# Режим отладки
bash -x yandex-hunter.sh

# Просмотр логов
tail -f hunter.log

# Проверка квот
yc vpc quota list

📈 Мониторинг:

bash

# В другом терминале
watch -n 1 'yc vpc address list --format json | jq ".[] | {address: .external_ipv4_address.address, status: .status}"'

🎨 Кастомизация:

• Измените цвета в переменных в начале скрипта
• Добавьте уведомления в Telegram/Slack
• Сохраняйте все найденные IP в файл

📞 Полезные ссылки

• Yandex Cloud CLI Docs
• Yandex Cloud VPC API
• jq Manual

⚖️ Примечание

Скрипт предназначен для образовательных целей и тестирования Yandex Cloud API. Убедитесь, что ваши действия не нарушают правила использования сервиса.

Удачной охоты! 🎯

· Установленный RemnaWave Panel (где вы создаете профили).
· Установленный RemnawaveNode по официальной документации.
· Домен, который НЕ используется для Selfsteal (Caddy) или любого другого сервиса на порту 443.
· Открытый порт 443 (UDP) в firewall.

---

Шаг 1: Остановить Caddy (Selfsteal) и другие сервисы на 443 порту

Hysteria2 требует монопольного доступа к UDP 443. Caddy (или другой веб-сервер) должен быть остановлен.

```bash
# Остановить контейнер Caddy (если он использует host network)
docker stop caddy-selfsteal

# Проверить, что порт 443 (TCP/UDP) свободен
ss -tulpn | grep :443
```

Важно: Если у вас есть другие сервисы на 443 (nginx, apache), остановите их временно.

---

Шаг 2: Получить SSL-сертификат через Certbot (HTTP-01 challenge)

Так как порт 80 обычно свободен (Caddy его использует только для редиректа), мы используем standalone режим Certbot.

```bash
# Установить certbot
apt update && apt install certbot -y

# Остановить всё, что может занимать порт 80 (Caddy)
docker stop caddy-selfsteal

# Получить сертификат для вашего поддомена (например, hy2.example.com)
certbot certonly --standalone -d hy2.example.com --non-interactive --agree-tos --email your@email.com
```

После успешного выполнения: сертификаты лежат в /etc/letsencrypt/live/hy2.example.com/.

---

Шаг 3: Создать директорию и скопировать сертификаты для RemnaNode

RemnaNode ожидает сертификаты в configs/xray/ssl внутри контейнера. Мы смонтируем туда директорию с сертификатами.

```bash
# Создать папку на хосте
mkdir -p /opt/remnawave/nginx

# Скопировать сертификаты (обязательно используйте cp -L, чтобы скопировать файлы, а не симлинки)
cp -L /etc/letsencrypt/live/hy2.example.com/fullchain.pem /opt/remnawave/nginx/fullchain.pem
cp -L /etc/letsencrypt/live/hy2.example.com/privkey.pem /opt/remnawave/nginx/privkey.key

# Установить правильные права (важно для безопасности)
chmod 644 /opt/remnawave/nginx/fullchain.pem
chmod 600 /opt/remnawave/nginx/privkey.key
```

---

Шаг 4: Смонтировать сертификаты в контейнер RemnawaveNode

Отредактируйте docker-compose.yml RemnawaveNode:

```bash
nano /opt/remnanode/docker-compose.yml
```

Найдите секцию volumes: для сервиса remnanode и добавьте следующую строку:

```yaml
services:
remnanode:
# ... остальные настройки ...
volumes:
# ... существующие volumes ...
- /opt/remnawave/nginx:/var/lib/remnawave/configs/xray/ssl
```

Важно: Сохраните отступы (пробелы, не табуляция).

---

Шаг 5: Перезапустить RemnawaveNode

```bash
cd /opt/remnanode
docker compose down
docker compose up -d

# Проверить, что контейнер поднялся и сертификаты смонтировались
docker exec remnanode ls -la /var/lib/remnawave/configs/xray/ssl
```

Вы должны увидеть:

```
fullchain.pem
privkey.key
```

---

Шаг 6: Вернуть Caddy (Selfsteal) обратно

```bash
docker start caddy-selfsteal
```

Теперь Caddy снова работает на своём порту (обычно 9443 или другом, не 443).

---

Шаг 7: Настроить Hysteria2 в RemnaWave Panel

1. Зайдите в админку RemnaWave → Nodes → выберите вашу ноду → Edit.
2. В разделе "Inbound Configurations" создайте новый профиль Hysteria2.
3. Заполните поля:
· Domain: hy2.example.com (тот же, на который получили сертификат).
· Port: 443 (UDP).
· Path: (оставьте пустым, если не используете).
· Up / Down Mbps: ваши лимиты.
4. В поле "Certificates" (внизу, JSON-редактор) вставьте:
```json
"certificates": [
{
"keyFile": "/var/lib/remnawave/configs/xray/ssl/privkey.key",
"certificateFile": "/var/lib/remnawave/configs/xray/ssl/fullchain.pem"
}
]
```
5. Сохраните профиль.

---

Шаг 8: Проверить работу Hysteria2

```bash
# Проверить, что контейнер слушает UDP 443
ss -ulnp | grep :443

# Посмотреть логи RemnawaveNode на предмет ошибок Hysteria2
docker logs remnanode --tail 50 | grep -i hysteria
```

Если всё правильно — в логах не будет ошибок, а порт 443 будет слушаться внутри контейнера.

---

🔄 Автообновление сертификатов (важно!)

Certbot выдаёт сертификаты на 90 дней. Нужно автоматически продлевать их и перезапускать RemnaNode.

Создайте скрипт:

```bash
nano /usr/local/bin/renew-hy2-certs.sh
```

```bash
#!/bin/bash
set -e

# Обновить сертификаты
certbot renew --quiet

# Скопировать обновлённые сертификаты
cp -L /etc/letsencrypt/live/hy2.example.com/fullchain.pem /opt/remnawave/nginx/fullchain.pem
cp -L /etc/letsencrypt/live/hy2.example.com/privkey.pem /opt/remnawave/nginx/privkey.key
chmod 644 /opt/remnawave/nginx/fullchain.pem
chmod 600 /opt/remnawave/nginx/privkey.key

# Перезагрузить конфигурацию Hysteria2 в контейнере (без остановки)
docker exec remnanode pkill -SIGHUP hysteria 2>/dev/null || true
# Если не поддерживает HUP, просто рестарт ноды:
# docker compose -f /opt/remnanode/docker-compose.yml restart
```

Сделайте скрипт исполняемым и добавьте в cron:

```bash
chmod +x /usr/local/bin/renew-hy2-certs.sh
crontab -e
```

Добавьте строку:

```
0 3 * * * /usr/local/bin/renew-hy2-certs.sh >> /var/log/hy2-renew.log 2>&1
```

---

⚠️ Возможные проблемы и решения

Проблема Решение
certbot не может занять порт 80 Остановите все сервисы: systemctl stop nginx или docker stop caddy-selfsteal
В логах failed to load certificate Проверьте права: chmod 644 fullchain.pem && chmod 600 privkey.key
Hysteria2 не стартует на 443 UDP Убедитесь, что порт не занят: ss -ulnp | grep 443. Caddy использует TCP, не должен мешать.
После перезапуска сертификаты пропадают Проверьте монтирование в docker-compose.yml. Пути должны быть абсолютными.
Ошибка certificate signed by unknown authority Используйте полную цепочку fullchain.pem, а не cert.pem

---

📌 Итоговая структура

```
/opt/remnanode/
├── docker-compose.yml # с монтированием /opt/remnawave/nginx
/opt/remnawave/nginx/
├── fullchain.pem # сертификат + цепочка
└── privkey.key # приватный ключ
```

Главное преимущество: Hysteria2 работает на настоящем SSL-сертификате, его трафик неотличим от обычного HTTPS, обход DPI эффективнее, чем у Reality.

