md5.pw - 用户贡献 [zh]

使用搬瓦工api自动周期性创建快照并telegrambot通知

2026-02-09T08:20:07Z

EliToviyah：修复一个分类误修改

== '''''注意：''' 创建快照的过程中，虚拟机会自动重启!'' ==
请先阅读关于快照、备份与恢复了解此项功能

[[快照、备份与恢复]]

== 使用前 ==

=== 获取telegramBot bot token和chat_id ===
请参考 [[使用搬瓦工api监控网络流量的使用并telegrambot通知]]

再次提醒：

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

=== 获取搬瓦工api_key和veid(服务器id) ===
请参考: [[搬瓦工api使用]]

再次提醒:

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

== 开始配置 ==

=== 切换root账户 ===

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

=== 先检查是否安装了jq ===
输入 <code>jq --version</code>

如果输出

<code>-bash: jq: command not found</code>

说明没有安装

==== 安装jq ====
用于解析api返回的复杂内容

'''1. Debian / Ubuntu'''

<code>sudo apt update sudo apt install jq -y</code>

'''2. CentOS / RHEL'''

<nowiki>#</nowiki> 如果是 CentOS 7，可能需要先安装 epel-release

<code>sudo yum install epel-release -y</code>

<code>sudo yum install jq -y</code>

'''如果是 RHEL 8/9 或 AlmaLinux'''

<code>sudo dnf install jq -y</code>

=== 验证是否安装成功 ===
安装完成后，你可以输入

<code>jq --version</code>

[[File:Jqcheck.png|border]]

=== 脚本 ===
需要修改的地方

VEID="你的VEID"

API_KEY="你的API_KEY"

TG_BOT_TOKEN="你的BOT_TOKEN"

TG_CHAT_ID="你的CHAT_ID"

TAG_PREFIX="bwgApiAutoSnapShot" #快照描述的前缀作为判断快照是否创建、删除、锁定的重要依据

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log" # 日志文件路径
----检查 /root/autosnapshot.sh 是否存在

输入 <code>ls /root/autosnapshot.sh</code>

[[File:Checkfilehave.png|border]]

上面蓝色框框就是文件不存在就可以不修改文件名

下面的红色框框就是文件存在需要修改文件名字 /root/这里是文件名字.sh 比如修改成/root/autosnapshot11.sh

把下面内容修改后就可以复制粘贴到ssh里面然后按回车就可以创建脚本文件了<syntaxhighlight lang="bash">cat << 'EOF' > /root/autosnapshot.sh
#!/bin/bash

# ================= 配置区域 =================
VEID="你的VEID"
API_KEY="你的API_KEY"
TG_BOT_TOKEN="你的BOT_TOKEN"
TG_CHAT_ID="你的CHAT_ID"

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log"
TAG_PREFIX="bwgApiAutoSnapShot"
# ===========================================

API_URL="https://api.64clouds.com/v1"
DATE_TODAY=$(date +"%Y_%m_%d")
CURRENT_SNAPSHOT_NAME="${TAG_PREFIX}_${DATE_TODAY}"

log() {
# 检查日志文件是否存在
if [ -f "$LOG_FILE" ]; then
# 获取当前行数
local current_lines=$(grep -c "" "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LOG_LINES" ]; then
# 超过行数，保留最后 10 行并标记清空，或者直接清空
echo "[$(date '+%Y-%m-%d %H:%M:%S')] 日志达到上限，执行自动清理。" > "$LOG_FILE"
fi
fi
# 正常写入日志
echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1" >> "$LOG_FILE"
}

send_tg() {
local msg="$1"
# 发送 TG 消息并根据 curl 状态码记录日志
curl -s -X POST "https://api.telegram.org/bot${TG_BOT_TOKEN}/sendMessage" \
-d "chat_id=${TG_CHAT_ID}" \
-d "text=${msg}" \
-d "disable_notification=true" > /dev/null

if [ $? -eq 0 ]; then
log "Telegram 通知发送成功: $msg"
else
log "Telegram 通知发送失败，请检查网络或 Token。"
fi
}

call_api() {
local endpoint="$1"
local extra_params="$2"
# --max-time 30: 设置最大超时时间为30秒
# --retry 3: 如果失败自动重试3次
curl -s --max-time 30 --retry 3 -X POST "${API_URL}/${endpoint}" \
-d "veid=${VEID}" \
-d "api_key=${API_KEY}" \
${extra_params}
}

# 【新增函数】提取快照数据的公共逻辑
get_snapshot_map() {
echo "$SNAPSHOT_LIST" | jq -r --arg tag "$TAG_PREFIX" '
.snapshots[] |
select(try (.description | @base64d) catch "" | contains($tag)) |
"\(.sticky)|\((.description | @base64d))|\(.fileName)"
'
}

# 预检
if ! command -v jq &> /dev/null; then
log "错误: 未安装 jq，请安装jq"
exit 1
fi

log "--- 脚本启动 ---"
SNAPSHOT_LIST=$(call_api "snapshot/list" "")

# ================= 模式 1: 开机补刀/清理逻辑 (默认) =================
if [[ "$1" != "-c" ]]; then
log "进入开机自检模式..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

# 使用 grep -c 直接统计行数，不再使用 wc -l
count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "开机自检状态: 符合前缀的置顶数 $count_a, 符合前缀的未置顶数 $count_b"

