在云服务器上 DD 安装 FreeBSD 并部署 sing-box

咖喱KIKI

在开始安装之前我们需要做一些准备工作

推荐使用 Nube.sh 或者 Vultr 这类实时计费试手,控制台已经提供了准备工作的信息

首先我们需要在部署 FreeBSD 的 Linux 机器上面运行 ip addr 获取 ip 地址以及网关

其次确定你的服务器提供商提供了 VNC 来操作

PS:Nube.sh 的 VNC 我打不开…

在做完准备工作之后我们就可以把我们的服务器 dd 成 FreeBSD

传统的方法是通过 netboot.xyz 进行安装,不过我们这里取巧使用脚本来 dd,既避免了安装时的内存限制,也不用折腾分区那些什么的

这里我们使用 bin456789 佬的 reinstall 脚本 一键 dd

curl -O <https://raw.githubusercontent.com/bin456789/reinstall/main/reinstall.sh> || wget -O reinstall.sh $_

# 镜像地址在 <https://download.freebsd.org/releases/VM-IMAGES/14.2-RELEASE/amd64/Latest/> 获取,如果想切换其他版本注意使用服务器版本 VM-IMAGES
bash reinstall.sh dd --img <https://download.freebsd.org/releases/VM-IMAGES/14.2-RELEASE/amd64/Latest/FreeBSD-14.2-RELEASE-amd64-BASIC-CLOUDINIT.ufs.raw.xz>

安装之后进入 VNC 输入 root 进入系统

FreeBSD 自带的编辑器为 ee,如果不习惯可以手动安装 nano 或者 vim

pkg install vim

安装完系统的第一件事就是使用 passwd 设置 root 用户的密码,或者在 .ssh/authorized_keys 放入你的密钥

第二件事是编辑 FreeBSD 的配置文件 /etc/rc.conf

hostname="bakabakaxi" # hostname 配置
sshd_enable="YES"
ntpd_enable="YES"
static_routes="linklocal"
route_linklocal="-net 169.254.0.0/16 -interface vtnet0" # 内网配置
sendmail_enable="NONE"
dumpdev="AUTO"

ifconfig_vtnet0="inet 1.1.1.1 netmask 255.255.255.0" # ipv4 配置
defaultrouter="64.176.40.1" # ipv4 网关配置
ifconfig_vtnet0_ipv6="inet6  fe80::a8aa:ff:fe1e:50b4 prefixlen 64" # ipv6 配置
ipv6_defaultrouter="fe80::" # ipv6 网关配置
ipv6_activate_all_interfaces="YES"
rtsold_enable="YES"
rtsold_flags="-aF"

如果在 dd 的时候使用的是 ZFS 文件系统的镜像,那么在 rc.conf 的首部加入下面几项

zfs_enable="YES"
zpool_reguid="zroot"
zpool_upgrade="zroot"
growfs_enable="YES"

第三件事是编辑 /etc/ssh/sshd_config 中的下面几项

PermitRootLogin yes
PasswordAuthentication yes

第四件事是编辑 /etc/resolv.conf 设置 dns

nameserver 2606:4700:4700::1111
nameserver 1.1.1.1

最好是 chmod 644 /etc/resolv.conf 保证文件不会被修改

这样我们就把服务器最基础的配置配置好了

最后 reboot 重启服务器

重启完成之后我们首先使用 ifconfig 查看网络配置是否成功,如果看到你的服务器 ip 地址那么基本上就成功了

同时使用 ping goolge.com 检查网络连通性

之后我们就需要配置防火墙

这里我们使用 ipfw 作为防火墙

首先我们需要在 /etc/ipfw.rules/ 创建规则集

IPF="ipfw -q add"
ipfw -q -f flush

# loopback
$IPF 10 allow all from any to any via lo0
$IPF 20 deny all from any to 127.0.0.0/8
$IPF 25 deny all from any to ::1
$IPF 30 deny all from 127.0.0.0/8 to any
$IPF 35 deny all from ::1 to any
$IPF 40 deny tcp from any to any frag

# statefull
$IPF 50 check-state
$IPF 60 allow tcp from any to any established
$IPF 70 allow all from any to any out keep-state
$IPF 80 allow icmp from any to any