1. Подготовка системы
2. Установка Yandex Cloud CLI
3. Установка jq
4. Настройка Yandex Cloud
5. Установка скрипта
6. Настройка скрипта
7. Запуск и использование
8. Устранение проблем
9. Дополнительные настройки

1. Подготовка системы

Проверка операционной системы

bash

# Узнайте вашу ОС
cat /etc/os-release

# Проверьте версию Bash (должна быть 4.0+)
bash --version

Обновление системы

bash

# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y

# CentOS/RHEL
sudo yum update -y

# macOS
brew update && brew upgrade

2. Установка Yandex Cloud CLI

Автоматическая установка (рекомендуется)

bash

# Скачать и установить
curl -sSL https://storage.yandexcloud.net/yandexcloud-yc/install.sh | bash

# Добавить YC CLI в PATH (автоматически добавится в .bashrc)
source ~/.bashrc

# Или для ZSH
source ~/.zshrc

# Проверить установку
yc version

Ручная установка (если автоматическая не работает)

bash

# Ubuntu/Debian
wget https://storage.yandexcloud.net/yandexcloud-yc/release/stable/linux/amd64/yc
chmod +x yc
sudo mv yc /usr/local/bin/

# macOS
wget https://storage.yandexcloud.net/yandexcloud-yc/release/stable/darwin/amd64/yc
chmod +x yc
sudo mv yc /usr/local/bin/

# Проверить
yc version

3. Установка jq

jq - это мощный парсер JSON, необходимый для обработки ответов Yandex Cloud API.

Ubuntu/Debian

bash

# Установка
sudo apt update
sudo apt install jq -y

# Проверка
jq --version
# Должно вывести: jq-1.6 или выше

CentOS/RHEL 7+

bash

# Установка
sudo yum install epel-release -y
sudo yum install jq -y

# Проверка
jq --version

CentOS/RHEL 8+

bash

# Установка
sudo dnf install epel-release -y
sudo dnf install jq -y

# Проверка
jq --version

macOS

bash

# Установка через Homebrew
brew install jq

# Проверка
jq --version

Альтернативная установка (если нет прав root)

bash

# Скачать бинарник
wget https://github.com/stedolan/jq/releases/download/jq-1.6/jq-linux64
chmod +x jq-linux64
sudo mv jq-linux64 /usr/local/bin/jq

# Проверка
jq --version

4. Настройка Yandex Cloud

4.1. Инициализация YC CLI

bash

# Запустить инициализацию
yc init

Пошаговая настройка:

1. Выбор способа авторизации:textPlease go to https://oauth.yandex.ru/authorize?response_type=code&client_id=...
• Откройте ссылку в браузере
• Авторизуйтесь в Яндексе
• Скопируйте код авторизации
• Вставьте код в терминал
2. Выбор облака:textSelect cloud: [1] my-cloud (id = abc123...)
• Выберите номер облака (обычно 1)
3. Выбор папки (каталога):textSelect folder: [1] default (id = def456...)
• Выберите каталог, где будут создаваться IP-адреса
4. Выбор зоны по умолчанию:textDefault availability zone: [1] ru-central1-a [2] ru-central1-b [3] ru-central1-c
• Выберите любую (скрипт сам будет переключать зоны)

4.2. Проверка настроек

bash

# Проверить конфигурацию
yc config list

# Должно показать:
# token: ...
# cloud-id: ...
# folder-id: ...
# zone: ru-central1-...

4.3. Проверка прав доступа

bash

# Проверить, что можно создавать адреса
yc vpc address create --external-ipv4 zone=ru-central1-a --format json

# Если успешно - получите JSON с информацией об адресе
# Сразу удалите тестовый адрес
yc vpc address list --format json | jq -r '.[].id' | xargs -I {} yc vpc address delete {}

5. Установка скрипта

5.1. Скачивание скрипта

bash

# Создать директорию для скриптов (опционально)
mkdir -p ~/scripts
cd ~/scripts

# Скачать скрипт
curl -o ip_hunter.sh https://raw.githubusercontent.com/your-repo/ip_hunter.sh

# Или создать вручную
nano ip_hunter.sh
# (скопируйте код скрипта из предыдущего сообщения)

5.2. Настройка прав

bash

# Сделать скрипт исполняемым
chmod +x ip_hunter.sh

# Проверить права
ls -la ip_hunter.sh
# Должно быть: -rwxr-xr-x

5.3. Проверка зависимостей

bash

# Проверить наличие всех утилит
which bash      # /bin/bash
which yc        # /usr/local/bin/yc
which jq        # /usr/bin/jq

# Все команды должны показать пути

6. Настройка скрипта

6.1. Редактирование параметров

bash

# Открыть скрипт для редактирования
nano ip_hunter.sh

Настройка целей (префиксов):

bash

# Ищем IP, начинающиеся с 178.154 и 51.250
TARGET_PREFIXES=(
    "178.154"
    "51.250"
)

# Можно добавить свои префиксы
TARGET_PREFIXES=(
    "178.154"
    "51.250"
    "62.84"      # Новый префикс
    "84.201"     # Еще один
)

Настройка зон:

bash

# Зоны, в которых будем создавать IP
AVAILABLE_ZONES=(
    "ru-central1-a"
    "ru-central1-b"
    "ru-central1-c"
)

# Можно оставить только некоторые зоны
AVAILABLE_ZONES=(
    "ru-central1-a"
    "ru-central1-b"
    # "ru-central1-c"  # Исключаем
)

Настройка задержек:

bash

MIN_DELAY=3    # Минимальная задержка (секунды)
MAX_DELAY=8    # Максимальная задержка (секунды)