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：未发现任何相关快照，无需操作。"
exit 0

elif [ "$count_b" -eq 1 ]; then
NEW_FILENAME=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 3)
NEW_DESC=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 2)

if [ "$count_a" -eq 1 ]; then
OLD_FILENAME=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 3)
OLD_DESC=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 2)

log "发现新快照，正在删除旧的已置顶快照: $OLD_DESC"

DEL_RES=$(call_api "snapshot/delete" "--data-urlencode snapshot=${OLD_FILENAME}")

# 【替换 1】使用 jq 判断删除结果
API_ERR_DEL=$(echo "$DEL_RES" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_DEL" = "0" ]; then
log "旧快照删除成功。"
DEL_MSG="已成功删除旧快照: ${OLD_DESC}。"
else
log "旧快照删除失败: $DEL_RES"
DEL_MSG="删除旧快照发生错误。"
fi
fi
# 锁定新快照(b)
log "正在锁定新快照: $NEW_DESC ..."
LOCK_RES=$(call_api "snapshot/toggleSticky" "--data-urlencode snapshot=${NEW_FILENAME} -d sticky=1")

# 使用 jq 解析 error 字段的值是否等于 0
API_ERROR=$(echo "$LOCK_RES" | jq -r '.error' 2>/dev/null)

if [ "$API_ERROR" = "0" ]; then
log "新快照锁定成功。"
send_tg "✅ 快照更替完成！${DEL_MSG}新快照 ${NEW_DESC} 已成功锁定。"
exit 0
else
log "新快照锁定失败，API返回: $LOCK_RES"
send_tg "❌ ${DEL_MSG}但新快照 ${NEW_DESC} 锁定失败，解析出的错误码为: ${API_ERROR}"
exit 1
fi

else
log "自检状态 [$count_a,$count_b]：不满足自动更替条件。"
send_tg "ℹ️ 搬瓦工自检报告：当前状态为 [$count_a,$count_b]，未达到快照更迭条件,脚本未执行操作。请手动查看.."
exit 1
fi
fi

# ================= 模式 2: 创建逻辑 (-c 参数) =================
log "进入快照创建模式 (-c)..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "状态检查: 符合前缀的已置顶快照数 $count_a, 符合前缀的未置顶的快照数 $count_b"

DO_CREATE=false

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：准备发起首次创建。"
DO_CREATE=true
elif [ "$count_a" -eq 1 ] && [ "$count_b" -eq 0 ]; then
log "状态 [1,0]：准备创建新的备份。"
DO_CREATE=true
elif [ "$count_a" -eq 0 ] && [ "$count_b" -eq 1 ]; then
log "状态 [0,1]：存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
send_tg "⚠️ 存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
elif [ "$count_a" -eq 2 ]; then
log "状态 [$count_a,$count_b]：置顶名额满。"
send_tg "🚫 快照置顶名额已满 (2/2)，请手动删除旧备份。"
else
log "状态 [$count_a,$count_b]：未知状态，停止操作。"
send_tg "❌ 未创建快照：不清楚的快照数量 (a=$count_a, b=$count_b)。"
fi

if [ "$DO_CREATE" = true ]; then
# 再次检查日期防止重复
if echo "$MAP_DATA" | grep -q "$DATE_TODAY"; then
log "今日快照已存在，跳过。今日: $DATE_TODAY"
else
log "发起创建快照请求: $CURRENT_SNAPSHOT_NAME"
CREATE_RESULT=$(call_api "snapshot/create" "--data-urlencode description=${CURRENT_SNAPSHOT_NAME}")

# 【替换 2】使用 jq 判断创建请求结果
API_ERR_CREATE=$(echo "$CREATE_RESULT" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_CREATE" = "0" ]; then
log "创建快照请求成功发送。"
else
log "创建快照请求失败: $CREATE_RESULT"
send_tg "⚠️ 搬瓦工 API 创建快照请求返回异常。"
fi
fi
fi
EOF</syntaxhighlight>授予运行权限

输入

<code>chmod +x /root/autosnapshot.sh</code>

查看是否成功输入 <code>ls -l /root/autosnapshot.sh</code>

[[File:Lsautosnapshot.png|border]]

像蓝色的有x就是成功了像上面后红色的- 没有x 就是失败了...

=== 配置开机置顶快照和定期创建快照 ===
'''0 3 * * 1'''

这是一个cron的表达式用来设定运行时间的

0 代表第 0 分钟的时候

3 代表第3小时的时候就是凌晨3点

第一个 * 代表哪一天 *代表所有天

第二个 * 代表哪一月 *代表所有月

1 代表星期一

合起来就是

'''每周一的凌晨3:00运行创建快照的指令'''

输入 timedatectl 查看系统使用的时区

第一个 Localtime 的时区就是它所使用的时区还请根据自己的时区自行修改时间或修改系统使用的时区

可以按照自己的时间自行修改

0 3 * * 1 root /root/autosnapshot.sh -c >> /var/log/bwg_snapshot.log 2>&1

开机启动检查是否有未锁定的快照(认为是上一次的快照)

如果文件名改了的话这里也要修改其他的地方不需要

@reboot root /root/autosnapshot.sh >> /var/log/bwg_snapshot.log 2>&1

检查定时文件是否存在

输入 <code>ls /etc/cron.d/bwg_snap</code>

[[File:Checkbwgsnap.png|border]]

上面红色框框就是文件不存在不需要修改名字

下面蓝色框框就是文件存在需要文件名字../etc/cron.d/你需要修改的名字比如/etc/cron.d/bwg_snap1

修改后复制粘贴到ssh里面回车就行了<syntaxhighlight lang="bash">cat <<EOF > /etc/cron.d/bwg_snap
# 每周一凌晨 3 点创建快照
0 3 * * 1 root /root/autosnapshot.sh -c >> /var/log/bwg_snapshot.log 2>&1
# 开机自启
@reboot root /root/autosnapshot.sh >> /var/log/bwg_snapshot.log 2>&1
EOF</syntaxhighlight># 修改文件权限

<code>chmod 644 /etc/cron.d/bwg_snap</code>

[[File:Finalcheck.png|border]]

如果你想测试可以输入

<code>/root/autosnapshot.sh -c</code>

根据时间一天只能创建一个快照....脚本设定非api设置的...