$IPF 90 allow icmp6 from any to any

$IPF 110 allow tcp from any to any out

# open port for ssh
$IPF 120 allow tcp from any to any 22 in

# 为 sing-box 放行
$IPF 160 allow tcp from any to any 443 in

# deny and log everything
$IPF 500 deny log all from any to any

$IPF 111 allow udp from 0.0.0.0 67 to me 68 in
$IPF 112 allow udp from 0.0.0.0 67 to 255.255.255.255 68 in
$IPF 113 allow udp from 0.0.0.0 68 to 255.255.255.255 67 out
$IPF 114 allow udp from 0.0.0.0 68 to 255.255.255.255 67 in
$IPF 115 allow udp from fe80::/10  any to ff02::/10 any in

然后在 rc.conf 加入下面几行

firewall_enable="YES" # 防火墙开启
firewall_type="open" # 开放所有流量,这里方便我们对网络有完全权限
firewall_script="/etc/ipfw.rules" # 加载定制规则集
firewall_logging="YES" # 启用日志记录
firewall_logif="YES" # 通过名为 ipfw0 的专用接口启用日志记录

补充说明:firewall_type 还有如下几种类型

client :仅保护此机器。

simple :保护整个网络。

closed :完全禁用除回环接口外的所有 IP 流量。

workstation :仅使用有状态规则保护此计算机。

UNKNOWN :禁用防火墙规则的加载。

文件名:包含防火墙规则集的完整路径。

最后就是安装 sing-box 环节,众所周知 FreeBSD 分支处于弃养状态,所以我们需要自己使用 go 编译使用

pkg install v2ray # 懒得自己创建用户
pkg install go

然后我们开始编译安装 sing-box

go env -w CGO_ENABLED=0 GOOS=freebsd GOARCH=amd64 GOAMD64=v2

go install -v -tags with_quic,with_grpc,with_dhcp,with_wireguard,with_ech,with_utls,with_reality_server,with_acme,with_clash_api,with_v2ray_api,with_gvisor github.com/sagernet/sing-box/cmd/sing-box@stable-next #注意版本号

mv ~/go/bin/sing-box /usr/local/bin

之后我们需要编写 sing-box 的 rc 文件来方便管理

执行 vim /usr/local/etc/rc.d/sing-box,加入如下内容

#
# v2ray_enable (bool):          Set to "NO" by default.
#                               Set it to "YES" to enable v2ray
# v2ray_config (path):          Set to "/usr/local/etc/v2ray/config.json" by default
#                               Set it to the v2ray server config
# v2ray_logdir (path):          Set to "/var/log/v2ray" by default.
#                               Set it to the directory of v2ray log files
# v2ray_env (str):              Set to "" by default.
#                               Set it to the desired environment variables

. /etc/rc.subr

name="sing_box"
rcvar="${name}_enable"

: ${sing_box_enable="YES"}
: ${sing_box_config="/usr/local/etc/sing-box/config.json"}
: ${sing_box_logdir="/var/log/sing-box"}
: ${sing_box_env=""}
: ${sing_box_user="v2ray"}
: ${sing_box_group="v2ray"}

pidfile="/var/run/$name.pid"
procname="/usr/local/bin/sing-box"
command="/usr/sbin/daemon"
command_args="-c -p ${pidfile} /usr/bin/env ${sing_box_env} ${procname} run --config ${sing_box_config}"
required_files="${sing_box_config}"

start_precmd="sing_box_startprecmd"

sing_box_startprecmd() {
        touch "${pidfile}"
        chown ${sing_box_user}:${sing_box_group} "${pidfile}"
        mkdir -p "${sing_box_logdir}"
        chown -R ${sing_box_user}:${sing_box_group} "${sing_box_logdir}"
}

load_rc_config "$name"
run_rc_command "$1"

并且执行 chmod +x sing-box 赋予执行权限

之后我们我们 mkdirvim 组合技能创建 /usr/local/etc/sing-box/config.json 放入配置文件

最后执行

service sing-box enable #开启开机启动
service sing-box start #启动 sing-box

一些额外操作,在 /etc/sysctl.conf 加入

net.inet.tcp.functions_default=bbr
net.inet.tcp.cc.algorithm=htcp

简单地优化网络

参考文献: https://handbook.bsdcn.org