# Для быстрого поиска (риск квоты):
MIN_DELAY=1
MAX_DELAY=3

# Для стабильной работы:
MIN_DELAY=5
MAX_DELAY=10

6.2. Сохранение изменений

bash

# Ctrl+O - сохранить
# Ctrl+X - выйти из nano

7. Запуск и использование

7.1. Простой запуск

bash

# Запустить скрипт
./ip_hunter.sh

7.2. Запуск с сохранением лога

bash

# Сохранить весь вывод в файл
./ip_hunter.sh | tee ip_hunter.log

# Только ошибки
./ip_hunter.sh 2> errors.log

7.3. Запуск в фоне (screen)

bash

# Установить screen если нет
sudo apt install screen -y

# Создать новую сессию
screen -S ip_hunter

# Запустить скрипт
./ip_hunter.sh

# Отсоединиться от сессии: Ctrl+A, затем D

# Вернуться к сессии
screen -r ip_hunter

# Убить сессию (если нужно остановить)
screen -X -S ip_hunter quit

7.4. Запуск в фоне (tmux)

bash

# Установить tmux
sudo apt install tmux -y

# Создать новую сессию
tmux new -s ip_hunter

# Запустить скрипт
./ip_hunter.sh

# Отсоединиться: Ctrl+B, затем D

# Вернуться: tmux attach -t ip_hunter

7.5. Автоматический запуск при старте (crontab)

bash

# Открыть crontab
crontab -e

# Добавить строку для запуска каждые 5 минут
*/5 * * * * /home/username/scripts/ip_hunter.sh >> /home/username/ip_hunter_auto.log 2>&1

# Или запускать при перезагрузке
@reboot /home/username/scripts/ip_hunter.sh

8. Устранение проблем

Проблема 1: "bash: yc: command not found"

bash

# Решение: перезагрузить shell
source ~/.bashrc

# Или добавить вручную
echo 'export PATH=$PATH:$HOME/yandex-cloud/bin' >> ~/.bashrc
source ~/.bashrc

# Проверить
which yc

Проблема 2: "jq: command not found"

bash

# Ubuntu/Debian
sudo apt install jq -y

# CentOS/RHEL
sudo yum install jq -y

# macOS
brew install jq

Проблема 3: "Permission denied" при запуске

bash

# Дать права на выполнение
chmod +x ip_hunter.sh

# Или запускать через bash
bash ip_hunter.sh

Проблема 4: "Error: quota exceeded"

bash

# Увеличить задержки в скрипте
MIN_DELAY=8
MAX_DELAY=15

# Или уменьшить количество зон
AVAILABLE_ZONES=(
    "ru-central1-a"
    # временно отключить другие зоны
)

Проблема 5: "Invalid token" или авторизация

bash

# Переинициализировать YC
yc init --force

# Проверить токен
yc config get token

# Обновить токен вручную
yc config set token <новый_токен>

Проблема 6: Нет прав на создание адресов

bash

# Проверить права
yc resource-manager folder get <folder-id>

# Если прав нет, нужно обратиться к администратору облака
# Или создать сервисный аккаунт с правами
yc iam service-account create --name ip-hunter-sa
yc resource-manager folder add-access-binding <folder-id> \
    --role editor \
    --subject serviceAccount:<service-account-id>

Проблема 7: Скрипт работает медленно

bash

# Уменьшить задержки
MIN_DELAY=2
MAX_DELAY=4

# Увеличить количество зон для большего покрытия
AVAILABLE_ZONES=(
    "ru-central1-a"
    "ru-central1-b"
    "ru-central1-c"
    "ru-central1-d"
)

Проблема 8: Не сохраняются найденные IP

bash

# Проверить права на запись
ls -la ip_hunter_success.log

# Если нет файла, он создастся автоматически
# Проверить, есть ли запись
tail -f ip_hunter_success.log

9. Дополнительные настройки

9.1. Создание alias для быстрого запуска

bash

# Добавить в ~/.bashrc
echo 'alias iphunter="~/scripts/ip_hunter.sh"' >> ~/.bashrc
source ~/.bashrc

# Теперь можно запускать просто:
iphunter

9.2. Настройка уведомлений

Добавьте в скрипт уведомления при успехе:

bash

# Добавить Telegram уведомление
# В секцию успеха добавьте:
curl -s "https://api.telegram.org/bot<TOKEN>/sendMessage" \
    -d "chat_id=<CHAT_ID>" \
    -d "text=✅ Найден IP: $IP_ADDR в зоне $RANDOM_ZONE"

9.3. Ограничение времени работы

bash

# Запустить скрипт на 1 час
timeout 3600 ./ip_hunter.sh

# Или добавить в сам скрипт:
MAX_RUNTIME=3600  # 1 час в секундах
if [ $(date +%s) -gt $((START_TIME + MAX_RUNTIME)) ]; then
    echo "Превышено время работы"
    exit 0
fi

9.4. Многопоточный режим (экспериментально)

bash

# Создать несколько копий скрипта
./ip_hunter.sh &  # Запуск в фоне
./ip_hunter.sh &  # Второй экземпляр

# Но будьте осторожны с квотой!

9.5. Создание systemd сервиса

bash

# Создать файл сервиса
sudo nano /etc/systemd/system/ip-hunter.service

ini

[Unit]
Description=Yandex Cloud IP Hunter
After=network.target

[Service]
Type=simple
User=your_username
WorkingDirectory=/home/your_username/scripts
ExecStart=/home/your_username/scripts/ip_hunter.sh
Restart=on-failure
RestartSec=10

[Install]
WantedBy=multi-user.target

bash

# Включить сервис
sudo systemctl enable ip-hunter
sudo systemctl start ip-hunter

# Проверить статус
sudo systemctl status ip-hunter

# Посмотреть логи
sudo journalctl -u ip-hunter -f

10. Проверка работоспособности

Тестовый запуск

bash

# Сделать тестовый прогон (1-2 итерации)
# Временно измените MIN_DELAY=1 и MAX_DELAY=1
# И запустите
./ip_hunter.sh

Ожидаемый вывод при успехе:

text

╔══════════════════════════════════════════════════════════════════════════╗
║                    YANDEX CLOUD IP HUNTER v3.0                           ║
║                    Cross-Zone IP Scanner                                 ║
╚══════════════════════════════════════════════════════════════════════════╝
🎯 Цели поиска:
  → 178.154.*.*.* (любая зона)
  → 51.250.*.*.* (любая зона)
🌍 Зоны для сканирования:
  → ru-central1-a
  → ru-central1-b
  → ru-central1-c
⏱️  Задержка: 3-8 сек (рандом)
🧹 Авто-очистка: ВКЛ

🧹 Очистка всех адресов... ✅ Чисто (нет адресов)

№    | IP Адрес          | Префикс      | Статус                | Зона создания
──────────────────────────────────────────────────────────────────────────────────
1    | 178.154.23.45     | 178.154      | 🎉 ПОЙМАЛ! 🎉         | ru-central1-b

11. Полезные команды для мониторинга

bash

# Посмотреть созданные адреса
yc vpc address list

# Посмотреть детали конкретного адреса
yc vpc address get <address-id>

# Удалить все адреса вручную
yc vpc address list --format json | jq -r '.[].id' | xargs -I {} yc vpc address delete {}

# Посмотреть квоты
yc resource-manager folder get <folder-id> --format json | jq '.quotas'

# Посмотреть логи успешных находок
cat ip_hunter_success.log

# Мониторить логи в реальном времени
tail -f ip_hunter_success.log

12. Безопасность и лучшие практики

12.1. Использование сервисного аккаунта

bash

# Создать сервисный аккаунт
yc iam service-account create --name ip-hunter

# Создать ключ доступа
yc iam access-key create --service-account-name ip-hunter

# Использовать ключ в скрипте
export YC_TOKEN=<token>
export YC_FOLDER_ID=<folder-id>

12.2. Ограничение прав

bash

# Выдать только необходимые права
yc resource-manager folder add-access-binding <folder-id> \
    --role vpc.admin \
    --subject serviceAccount:<sa-id>

12.3. Резервное копирование успешных IP

bash

# Добавить в crontab для ежедневного копирования
0 0 * * * cp ~/scripts/ip_hunter_success.log ~/backups/ip_hunter_$(date +\%Y\%m\%d).log

13. Заключение

Готово! Ваш скрипт полностью настроен и готов к использованию.