创建快照系统会重启请注意为保存的数据会丢失...

开机后应该会自动置顶这个快照或手动输入 <code>/root/autosnapshot.sh</code>

检查是否存在有前缀名但未置顶的快照或有前缀或有一个有前缀的并且置顶的快照和一个有前缀未置顶的快照

都会执行删除置顶的快照(如果有)然后置顶那个未置顶的快照

==== 查看日志 <code>cat /var/log/bwg_snapshot.log</code> ====
[[File:Finalimg.png|border]]
[[Category:500 常见应用指南 — Application Guides]]

使用搬瓦工api自动周期性创建快照并telegrambot通知

2026-02-09T08:15:48Z

EliToviyah：修正演示使用的路径..增加一条提示

== '''''注意：''' 创建快照的过程中，虚拟机会自动重启!'' ==
请先阅读关于快照、备份与恢复了解此项功能

[[快照、备份与恢复]]

== 使用前 ==

=== 获取telegramBot bot token和chat_id ===
请参考 [[使用搬瓦工api监控网络流量的使用并telegrambot通知]]

再次提醒：

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

=== 获取搬瓦工api_key和veid(服务器id) ===
请参考: [[搬瓦工api使用]]

再次提醒:

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

== 开始配置 ==

=== 切换root账户 ===

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

=== 先检查是否安装了jq ===
输入 <code>jq --version</code>

如果输出

<code>-bash: jq: command not found</code>

说明没有安装

==== 安装jq ====
用于解析api返回的复杂内容

'''1. Debian / Ubuntu'''

<code>sudo apt update sudo apt install jq -y</code>

'''2. CentOS / RHEL'''

<nowiki>#</nowiki> 如果是 CentOS 7，可能需要先安装 epel-release

<code>sudo yum install epel-release -y</code>

<code>sudo yum install jq -y</code>

'''如果是 RHEL 8/9 或 AlmaLinux'''

<code>sudo dnf install jq -y</code>

=== 验证是否安装成功 ===
安装完成后，你可以输入

<code>jq --version</code>

[[File:Jqcheck.png|border]]

=== 脚本 ===
需要修改的地方

VEID="你的VEID"

API_KEY="你的API_KEY"

TG_BOT_TOKEN="你的BOT_TOKEN"

TG_CHAT_ID="你的CHAT_ID"

TAG_PREFIX="bwgApiAutoSnapShot" #快照描述的前缀作为判断快照是否创建、删除、锁定的重要依据

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log" # 日志文件路径
----检查 /root/autosnapshot.sh 是否存在

输入 <code>ls /root/autosnapshot.sh</code>

[[File:Checkfilehave.png|border]]

上面蓝色框框就是文件不存在就可以不修改文件名

下面的红色框框就是文件存在需要修改文件名字 /root/这里是文件名字.sh 比如修改成/root/autosnapshot11.sh

把下面内容修改后就可以复制粘贴到ssh里面然后按回车就可以创建脚本文件了<syntaxhighlight lang="bash">cat << 'EOF' > /root/autosnapshot.sh
#!/bin/bash

# ================= 配置区域 =================
VEID="你的VEID"
API_KEY="你的API_KEY"
TG_BOT_TOKEN="你的BOT_TOKEN"
TG_CHAT_ID="你的CHAT_ID"

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log"
TAG_PREFIX="bwgApiAutoSnapShot"
# ===========================================

API_URL="https://api.64clouds.com/v1"
DATE_TODAY=$(date +"%Y_%m_%d")
CURRENT_SNAPSHOT_NAME="${TAG_PREFIX}_${DATE_TODAY}"

log() {
# 检查日志文件是否存在
if [ -f "$LOG_FILE" ]; then
# 获取当前行数
local current_lines=$(grep -c "" "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LOG_LINES" ]; then
# 超过行数，保留最后 10 行并标记清空，或者直接清空
echo "[$(date '+%Y-%m-%d %H:%M:%S')] 日志达到上限，执行自动清理。" > "$LOG_FILE"
fi
fi
# 正常写入日志
echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1" >> "$LOG_FILE"
}

send_tg() {
local msg="$1"
# 发送 TG 消息并根据 curl 状态码记录日志
curl -s -X POST "https://api.telegram.org/bot${TG_BOT_TOKEN}/sendMessage" \
-d "chat_id=${TG_CHAT_ID}" \
-d "text=${msg}" \
-d "disable_notification=true" > /dev/null

if [ $? -eq 0 ]; then
log "Telegram 通知发送成功: $msg"
else
log "Telegram 通知发送失败，请检查网络或 Token。"
fi
}

call_api() {
local endpoint="$1"
local extra_params="$2"
# --max-time 30: 设置最大超时时间为30秒
# --retry 3: 如果失败自动重试3次
curl -s --max-time 30 --retry 3 -X POST "${API_URL}/${endpoint}" \
-d "veid=${VEID}" \
-d "api_key=${API_KEY}" \
${extra_params}
}

