visatk/mtg

# 🛡️ 安全的 MTProto Proxy (Fake-TLS + 赞助频道)    官方 Telegram MTProto Proxy 的生产级容器化实现。本仓库专为最大程度规避深度包检测 (DPI) 防火墙而设计，使用带有 `ee` 前缀的 Fake-TLS 密钥，同时原生支持用于变现或品牌推广的推广频道。 ## 🏗️ 架构与应用安全 (AppSec) 亮点 - **DPI 规避 (Fake-TLS)：** 优先使用 443 端口，并利用高声誉的伪装域名（默认：`cloudflare.com`），使流量与标准 HTTPS 流量无法区分。 - **最小权限执行：** 对容器能力进行了严格限制。丢弃了 `ALL` 能力，仅选择性地添加 `NET_BIND_SERVICE`、`CHOWN`、`SETUID`、`SETGID` 和 `DAC_OVERRIDE`，以最小化潜在漏洞的爆炸半径。 - **高并发：** 操作系统级的文件描述符限制 (`ulimits`) 被调整为 `1048576`（软/硬限制），以支持海量并发用户连接而不会出现套接字资源枯竭。 - **自动化加密：** 动态生成加密安全的 16 字节十六进制密钥，并与 SNI 负载原生映射。 ## 📋 前置条件 - 一台具有公网 IP 地址的基于 Linux 的服务器（推荐使用 Ubuntu/Debian）。 - 已安装 [Docker](https://docs.docker.com/get-docker/) 和 [Docker Compose](https://docs.docker.com/compose/install/)。 - 服务器的防火墙上开放 `443` 端口。 ## 🚀 快速开始 **1. 克隆仓库** ``` git clone [https://github.com/visatk/mtg.git](https://github.com/visatk/mtg.git) cd mtg ``` **2. 赋予安装脚本可执行权限** ``` chmod +x setup_mtproxy.sh ``` **3. 注册你的 Proxy 并获取 Ad Tag** 要进行变现或推广频道，你必须向 Telegram 注册你的代理： 1. 打开 Telegram 并开始与 [@MTProxybot](https://t.me/MTProxybot) 聊天。 2. 发送 `/newproxy` 并提供你服务器的公网 IP 和端口（例如 `1.2.3.4:443`）。 3. 生成一个临时密钥或使用占位符来完成注册。 4. 发送 `/myproxies`，选择你的代理，然后选择 **"Set Ad"**。 5. 提供你的频道用户名（例如 `@MyChannel`）。 6. 机器人将回复一个 32 字符的十六进制 **Ad Tag**。请妥善保存。 **4. 部署基础设施** ``` ./setup_mtproxy.sh ``` *出现提示时，请粘贴从 `@MTProxybot` 获取的 32 字符 Ad Tag。* 该脚本将自动生成符合应用安全 (AppSec) 标准的 Fake-TLS 密钥，部署 Docker 容器，并输出你最终可共享的 `t.me` 连接链接。 ## ⚙️ 配置调优 修改 `docker-compose.yml` 以根据你的 CPU 核心数扩展 worker： ``` environment: - WORKERS=4 # Scale this to match your host's logical CPU cores ``` 要更改 Fake-TLS 伪装域名（如果 `cloudflare.com` 在你的目标区域被封锁），请编辑 `setup_mtproxy.sh`： ``` COVER_DOMAIN="google.com" # Ensure this is a TLS 1.3 enabled domain ``` ## 🔍 故障排除 **日志：** 查看实时连接和 worker 日志： ``` docker logs -f mtproxy ``` **容器重启：** ``` docker-compose restart ``` ## 📜 许可证 在 MIT 许可证下分发。查看 `LICENSE` 获取更多信息。

标签：Cutter, Docker, DPI绕过, Fake-TLS, MTProto, Telegram, 安全防御评估, 版权保护, 网络通信, 请求拦截