Краткое резюме:

• ✅ Установлены все зависимости (yc, jq)
• ✅ Настроен Yandex Cloud CLI
• ✅ Скачан и настроен скрипт
• ✅ Проведено тестирование

Теперь вы можете:

• Искать IP-адреса с нужными префиксами
• Сканировать несколько зон одновременно
• Автоматически очищать квоту
• Получать статистику в реальном времени

Приятного использования! 🚀

Если у вас остались вопросы, проверьте:

1. Логи ошибок: cat ip_hunter_success.log
2. Статус YC CLI: yc config list
3. Версии утилит: yc version && jq --version && bash --version

1. Получите ключ подписки (ссылку):

• Откройте браузер на телефоне и перейдите на сайт bill.pbalka.ru.
• Авторизуйтесь в системе (если у вас еще нет аккаунта — зарегистрируйтесь).
• Перейдите в раздел «Услуги».
• нажмите на активную VPN-подписки

• перейдите в раздел <<Подключение>>

Нажмите кнопку "Добавить в приложение"

2. Установка приложения на телевизор (ТВ-приставку):

• На телевизоре или ТВ-приставке откройте Google Play Market.
• Найдите и установите приложение Happ (или используйте заранее скачанный APK-файл, если установка из маркета недоступна).
• Запустите приложение Happ.

3. Подготовка к передаче данных:

• В интерфейсе приложения Happ найдите и нажмите кнопку «Отправить через API вручную» (обычно она расположена в боковом меню или на главном экране).
• На экране телевизора справа появится QR-код.

4. Передача ключа через телефон:

• Возьмите телефон, откройте приложение камеры (или любой QR-сканер) и наведите на QR-код на экране телевизора.
• Перейдите по открывшейся ссылке в браузере телефона.
• На открывшемся сайте найдите поле «Данные».
• Вставьте в это поле ключ-ссылку, которую вы скопировали на сайте bill.pbalka.ru в пункте 1.
• Нажмите кнопку «Отправить данные».

5. Активация VPN на телевизоре:

• После отправки данных на телевизоре автоматически загрузится конфигурация подписки.
• Чтобы подключиться, нажмите на большую круглую кнопку с символом включения (⏻).
• (Опционально) Если нужно сменить страну, выберите другую локацию в списке перед подключением или после нажатия на кнопку.

6. Проверка подключения:

• ✅ Успех: Если после проверки соединения вместо красной кнопки «Проверить текущее подключение» появится надпись «Успешно» — вы подключены к VPN.
• ❌ Ошибка: Если отобразится ошибка — повторите попытку. Если не срабатывает, смените локацию (страну) в приложении Happ и повторите проверку.

Видео-инструкции (для наглядности)

Чтобы процесс был максимально понятным, воспользуйтесь видео-гайдами:

1. Как получить ключ в bill.pbalka.ru:
   (Здесь обычно вставляется ссылка на видео, где показан личный кабинет и кнопка копирования ссылки)
   👉 [Ссылка: Как скопировать VPN-ссылку в биллинге]
2. Как настроить Happ на телевизоре (универсально):
   (Видео, демонстрирующее установку приложения, сканирование QR-кода и нажатие кнопки питания)
   👉 [Ссылка: Настройка Happ для Smart TV]
3. Видео: Полная настройка от А до Я (bill.pbalka.ru + Happ):
   *(Краткий ролик (1-2 минуты), объединяющий оба этапа)*
   👉 [Ссылка: Готовая видеоинструкция подключения]

1.1. Администрация / Правообладатель — лицо, осуществляющее управление Телеграм-ботом @mrzbill_bot и предоставляющее доступ к Сервисам.
1.2. Пользователь — любое дееспособное физическое лицо, использующее Сервисы через Телеграм-бота.
1.3. Сервис / Услуга — функционал Бота, позволяющий Пользователю приобретать, активировать и управлять подписками на VPN-сервисы, а также использовать сопутствующие функции (реферальная программа, бонусы и т.д.).

2. Предмет Соглашения

2.1. Настоящее Соглашение регулирует отношения между Администрацией и Пользователем по поводу использования функционала Бота.
2.2. Администрация предоставляет Пользователю доступ к Сервисам, перечень которых определен в меню Бота, а Пользователь обязуется оплачивать и использовать их в соответствии с условиями Соглашения.
2.3. Полный перечень тарифов, их стоимость и характеристики публикуются в соответствующих разделах Бота (команда /pricelist).

3. Порядок оказания услуг

3.1. Пользователь самостоятельно заказывает услугу через интерфейс Бота.
3.2. Услуга считается оказанной с момента предоставления Пользователю доступа к ключу/ссылке/QR-коду для настройки VPN, если иное не предусмотрено конкретным тарифом.
3.3. Обязанность Администрации по предоставлению услуги считается исполненной с момента активации подписки для Пользователя и предоставления доступа к конфигурации.

4. Оплата и возврат средств

4.1. Оплата услуг производится через интегрированные платежные системы (ЮKassa, Telegram Stars) или по квитанции на реквизиты администратора.
4.2. Пользователь обязуется своевременно оплачивать выбранные тарифы. При недостатке средств на балансе услуга может быть заблокирована (статус BLOCK).
4.3. Возврат денежных средств производится в соответствии с Законом РФ "О защите прав потребителей".

• Пользователь вправе отказаться от услуги до момента получения доступа к конфигурации (ключа).
• Если услуга была активирована, возврат производится пропорционально неиспользованному времени (расчет ведется в сутках), за вычетом фактических расходов Администрации (например, комиссии платежных систем).
• Для инициирования возврата необходимо обратиться в поддержку.
  4.4. В случае технической невозможности оказания услуги по вине Администрации, средства подлежат возврату в полном объеме.

5. Права и обязанности Сторон

5.1. Администрация обязуется:

• Обеспечивать работоспособность Сервиса 24/7, за исключением времени проведения профилактических работ.
• Обеспечивать конфиденциальность данных Пользователя (см. Политику конфиденциальности).
• Оказывать техническую поддержку Пользователям.
  5.2. Администрация имеет право:
• Приостанавливать оказание услуг в случае нарушения Пользователем условий Соглашения.
• Изменять стоимость тарифов в одностороннем порядке с предварительным уведомлением Пользователей (например, через рассылку). Для текущих подписок изменение стоимости применяется с момента следующего продления.
• Блокировать доступ Пользователя в случае попыток взлома, спама или иных деструктивных действий.
  5.3. Пользователь обязуется:
• Не использовать Сервис для целей, противоречащих законодательству РФ (например, для обхода блокировок экстремистских ресурсов, распространения вредоносного ПО).
• Не передавать свои ключи доступа третьим лицам, если это ограничено условиями тарифа.
• Самостоятельно нести ответственность за сохранность своих данных для входа.
  5.4. Пользователь имеет право:
• Получать услуги в соответствии с выбранным тарифом.
• Обращаться в службу поддержки по вопросам работы Сервиса.
• Отказаться от услуг и потребовать возврата средств на условиях п. 4.3.