# 【新增函数】提取快照数据的公共逻辑
get_snapshot_map() {
echo "$SNAPSHOT_LIST" | jq -r --arg tag "$TAG_PREFIX" '
.snapshots[] |
select(try (.description | @base64d) catch "" | contains($tag)) |
"\(.sticky)|\((.description | @base64d))|\(.fileName)"
'
}

# 预检
if ! command -v jq &> /dev/null; then
log "错误: 未安装 jq，请安装jq"
exit 1
fi

log "--- 脚本启动 ---"
SNAPSHOT_LIST=$(call_api "snapshot/list" "")

# ================= 模式 1: 开机补刀/清理逻辑 (默认) =================
if [[ "$1" != "-c" ]]; then
log "进入开机自检模式..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

# 使用 grep -c 直接统计行数，不再使用 wc -l
count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "开机自检状态: 符合前缀的置顶数 $count_a, 符合前缀的未置顶数 $count_b"

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：未发现任何相关快照，无需操作。"
exit 0

elif [ "$count_b" -eq 1 ]; then
NEW_FILENAME=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 3)
NEW_DESC=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 2)

if [ "$count_a" -eq 1 ]; then
OLD_FILENAME=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 3)
OLD_DESC=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 2)

log "发现新快照，正在删除旧的已置顶快照: $OLD_DESC"

DEL_RES=$(call_api "snapshot/delete" "--data-urlencode snapshot=${OLD_FILENAME}")

# 【替换 1】使用 jq 判断删除结果
API_ERR_DEL=$(echo "$DEL_RES" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_DEL" = "0" ]; then
log "旧快照删除成功。"
DEL_MSG="已成功删除旧快照: ${OLD_DESC}。"
else
log "旧快照删除失败: $DEL_RES"
DEL_MSG="删除旧快照发生错误。"
fi
fi
# 锁定新快照(b)
log "正在锁定新快照: $NEW_DESC ..."
LOCK_RES=$(call_api "snapshot/toggleSticky" "--data-urlencode snapshot=${NEW_FILENAME} -d sticky=1")

# 使用 jq 解析 error 字段的值是否等于 0
API_ERROR=$(echo "$LOCK_RES" | jq -r '.error' 2>/dev/null)

if [ "$API_ERROR" = "0" ]; then
log "新快照锁定成功。"
send_tg "✅ 快照更替完成！${DEL_MSG}新快照 ${NEW_DESC} 已成功锁定。"
exit 0
else
log "新快照锁定失败，API返回: $LOCK_RES"
send_tg "❌ ${DEL_MSG}但新快照 ${NEW_DESC} 锁定失败，解析出的错误码为: ${API_ERROR}"
exit 1
fi

else
log "自检状态 [$count_a,$count_b]：不满足自动更替条件。"
send_tg "ℹ️ 搬瓦工自检报告：当前状态为 [$count_a,$count_b]，未达到快照更迭条件,脚本未执行操作。请手动查看.."
exit 1
fi
fi

# ================= 模式 2: 创建逻辑 (-c 参数) =================
log "进入快照创建模式 (-c)..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "状态检查: 符合前缀的已置顶快照数 $count_a, 符合前缀的未置顶的快照数 $count_b"

DO_CREATE=false

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：准备发起首次创建。"
DO_CREATE=true
elif [ "$count_a" -eq 1 ] && [ "$count_b" -eq 0 ]; then
log "状态 [1,0]：准备创建新的备份。"
DO_CREATE=true
elif [ "$count_a" -eq 0 ] && [ "$count_b" -eq 1 ]; then
log "状态 [0,1]：存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
send_tg "⚠️ 存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
elif [ "$count_a" -eq 2 ]; then
log "状态 [$count_a,$count_b]：置顶名额满。"
send_tg "🚫 快照置顶名额已满 (2/2)，请手动删除旧备份。"
else
log "状态 [$count_a,$count_b]：未知状态，停止操作。"
send_tg "❌ 未创建快照：不清楚的快照数量 (a=$count_a, b=$count_b)。"
fi

if [ "$DO_CREATE" = true ]; then
# 再次检查日期防止重复
if echo "$MAP_DATA" | grep -q "$DATE_TODAY"; then
log "今日快照已存在，跳过。今日: $DATE_TODAY"
else
log "发起创建快照请求: $CURRENT_SNAPSHOT_NAME"
CREATE_RESULT=$(call_api "snapshot/create" "--data-urlencode description=${CURRENT_SNAPSHOT_NAME}")

# 【替换 2】使用 jq 判断创建请求结果
API_ERR_CREATE=$(echo "$CREATE_RESULT" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_CREATE" = "0" ]; then
log "创建快照请求成功发送。"
else
log "创建快照请求失败: $CREATE_RESULT"
send_tg "⚠️ 搬瓦工 API 创建快照请求返回异常。"
fi
fi
fi
EOF</syntaxhighlight>授予运行权限

输入

<code>chmod +x /root/autosnapshot.sh</code>

查看是否成功输入 <code>ls -l /root/autosnapshot.sh</code>

[[File:Lsautosnapshot.png|border]]

像蓝色的有x就是成功了像上面后红色的- 没有x 就是失败了...

=== 配置开机置顶快照和定期创建快照 ===
'''0 3 * * 1'''

这是一个cron的表达式用来设定运行时间的

0 代表第 0 分钟的时候

3 代表第3小时的时候就是凌晨3点

第一个 * 代表哪一天 *代表所有天

第二个 * 代表哪一月 *代表所有月

1 代表星期一

合起来就是

'''每周一的凌晨3:00运行创建快照的指令'''

输入 timedatectl 查看系统使用的时区

第一个 Localtime 的时区就是它所使用的时区还请根据自己的时区自行修改时间或修改系统使用的时区

可以按照自己的时间自行修改

0 3 * * 1 root /root/autosnapshot.sh -c >> /var/log/bwg_snapshot.log 2>&1

开机启动检查是否有未锁定的快照(认为是上一次的快照)

如果文件名改了的话这里也要修改其他的地方不需要

@reboot root /root/autosnapshot.sh >> /var/log/bwg_snapshot.log 2>&1

检查定时文件是否存在

输入 <code>ls /etc/cron.d/bwg_snap</code>

[[File:Checkbwgsnap.png|border]]

上面红色框框就是文件不存在不需要修改名字

下面蓝色框框就是文件存在需要文件名字../etc/cron.d/你需要修改的名字比如/etc/cron.d/bwg_snap1

修改后复制粘贴到ssh里面回车就行了<syntaxhighlight lang="bash">cat <<EOF > /etc/cron.d/bwg_snap
# 每周一凌晨 3 点创建快照
0 3 * * 1 root /root/autosnapshot.sh -c >> /var/log/bwg_snapshot.log 2>&1
# 开机自启
@reboot root /root/autosnapshot.sh >> /var/log/bwg_snapshot.log 2>&1
EOF</syntaxhighlight># 修改文件权限

<code>chmod 644 /etc/cron.d/bwg_snap</code>

[[File:Finalcheck.png|border]]

如果你想测试可以输入

<code>/root/autosnapshot.sh -c</code>

根据时间一天只能创建一个快照....脚本设定非api设置的...

创建快照系统会重启请注意为保存的数据会丢失...

开机后应该会自动置顶这个快照或手动输入 <code>/root/autosnapshot.sh</code>

检查是否存在有前缀名但未置顶的快照或有前缀或有一个有前缀的并且置顶的快照和一个有前缀未置顶的快照

都会执行删除置顶的快照(如果有)然后置顶那个未置顶的快照

==== 查看日志 <code>cat /var/log/bwg_snapshot.log</code> ====
[[File:Finalimg.png|border]]
[[index.php?title=Category:500 常见应用指南 — Application Guides]]

使用搬瓦工api自动周期性创建快照并telegrambot通知

2026-02-04T05:31:39Z

EliToviyah：修复一个错误的演示路径

== '''''注意：''' 创建快照的过程中，虚拟机会自动重启!'' ==
请先阅读关于快照、备份与恢复了解此项功能

[[快照、备份与恢复]]

== 使用前 ==

=== 获取telegramBot bot token和chat_id ===
请参考 [[使用搬瓦工api监控网络流量的使用并telegrambot通知]]

再次提醒：

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

=== 获取搬瓦工api_key和veid(服务器id) ===
请参考: [[搬瓦工api使用]]

再次提醒:

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

== 开始配置 ==

=== 切换root账户 ===

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

=== 先检查是否安装了jq ===
输入 <code>jq --version</code>

如果输出

<code>-bash: jq: command not found</code>

说明没有安装

==== 安装jq ====
用于解析api返回的复杂内容

'''1. Debian / Ubuntu'''

<code>sudo apt update sudo apt install jq -y</code>

'''2. CentOS / RHEL'''

<nowiki>#</nowiki> 如果是 CentOS 7，可能需要先安装 epel-release

<code>sudo yum install epel-release -y</code>

<code>sudo yum install jq -y</code>

'''如果是 RHEL 8/9 或 AlmaLinux'''

<code>sudo dnf install jq -y</code>

=== 验证是否安装成功 ===
安装完成后，你可以输入

<code>jq --version</code>

[[File:Jqcheck.png|border]]

=== 脚本 ===
需要修改的地方

VEID="你的VEID"

API_KEY="你的API_KEY"

TG_BOT_TOKEN="你的BOT_TOKEN"

TG_CHAT_ID="你的CHAT_ID"

TAG_PREFIX="bwgApiAutoSnapShot" #快照描述的前缀作为判断快照是否创建、删除、锁定的重要依据

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log" # 日志文件路径
----检查 /root/autosnapshot.sh 是否存在

输入 <code>ls /root/autosnapshot.sh</code>

[[File:Checkfilehave.png|border]]

上面蓝色框框就是文件不存在就可以不修改文件名

下面的红色框框就是文件存在需要修改文件名字 /root/这里是文件名字.sh 比如修改成/root/autosnapshot11.sh

把下面内容修改后就可以复制粘贴到ssh里面然后按回车就可以创建脚本文件了<syntaxhighlight lang="bash">cat << 'EOF' > /root/autosnapshot.sh
#!/bin/bash

# ================= 配置区域 =================
VEID="你的VEID"
API_KEY="你的API_KEY"
TG_BOT_TOKEN="你的BOT_TOKEN"
TG_CHAT_ID="你的CHAT_ID"

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log"
TAG_PREFIX="bwgApiAutoSnapShot"
# ===========================================