6. Ограничение ответственности

6.1. Сервис предоставляется "как есть". Администрация не несет ответственности за прямой или косвенный ущерб, возникший в результате использования или невозможности использования Сервиса.
6.2. Администрация не несет ответственности за качество работы интернет-канала Пользователя, а также за блокировки со стороны интернет-провайдеров или государственных органов.
6.3. Администрация не гарантирует 100% доступность серверов во всех странах мира в любой момент времени, но прилагает все усилия для обеспечения стабильности соединения.

7. Реферальная программа

7.1. Пользователь может участвовать в реферальной программе.
7.2. За привлеченных пользователей (рефералов) начисляются бонусы в размере, указанном в разделе /referrals.
7.3. Бонусы могут быть использованы для оплаты услуг. Администрация оставляет за собой право блокировать бонусный счет в случае выявления накруток или мошеннических действий.

8. Прочие условия

8.1. Настоящее Соглашение может быть изменено Администрацией в одностороннем порядке. Актуальная версия всегда доступна в Боте.
8.2. Начало использования Сервиса означает полное и безоговорочное принятие Пользователем условий настоящего Соглашения.
8.3. По всем вопросам обращаться в поддержку: @idsmef.

1.1. Настоящая Политика конфиденциальности (далее — Политика) действует в отношении всей информации, которую Телеграм-бот @[BotUsername] (далее — Бот) может получить о Пользователе во время использования им Сервисов.
1.2. Использование Сервисов означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации.
1.3. В случае несогласия с условиями Политики Пользователь должен воздержаться от использования Сервисов.

2. Персональная информация Пользователей

2.1. Под персональной информацией в настоящей Политике понимается:

• Техническая информация: Ваш Telegram ID, имя пользователя (username), имя и фамилия (full_name), указанные в Telegram, а также идентификатор чата (chat_id).
• Информация об активности: Дата регистрации, история заказов услуг (VPN-подписок), история платежей и начислений бонусов, IP-адрес (в журналах безопасности), информация о действиях в Боте (нажатия на кнопки, ввод данных).
• Информация, предоставляемая Пользователем добровольно: Тексты обращений в поддержку, файлы квитанций об оплате, введенные промокоды.
  2.2. Цели сбора и обработки информации:
• Идентификация Пользователя в рамках Сервиса.
• Предоставление функционала Бота: создание и управление подписками, обработка платежей, активация услуг.
• Связь с Пользователем (направление уведомлений о статусе подписок, платежей, информационных сообщений).
• Ведение статистики и улучшение работы Сервиса.
• Начисление и списание бонусов в рамках реферальной программы.
• Обработка запросов в службу поддержки.

3. Условия обработки персональной информации

3.1. Обработка персональной информации осуществляется на основе принципов законности и справедливости. Обработка осуществляется в автоматизированном режиме с использованием баз данных на платформе [Название платформы, если известно, например: "SHM"].

4. Передача информации третьим лицам

4.1. Бот не передает персональную информацию Пользователей третьим лицам, за исключением случаев, прямо предусмотренных настоящей Политикой:

• Платежные системы (ЮKassa, Telegram Stars и др.): Для проведения транзакций передается необходимая информация (сумма платежа, идентификатор пользователя).
• Провайдеры услуг (VPN-серверы): Для активации подписки может передаваться техническая информация (например, UUID пользователя).
• Государственные органы: В случаях, предусмотренных законодательством РФ.
  4.2. Бот может использовать обезличенные данные для аналитики с привлечением сторонних сервисов.

5. Обязательства Сторон

5.1. Администрация Бота обязуется:

• Использовать полученную информацию исключительно для целей, указанных в п. 2.2.
• Обеспечить хранение конфиденциальной информации в тайне.
• Принимать меры для защиты информации от несанкционированного доступа.
  5.2. Пользователь обязуется:
• Не передавать данные своей учетной записи (файлы конфигурации, ссылки на подключение) третьим лицам.
• Сообщать в поддержку о любых случаях подозрительной активности в аккаунте.

6. Хранение и удаление данных

6.1. Персональные данные Пользователя хранятся до момента удаления его аккаунта.
6.2. Удаление аккаунта происходит автоматически после команды администратора или через функционал Бота (если предусмотрено). После удаления информация о Пользователе удаляется из активных баз данных. Информация о платежах и транзакциях может храниться в резервных копиях в целях финансовой отчетности.

7. Изменение Политики конфиденциальности

7.1. Администрация Бота имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее опубликования в Боте, если иное не предусмотрено новой редакцией.

8. Контакты и вопросы

8.1. По всем вопросам, связанным с обработкой персональных данных, Пользователь может связаться со службой поддержки: @idsmef.

1. Назначение
2. Принцип работы
3. Системные требования
4. Установка
5. Проверка работы
6. Мониторинг и логи
7. Управление
8. Удаление
9. Настройка AS-списка
10. Устранение неполадок

🎯 Назначение

Скрипт создает систему фильтрации входящих подключений на TCP/UDP порт 443 (HTTPS/QUIC), разрешая трафик только из мобильных сетей России (MTS, Beeline, MegaFon, Tele2, Yota и др.) и блокируя все остальные подключения.

Идеально подходит для:

• Защиты от ботов и сканеров из зарубежных дата-центров
• Ограничения доступа к сервисам только для мобильных абонентов РФ
• Снижения нагрузки от автоматических атак

⚙️ Принцип работы

1. Сбор префиксов - ежедневно в 00:00 скрипт запрашивает у RIPEstat (статистика RIPE) все объявленные префиксы для указанных AS-номеров
2. Фильтрация и валидация - собранные префиксы сортируются, проверяются на валидность
3. Защита от ошибок - система не применит обновление, если префиксов слишком мало или их количество упало более чем на 30%
4. Применение правил - создается ipset с подсетями, iptables цепочка FILTER_MOBILE_443, которая разрешает трафик только из этих подсетей
5. Автоматическое восстановление - при загрузке системы применяется последний успешно загруженный кеш префиксов

Схема работы:

text

RIPEstat API (список префиксов AS) → mobile443-update.sh → ipset → iptables
                                          ↓
                                  /var/lib/mobile443/prefixes.txt (кеш)

💻 Системные требования

• ОС: Ubuntu 18.04+, Debian 10+, CentOS 7+ (с поддержкой systemd)
• Ядро: с поддержкой ipset и iptables
• Память: от 256 MB RAM
• Диск: от 50 MB свободного места
• Зависимости: curl, jq, ipset, iptables, util-linux (flock)

🚀 Установка

1. Сохраните скрипт

Сохраните полный код скрипта (который начинается с #!/usr/bin/env bash) в файл:

bash

sudo nano /usr/local/bin/mobile443-installer.sh

Вставьте код и сохраните (Ctrl+X, Y, Enter).