API_URL="https://api.64clouds.com/v1"
DATE_TODAY=$(date +"%Y_%m_%d")
CURRENT_SNAPSHOT_NAME="${TAG_PREFIX}_${DATE_TODAY}"

log() {
# 检查日志文件是否存在
if [ -f "$LOG_FILE" ]; then
# 获取当前行数
local current_lines=$(grep -c "" "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LOG_LINES" ]; then
# 超过行数，保留最后 10 行并标记清空，或者直接清空
echo "[$(date '+%Y-%m-%d %H:%M:%S')] 日志达到上限，执行自动清理。" > "$LOG_FILE"
fi
fi
# 正常写入日志
echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1" >> "$LOG_FILE"
}

send_tg() {
local msg="$1"
# 发送 TG 消息并根据 curl 状态码记录日志
curl -s -X POST "https://api.telegram.org/bot${TG_BOT_TOKEN}/sendMessage" \
-d "chat_id=${TG_CHAT_ID}" \
-d "text=${msg}" \
-d "disable_notification=true" > /dev/null

if [ $? -eq 0 ]; then
log "Telegram 通知发送成功: $msg"
else
log "Telegram 通知发送失败，请检查网络或 Token。"
fi
}

call_api() {
local endpoint="$1"
local extra_params="$2"
# --max-time 30: 设置最大超时时间为30秒
# --retry 3: 如果失败自动重试3次
curl -s --max-time 30 --retry 3 -X POST "${API_URL}/${endpoint}" \
-d "veid=${VEID}" \
-d "api_key=${API_KEY}" \
${extra_params}
}

# 【新增函数】提取快照数据的公共逻辑
get_snapshot_map() {
echo "$SNAPSHOT_LIST" | jq -r --arg tag "$TAG_PREFIX" '
.snapshots[] |
select(try (.description | @base64d) catch "" | contains($tag)) |
"\(.sticky)|\((.description | @base64d))|\(.fileName)"
'
}

# 预检
if ! command -v jq &> /dev/null; then
log "错误: 未安装 jq，请安装jq"
exit 1
fi

log "--- 脚本启动 ---"
SNAPSHOT_LIST=$(call_api "snapshot/list" "")

# ================= 模式 1: 开机补刀/清理逻辑 (默认) =================
if [[ "$1" != "-c" ]]; then
log "进入开机自检模式..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

# 使用 grep -c 直接统计行数，不再使用 wc -l
count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "开机自检状态: 符合前缀的置顶数 $count_a, 符合前缀的未置顶数 $count_b"

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：未发现任何相关快照，无需操作。"
exit 0

elif [ "$count_b" -eq 1 ]; then
NEW_FILENAME=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 3)
NEW_DESC=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 2)

if [ "$count_a" -eq 1 ]; then
OLD_FILENAME=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 3)
OLD_DESC=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 2)

log "发现新快照，正在删除旧的已置顶快照: $OLD_DESC"

DEL_RES=$(call_api "snapshot/delete" "--data-urlencode snapshot=${OLD_FILENAME}")

# 【替换 1】使用 jq 判断删除结果
API_ERR_DEL=$(echo "$DEL_RES" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_DEL" = "0" ]; then
log "旧快照删除成功。"
DEL_MSG="已成功删除旧快照: ${OLD_DESC}。"
else
log "旧快照删除失败: $DEL_RES"
DEL_MSG="删除旧快照发生错误。"
fi
fi
# 锁定新快照(b)
log "正在锁定新快照: $NEW_DESC ..."
LOCK_RES=$(call_api "snapshot/toggleSticky" "--data-urlencode snapshot=${NEW_FILENAME} -d sticky=1")

# 使用 jq 解析 error 字段的值是否等于 0
API_ERROR=$(echo "$LOCK_RES" | jq -r '.error' 2>/dev/null)

if [ "$API_ERROR" = "0" ]; then
log "新快照锁定成功。"
send_tg "✅ 快照更替完成！${DEL_MSG}新快照 ${NEW_DESC} 已成功锁定。"
exit 0
else
log "新快照锁定失败，API返回: $LOCK_RES"
send_tg "❌ ${DEL_MSG}但新快照 ${NEW_DESC} 锁定失败，解析出的错误码为: ${API_ERROR}"
exit 1
fi

else
log "自检状态 [$count_a,$count_b]：不满足自动更替条件。"
send_tg "ℹ️ 搬瓦工自检报告：当前状态为 [$count_a,$count_b]，未达到快照更迭条件,脚本未执行操作。请手动查看.."
exit 1
fi
fi

# ================= 模式 2: 创建逻辑 (-c 参数) =================
log "进入快照创建模式 (-c)..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "状态检查: 符合前缀的已置顶快照数 $count_a, 符合前缀的未置顶的快照数 $count_b"

DO_CREATE=false

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：准备发起首次创建。"
DO_CREATE=true
elif [ "$count_a" -eq 1 ] && [ "$count_b" -eq 0 ]; then
log "状态 [1,0]：准备创建新的备份。"
DO_CREATE=true
elif [ "$count_a" -eq 0 ] && [ "$count_b" -eq 1 ]; then
log "状态 [0,1]：存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
send_tg "⚠️ 存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
elif [ "$count_a" -eq 2 ]; then
log "状态 [$count_a,$count_b]：置顶名额满。"
send_tg "🚫 快照置顶名额已满 (2/2)，请手动删除旧备份。"
else
log "状态 [$count_a,$count_b]：未知状态，停止操作。"
send_tg "❌ 未创建快照：不清楚的快照数量 (a=$count_a, b=$count_b)。"
fi

if [ "$DO_CREATE" = true ]; then
# 再次检查日期防止重复
if echo "$MAP_DATA" | grep -q "$DATE_TODAY"; then
log "今日快照已存在，跳过。今日: $DATE_TODAY"
else
log "发起创建快照请求: $CURRENT_SNAPSHOT_NAME"
CREATE_RESULT=$(call_api "snapshot/create" "--data-urlencode description=${CURRENT_SNAPSHOT_NAME}")

# 【替换 2】使用 jq 判断创建请求结果
API_ERR_CREATE=$(echo "$CREATE_RESULT" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_CREATE" = "0" ]; then
log "创建快照请求成功发送。"
else
log "创建快照请求失败: $CREATE_RESULT"
send_tg "⚠️ 搬瓦工 API 创建快照请求返回异常。"
fi
fi
fi
EOF</syntaxhighlight>授予运行权限

输入

<code>chmod +x /root/autosnapshot.sh</code>

查看是否成功输入 <code>ls -l /root/autosnapshot.sh</code>

[[File:Lsautosnapshot.png|border]]

像蓝色的有x就是成功了像上面后红色的- 没有x 就是失败了...

=== 配置开机置顶快照和定期创建快照 ===
'''0 3 * * 1'''

这是一个cron的表达式用来设定运行时间的

0 代表第 0 分钟的时候

3 代表第3小时的时候就是凌晨3点

第一个 * 代表哪一天 *代表所有天

第二个 * 代表哪一月 *代表所有月

1 代表星期一

合起来就是

'''每周一的凌晨3:00运行创建快照的指令'''

可以按照自己的时间自行修改

0 3 * * 1 root /usr/local/bin/bwg_snap.sh -c >> /var/log/bwg_snapshot.log 2>&1

开机启动检查是否有未锁定的快照(认为是上一次的快照)

如果文件名改了的话这里也要修改其他的地方不需要

@reboot root /usr/local/bin/bwg_snap.sh >> /var/log/bwg_snapshot.log 2>&1

检查定时文件是否存在

输入 <code>ls /etc/cron.d/bwg_snap</code>

[[File:Checkbwgsnap.png|border]]

上面红色框框就是文件不存在不需要修改名字

下面蓝色框框就是文件存在需要文件名字../etc/cron.d/你需要修改的名字比如/etc/cron.d/bwg_snap1

修改后复制粘贴到ssh里面回车就行了<syntaxhighlight lang="bash">cat <<EOF > /etc/cron.d/bwg_snap
# 每周一凌晨 3 点创建快照
0 3 * * 1 root /root/autosnapshot.sh -c >> /var/log/bwg_snapshot.log 2>&1
# 开机自启
@reboot root /root/autosnapshot.sh >> /var/log/bwg_snapshot.log 2>&1
EOF</syntaxhighlight># 修改文件权限

<code>chmod 644 /etc/cron.d/bwg_snap</code>

[[File:Finalcheck.png|border]]

如果你想测试可以输入

<code>/root/autosnapshot.sh -c</code>

根据时间一天只能创建一个快照....脚本设定非api设置的...

创建快照系统会重启请注意为保存的数据会丢失...

开机后应该会自动置顶这个快照或手动输入 <code>/root/autosnapshot.sh</code>

检查是否存在有前缀名但未置顶的快照或有前缀或有一个有前缀的并且置顶的快照和一个有前缀未置顶的快照

都会执行删除置顶的快照(如果有)然后置顶那个未置顶的快照

==== 查看日志 <code>cat /var/log/bwg_snapshot.log</code> ====
[[File:Finalimg.png|border]]

使用搬瓦工api自动周期性创建快照并telegrambot通知

2026-01-29T01:18:30Z

EliToviyah：增加一条解释

== '''''注意：''' 创建快照的过程中，虚拟机会自动重启!'' ==
请先阅读关于快照、备份与恢复了解此项功能

[[快照、备份与恢复]]

== 使用前 ==

=== 获取telegramBot bot token和chat_id ===
请参考 [[使用搬瓦工api监控网络流量的使用并telegrambot通知]]

再次提醒：

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

=== 获取搬瓦工api_key和veid(服务器id) ===
请参考: [[搬瓦工api使用]]

再次提醒:

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

== 开始配置 ==

=== 切换root账户 ===

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

=== 先检查是否安装了jq ===
输入 <code>jq --version</code>

如果输出

<code>-bash: jq: command not found</code>

说明没有安装

==== 安装jq ====
用于解析api返回的复杂内容

'''1. Debian / Ubuntu'''

<code>sudo apt update sudo apt install jq -y</code>

'''2. CentOS / RHEL'''

<nowiki>#</nowiki> 如果是 CentOS 7，可能需要先安装 epel-release

<code>sudo yum install epel-release -y</code>

<code>sudo yum install jq -y</code>

'''如果是 RHEL 8/9 或 AlmaLinux'''

<code>sudo dnf install jq -y</code>

=== 验证是否安装成功 ===
安装完成后，你可以输入

<code>jq --version</code>

[[File:Jqcheck.png|border]]

=== 脚本 ===
需要修改的地方

VEID="你的VEID"

API_KEY="你的API_KEY"

TG_BOT_TOKEN="你的BOT_TOKEN"

TG_CHAT_ID="你的CHAT_ID"

TAG_PREFIX="bwgApiAutoSnapShot" #快照描述的前缀作为判断快照是否创建、删除、锁定的重要依据

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log" # 日志文件路径
----检查 /root/autosnapshot.sh 是否存在