2. Сделайте скрипт исполняемым

bash

sudo chmod +x /usr/local/bin/mobile443-installer.sh

3. Запустите установку

bash

sudo /usr/local/bin/mobile443-installer.sh install

4. Что происходит при установке:

✅ Создаются директории:

• /opt/mobile443/ - конфигурация (asns.conf)
• /var/lib/mobile443/ - состояние (кеш префиксов, lock-файл)
• /usr/local/sbin/ - исполняемые скрипты

✅ Устанавливаются скрипты:

• mobile443-common.sh - общие функции
• mobile443-update.sh - обновление списка префиксов
• mobile443-apply-cache.sh - применение кеша при загрузке

✅ Создаются systemd-юниты:

• mobile443-update.service - разовое обновление
• mobile443-update.timer - ежедневное обновление в 00:00
• mobile443-apply.service - применение кеша при старте

✅ Запускается первое обновление

🔍 Проверка работы

После установки выполните следующие проверки:

Статус служб

bash

# Статус таймера (должен быть active и waiting)
systemctl status mobile443-update.timer

# Статус последнего обновления
systemctl status mobile443-update.service --no-pager

# Статус службы применения кеша
systemctl status mobile443-apply.service --no-pager

Проверка ipset

bash

# Информация о множестве
ipset list allowed_mobile_443 | head -20

# Количество подсетей (должно быть несколько тысяч)
ipset list allowed_mobile_443 | grep -c "^[0-9]"

Проверка iptables

bash

# Просмотр правил
iptables -L FILTER_MOBILE_443 -n -v --line-numbers

# Где применяется цепочка
iptables -L INPUT -n -v | grep -A 2 FILTER_MOBILE_443
iptables -L FORWARD -n -v | grep -A 2 FILTER_MOBILE_443

Тестирование фильтрации

bash

# С сервера, который НЕ в мобильной сети (например, зарубежный VPS):
curl -I https://ваш-сервер.com

# С мобильного телефона РФ (через мобильный интернет):
curl -I https://ваш-сервер.com

📊 Мониторинг и логи

Просмотр логов обновлений

bash

# Последние обновления
journalctl -u mobile443-update.service -n 30 --no-pager

# Следить за обновлениями в реальном времени
journalctl -u mobile443-update.service -f

# Логи применения кеша
journalctl -u mobile443-apply.service -n 30

Статистика по трафику

bash

# Сколько пакетов пропущено/заблокировано
iptables -L FILTER_MOBILE_443 -n -v -x

# Сброс счетчиков (если нужно)
iptables -Z FILTER_MOBILE_443

Проверка кеша

bash

# Размер кеша (количество подсетей)
wc -l /var/lib/mobile443/prefixes.txt

# Просмотр первых записей
head -20 /var/lib/mobile443/prefixes.txt

🛠️ Управление

Ручное обновление списка префиксов

bash

sudo systemctl start mobile443-update.service
journalctl -u mobile443-update.service -f  # следить за процессом

Применение кеша (если правила "слетели")

bash

sudo systemctl start mobile443-apply.service

Временное отключение фильтрации (для отладки)

bash

# Удалить правила из INPUT/FORWARD/DOCKER-USER (фильтрация отключится)
sudo iptables -D INPUT -p tcp --dport 443 -j FILTER_MOBILE_443
sudo iptables -D INPUT -p udp --dport 443 -j FILTER_MOBILE_443

# Вернуть обратно
sudo /usr/local/sbin/mobile443-apply-cache.sh

Полная перезагрузка правил

bash

# Очистить и пересоздать всё
sudo ipset destroy allowed_mobile_443
sudo ipset destroy allowed_mobile_443_tmp
sudo /usr/local/sbin/mobile443-apply-cache.sh

🗑️ Удаление

bash

sudo /usr/local/bin/mobile443-installer.sh remove

Что будет удалено:

• Все systemd-юниты (mobile443-*)
• Все iptables правила и цепочки
• Все ipset множества
• Скрипты в /usr/local/sbin/
• Директории /opt/mobile443/ и /var/lib/mobile443/

⚙️ Настройка AS-списка

Список AS-номеров находится в /opt/mobile443/asns.conf

Текущий состав (по умолчанию):

• MTS (8359)
• Beeline (3216)
• MegaFon (31133, 8263, и др.)
• Tele2 (12958, 15378, и др.)
• Ростелеком (12389) - добавлен для расширения покрытия
• Yandex Cloud (205638)
• Другие мобильные операторы

Редактирование списка:

bash

sudo nano /opt/mobile443/asns.conf

Формат: один AS-номер на строку, строки начинающиеся с # игнорируются.

Пример добавления нового AS:

bash

echo "12345  # Новый оператор" | sudo tee -a /opt/mobile443/asns.conf

После изменения списка необходимо выполнить обновление:

bash

sudo systemctl start mobile443-update.service
journalctl -u mobile443-update.service -f

🔧 Устранение неполадок

Проблема: "Refusing update: too few prefixes"

Причина: API вернуло менее 500 префиксов (обычно проблема с сетью или API RIPE)
Решение:

bash

# Проверить соединение с RIPE
curl -I https://stat.ripe.net

# Применить последний рабочий кеш
sudo systemctl start mobile443-apply.service

# Проверить логи ошибок
journalctl -u mobile443-update.service -n 50

Проблема: "Refusing update: new prefix count dropped too much"

Причина: Количество префиксов упало более чем на 30% от предыдущего значения (защита от битого обновления)
Решение: Если изменение ожидаемое (например, удалили AS из списка), можно принудительно обновить:

bash

# Удалить старый кеш и запустить обновление
sudo rm /var/lib/mobile443/prefixes.txt
sudo systemctl start mobile443-update.service

Проблема: Нет доступа с мобильных устройств

Причина: Ваш мобильный оператор не в списке AS или использует нестандартные префиксы
Решение:

1. Узнать AS своего оператора: https://2ip.ru/whois/
2. Добавить AS в /opt/mobile443/asns.conf
3. Обновить список

Проблема: Docker контейнеры не могут принимать соединения

Решение: Скрипт автоматически добавляет правила в цепочку DOCKER-USER, если она существует. Проверьте:

bash

# Убедиться, что правила есть
iptables -L DOCKER-USER -n -v | grep FILTER_MOBILE_443

# Если нет - применить кеш заново
sudo systemctl start mobile443-apply.service

Проблема: Не запускается таймер

bash

# Проверить статус
systemctl status mobile443-update.timer

# Перезапустить таймер
sudo systemctl restart mobile443-update.timer
sudo systemctl daemon-reload

📝 Примечания

• Скрипт использует flock для предотвращения одновременных запусков
• Применяется защита от "пустого" обновления (минимум 500 префиксов)
• При падении числа префиксов >30% обновление отклоняется
• Кеш хранится в /var/lib/mobile443/prefixes.txt
• Все операции идемпотентны - можно запускать многократно

🆘 Поддержка

Если возникли проблемы:

1. Проверьте раздел Устранение неполадок
2. Посмотрите логи: journalctl -u mobile443-update.service -n 100
3. Проверьте доступность API: curl -I https://stat.ripe.net
4. Убедитесь, что файл ASNs существует: cat /opt/mobile443/asns.conf

📋 СОДЕРЖАНИЕ

1. Назначение скрипта
2. Системные требования
3. Подготовка к работе
4. Настройка скрипта
5. Запуск скрипта
6. Понимание вывода
7. Устранение проблем
8. Дополнительные советы

🎯 НАЗНАЧЕНИЕ СКРИПТА

Скрипт предназначен для автоматического поиска и получения внешних IP-адресов с определенными префиксами (российские IP) в VK Cloud. Он последовательно перебирает указанные подсети, создавая и удаляя floating IP, пока не найдет IP с нужным префиксом.

Целевые префиксы по умолчанию: 89., 185., 5., 95., 37.

💻 СИСТЕМНЫЕ ТРЕБОВАНИЯ

Необходимое ПО:

• ОС: Linux (Ubuntu/Debian/CentOS) или WSL для Windows
• Python 3.x (обычно предустановлен)
• OpenStack Client - инструмент командной строки для работы с VK Cloud

Проверка установки:

bash

python3 --version
openstack --version

🔧 ПОДГОТОВКА К РАБОТЕ

Шаг 1: Установка OpenStack клиента

bash

# Ubuntu/Debian
apt update
apt install python3-pip -y
pip3 install python-openstackclient

# CentOS/RHEL
yum install python3-pip
pip3 install python-openstackclient

Шаг 2: Скачивание файлов аутентификации из VK Cloud

1. Войдите в личный кабинет VK Cloud
2. Перейдите в раздел "Аккаунт" → "OpenStack авторизация"
3. Скачайте файл project-openrc.sh
4. Поместите его в ту же папку, где будет находиться скрипт

Шаг 3: Структура папок

Создайте отдельную папку для скрипта:

bash

mkdir ~/vk-hunter
cd ~/vk-hunter

Поместите в эту папку:

• project-openrc.sh (файл аутентификации)
• hunter.sh (сам скрипт)

⚙️ НАСТРОЙКА СКРИПТА

Редактирование целевых подсетей

Откройте скрипт в текстовом редакторе:

bash

nano hunter.sh

Найдите строку (примерно 14-15):

bash

TARGET_SUBNETS=("ext-sub19" "ext-sub21" "ext-sub26" "ext-sub35" "ext-sub37")

Замените на названия ваших подсетей, которые можно узнать командой:

bash

openstack subnet list

Настройка защищенного IP

Найдите строку (примерно 21):

bash

SAVED_IP="90.x.x.x"

Замените на ваш реальный IP, который нельзя удалять (если есть).

Настройка префиксов (опционально)

При необходимости измените целевые префиксы:

bash

PREFIXES=("89." "185." "5." "95." "37.")

Настройка задержек (опционально)

bash

MIN_DELAY=3  # Минимальная задержка между попытками
MAX_DELAY=7  # Максимальная задержка

🚀 ЗАПУСК СКРИПТА

Шаг 1: Сделайте скрипт исполняемым

bash

chmod +x hunter.sh

Шаг 2: Запустите скрипт

bash

./hunter.sh

Шаг 3: Введите пароль (при первом запуске)

Скрипт запросит пароль от VK Cloud (тот же, что используете для входа в личный кабинет):

text

🔐 Требуется аутентификация в VK Cloud
Введите ваш пароль от VK Cloud: [введите пароль]

Пароль не отображается на экране - это нормально.

📊 ПОНИМАНИЕ ВЫВОДА

Начальный экран

text

⚡ VK CLOUD SUBNET HUNTER v3.3 ⚡
🎯 Охотник за российскими IP-адресами
📡 Целевые префиксы: 89. 185. 5. 95. 37.
🛡️ Защищенный IP: 90.x.x.x

Процесс охоты

Скрипт создает таблицу с колонками:

• № - номер попытки
• IP Адрес - полученный IP
• Подсеть - подсеть, из которой получен IP
• Статус - результат проверки

Возможные статусы:

• ❌ Мимо - IP не подходит под целевые префиксы
• ⚠️ Подсеть занята - в подсети нет свободных IP
• ✅ БИНГО! (89.*) - НАЙДЕН НУЖНЫЙ IP! 🎉

Пример успешного нахождения

text

🏆🏆🏆  ПОЗДРАВЛЯЮ! ЦЕЛЕВОЙ IP НАЙДЕН!  🏆🏆🏆

┌──────────────────────────────────────────────────────────┐
│ IP адрес:     89.123.45.67                               │
│ ID:           6a7b8c9d-0e1f-2a3b-4c5d-6e7f8a9b0c1d      │
│ Подсеть:      ext-sub19                                   │
│ Подсеть ID:   1a2b3c4d-5e6f-7a8b-9c0d-1e2f3a4b5c6d      │
│ Найден в:     2024-01-15 14:23:45                        │
│ Попыток:      47                                          │
└──────────────────────────────────────────────────────────┘

🔍 УСТРАНЕНИЕ ПРОБЛЕМ

Проблема: "OpenStack клиент не найден!"

Решение:

bash

pip3 install python-openstackclient
# или
sudo apt install python3-openstackclient  # для Ubuntu

Проблема: "Не удалось аутентифицироваться"

Проверьте:

1. Правильность пароля
2. Наличие файла project-openrc.sh в текущей папке
3. Срок действия аккаунта в VK Cloud

Проблема: "Ни одна из указанных подсетей не найдена"

Решение:

1. Проверьте названия подсетей:

bash

openstack subnet list

1. Исправьте массив TARGET_SUBNETS в скрипте

Проблема: Скрипт работает медленно

Настройте задержки в скрипте:

bash

MIN_DELAY=1  # Уменьшите до 1 секунды
MAX_DELAY=3  # Уменьшите до 3 секунд

Проблема: Постоянно "Подсеть занята"

Возможные причины:

• Достигнут лимит квоты на IP-адреса
• В подсети закончились свободные IP
• Слишком быстрые запросы (увеличьте задержки)

💡 ДОПОЛНИТЕЛЬНЫЕ СОВЕТЫ

1. Запуск в фоне (screen/tmux)

Для длительной работы:

bash

# Установка screen
apt install screen

# Создание сессии
screen -S vk-hunter

# Запуск скрипта
./hunter.sh

# Отсоединение: Ctrl+A, затем D
# Возврат: screen -r vk-hunter

2. Использование найденного IP

После нахождения IP, прикрепите его к серверу:

bash

# Список серверов
openstack server list

# Прикрепление IP к серверу
openstack server add floating ip ИМЯ_СЕРВЕРА НАЙДЕННЫЙ_IP

# Пример
openstack server add floating ip my-server 89.123.45.67

3. Автоматическое сохранение логов

bash

./hunter.sh | tee hunt.log

4. Экспорт переменных без пароля

Для автоматизации можно экспортировать пароль заранее:

bash

export OS_PASSWORD="ваш_пароль"
./hunter.sh

⚠️ ВАЖНЫЕ ЗАМЕЧАНИЯ

1. Квоты: VK Cloud имеет ограничения на количество floating IP
2. Стоимость: За каждый созданный IP может взиматься плата
3. Безопасность: Не передавайте файл project-openrc.sh третьим лицам
4. Стабильность: При слишком частых запросах API может временно блокировать доступ

🆘 ПОЛУЧЕНИЕ ПОМОЩИ

• Автор скрипта: @idsmef
• Telegram канал: https://t.me/idsmef
• Документация VK Cloud: https://cloud.vk.com/docs/

Инструкция: Создание пользователя adm с правами root и домашней папкой /root

Шаг 1: Создание пользователя с указанием домашней директории

Создадим пользователя adm с домашней папкой /root:

bash

sudo useradd -m -d /root -s /bin/bash adm

Объяснение параметров:

• -m — создать домашнюю директорию, если она не существует
• -d /root — указать /root как домашнюю директорию
• -s /bin/bash — установить bash как командную оболочку
• adm — имя создаваемого пользователя

Шаг 2: Установка пароля для пользователя

bash

sudo passwd adm

Система запросит ввод нового пароля дважды .

Шаг 3: Проверка создания пользователя

Убедимся, что пользователь создан с правильной домашней директорией:

bash

getent passwd adm

Вы должны увидеть строку, где последнее поле (перед командой оболочки) указывает на /root:

text

adm:x:1001:1001::/root:/bin/bash

Шаг 4: Настройка прав на домашнюю директорию /root

Поскольку /root принадлежит пользователю root, нужно дать доступ пользователю adm:

bash

# Добавим пользователя adm в группу root
sudo usermod -aG root adm

# Изменим права доступа к директории /root
sudo chmod 750 /root

# Убедимся, что владелец и группа установлены правильно
sudo chown root:root /root

Важно: Права 750 означают:

• 7 (rwx) для владельца (root) — полный доступ
• 5 (r-x) для группы (root) — чтение и выполнение
• 0 (---) для остальных — нет доступа

Шаг 5: Копирование файлов конфигурации (опционально)

Чтобы у пользователя adm были стандартные файлы конфигурации оболочки:

bash

# Скопируем файлы из /etc/skel в /root
sudo cp -rT /etc/skel /root/

# Изменим владельца скопированных файлов
sudo chown -R adm:adm /root/.bashrc /root/.profile 2>/dev/null

Шаг 6: Предоставление прав суперпользователя (sudo)

Способ А: Через группу sudo (рекомендуется для Ubuntu/Debian)

bash

# Добавляем пользователя в группу sudo
sudo usermod -aG sudo adm

Способ Б: Через группу wheel (для RHEL/CentOS/AlmaLinux)

bash

# Добавляем пользователя в группу wheel
sudo usermod -aG wheel adm

Способ В: Напрямую через sudoers (максимальные права)

bash

# Редактируем файл sudoers через visudo (обязательно!)
sudo visudo -f /etc/sudoers.d/adm

Добавьте строку:

text

adm ALL=(ALL:ALL) ALL

или для доступа без пароля:

text

adm ALL=(ALL:ALL) NOPASSWD: ALL

Шаг 7: Настройка окружения пользователя

Создадим файл .bashrc в /root для пользователя adm (если его нет):

bash

# Создадим базовый .bashrc
cat > /root/.bashrc << 'EOF'
# ~/.bashrc: executed by bash(1) for interactive shells

# If not running interactively, don't do anything
case $- in
    *i*) ;;
    *) return;;
esac

# Set colorful prompt
if [ "$USER" = "root" ]; then
    PS1='\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '
else
    PS1='\[\033[01;32m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '
fi

# Alias definitions
alias ll='ls -alF'
alias la='ls -A'
alias l='ls -CF'

# Enable color support
if [ -x /usr/bin/dircolors ]; then
    eval "$(dircolors -b)"
    alias ls='ls --color=auto'
fi

# Enable bash completion
if [ -f /etc/bash_completion ]; then
    . /etc/bash_completion
fi
EOF

# Установим владельца
sudo chown adm:adm /root/.bashrc

Шаг 8: Проверка прав пользователя

Переключитесь на пользователя adm и проверьте его права:

bash

# Переключение на пользователя adm
sudo su - adm

# Проверка текущего пользователя и директории
whoami
pwd
id

# Проверка sudo прав
sudo whoami
# Должно вернуть "root"

# Проверка доступа к системным файлам
sudo ls -la /root
sudo cat /etc/shadow

Шаг 9: Настройка SSH для пользователя adm (опционально)

Если нужно разрешить вход по SSH для пользователя adm:

bash

# Создаем SSH директорию в /root (если её нет)
sudo mkdir -p /root/.ssh
sudo chmod 700 /root/.ssh

# Добавляем публичный ключ (если используется)
sudo nano /root/.ssh/authorized_keys
# Вставьте содержимое публичного ключа

# Устанавливаем правильного владельца
sudo chown -R adm:adm /root/.ssh
sudo chmod 600 /root/.ssh/authorized_keys

Полный скрипт для автоматизации

Вот полный скрипт, который выполняет все шаги автоматически:

bash

#!/bin/bash

# Создание пользователя adm с домашней папкой /root
echo "Создание пользователя adm..."
sudo useradd -m -d /root -s /bin/bash adm

# Установка пароля
echo "Установите пароль для пользователя adm:"
sudo passwd adm

# Добавление в группы
echo "Добавление в группы sudo и root..."
sudo usermod -aG sudo,root adm

# Настройка прав на /root
echo "Настройка прав доступа к /root..."
sudo chmod 750 /root
sudo chown root:root /root

# Настройка sudo прав
echo "Предоставление sudo прав..."
echo "adm ALL=(ALL:ALL) ALL" | sudo tee /etc/sudoers.d/adm
sudo chmod 440 /etc/sudoers.d/adm

# Копирование файлов конфигурации
echo "Копирование файлов конфигурации..."
sudo cp -rT /etc/skel/ /root/
sudo chown -R adm:adm /root/.bashrc /root/.profile 2>/dev/null

# Создание .bashrc если его нет
if [ ! -f /root/.bashrc ]; then
    echo "Создание .bashrc..."
    cat > /root/.bashrc << 'INNER_EOF'
# ~/.bashrc for adm user
export PS1='\[\033[01;31m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '
alias ll='ls -alF'
alias la='ls -A'
alias l='ls -CF'
INNER_EOF
    sudo chown adm:adm /root/.bashrc
fi

echo "Готово! Пользователь adm создан."
echo "Переключитесь на него: sudo su - adm"
echo "Проверьте права: sudo whoami"

Важные предупреждения

1. Безопасность: Создание пользователя с домашней папкой /root нестандартно и может создать путаницу. Обычно root и обычные пользователи имеют раздельные домашние директории по соображениям безопасности .
2. Конфликты: Если несколько пользователей используют /root как домашнюю папку, возможны конфликты с файлами конфигурации.
3. Альтернатива: Рекомендуется оставить стандартную домашнюю папку /home/adm и просто дать пользователю права sudo:bashsudo adduser adm sudo usermod -aG sudo adm
4. Проверка: После создания убедитесь, что пользователь имеет все необходимые права, но при этом не создает угроз безопасности системе.