输入 <code>ls /root/autosnapshot.sh</code>

[[File:Checkfilehave.png|border]]

上面蓝色框框就是文件不存在就可以不修改文件名

下面的红色框框就是文件存在需要修改文件名字 /root/这里是文件名字.sh 比如修改成/root/autosnapshot11.sh

把下面内容修改后就可以复制粘贴到ssh里面然后按回车就可以创建脚本文件了<syntaxhighlight lang="bash">cat << 'EOF' > /root/autosnapshot.sh
#!/bin/bash

# ================= 配置区域 =================
VEID="你的VEID"
API_KEY="你的API_KEY"
TG_BOT_TOKEN="你的BOT_TOKEN"
TG_CHAT_ID="你的CHAT_ID"

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log"
TAG_PREFIX="bwgApiAutoSnapShot"
# ===========================================

API_URL="https://api.64clouds.com/v1"
DATE_TODAY=$(date +"%Y_%m_%d")
CURRENT_SNAPSHOT_NAME="${TAG_PREFIX}_${DATE_TODAY}"

log() {
# 检查日志文件是否存在
if [ -f "$LOG_FILE" ]; then
# 获取当前行数
local current_lines=$(grep -c "" "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LOG_LINES" ]; then
# 超过行数，保留最后 10 行并标记清空，或者直接清空
echo "[$(date '+%Y-%m-%d %H:%M:%S')] 日志达到上限，执行自动清理。" > "$LOG_FILE"
fi
fi
# 正常写入日志
echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1" >> "$LOG_FILE"
}

send_tg() {
local msg="$1"
# 发送 TG 消息并根据 curl 状态码记录日志
curl -s -X POST "https://api.telegram.org/bot${TG_BOT_TOKEN}/sendMessage" \
-d "chat_id=${TG_CHAT_ID}" \
-d "text=${msg}" \
-d "disable_notification=true" > /dev/null

if [ $? -eq 0 ]; then
log "Telegram 通知发送成功: $msg"
else
log "Telegram 通知发送失败，请检查网络或 Token。"
fi
}

call_api() {
local endpoint="$1"
local extra_params="$2"
# --max-time 30: 设置最大超时时间为30秒
# --retry 3: 如果失败自动重试3次
curl -s --max-time 30 --retry 3 -X POST "${API_URL}/${endpoint}" \
-d "veid=${VEID}" \
-d "api_key=${API_KEY}" \
${extra_params}
}

# 【新增函数】提取快照数据的公共逻辑
get_snapshot_map() {
echo "$SNAPSHOT_LIST" | jq -r --arg tag "$TAG_PREFIX" '
.snapshots[] |
select(try (.description | @base64d) catch "" | contains($tag)) |
"\(.sticky)|\((.description | @base64d))|\(.fileName)"
'
}

# 预检
if ! command -v jq &> /dev/null; then
log "错误: 未安装 jq，请安装jq"
exit 1
fi

log "--- 脚本启动 ---"
SNAPSHOT_LIST=$(call_api "snapshot/list" "")

# ================= 模式 1: 开机补刀/清理逻辑 (默认) =================
if [[ "$1" != "-c" ]]; then
log "进入开机自检模式..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

# 使用 grep -c 直接统计行数，不再使用 wc -l
count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "开机自检状态: 符合前缀的置顶数 $count_a, 符合前缀的未置顶数 $count_b"

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：未发现任何相关快照，无需操作。"
exit 0

elif [ "$count_b" -eq 1 ]; then
NEW_FILENAME=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 3)
NEW_DESC=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 2)

if [ "$count_a" -eq 1 ]; then
OLD_FILENAME=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 3)
OLD_DESC=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 2)

log "发现新快照，正在删除旧的已置顶快照: $OLD_DESC"

DEL_RES=$(call_api "snapshot/delete" "--data-urlencode snapshot=${OLD_FILENAME}")

# 【替换 1】使用 jq 判断删除结果
API_ERR_DEL=$(echo "$DEL_RES" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_DEL" = "0" ]; then
log "旧快照删除成功。"
DEL_MSG="已成功删除旧快照: ${OLD_DESC}。"
else
log "旧快照删除失败: $DEL_RES"
DEL_MSG="删除旧快照发生错误。"
fi
fi
# 锁定新快照(b)
log "正在锁定新快照: $NEW_DESC ..."
LOCK_RES=$(call_api "snapshot/toggleSticky" "--data-urlencode snapshot=${NEW_FILENAME} -d sticky=1")

# 使用 jq 解析 error 字段的值是否等于 0
API_ERROR=$(echo "$LOCK_RES" | jq -r '.error' 2>/dev/null)

if [ "$API_ERROR" = "0" ]; then
log "新快照锁定成功。"
send_tg "✅ 快照更替完成！${DEL_MSG}新快照 ${NEW_DESC} 已成功锁定。"
exit 0
else
log "新快照锁定失败，API返回: $LOCK_RES"
send_tg "❌ ${DEL_MSG}但新快照 ${NEW_DESC} 锁定失败，解析出的错误码为: ${API_ERROR}"
exit 1
fi

else
log "自检状态 [$count_a,$count_b]：不满足自动更替条件。"
send_tg "ℹ️ 搬瓦工自检报告：当前状态为 [$count_a,$count_b]，未达到快照更迭条件,脚本未执行操作。请手动查看.."
exit 1
fi
fi

# ================= 模式 2: 创建逻辑 (-c 参数) =================
log "进入快照创建模式 (-c)..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "状态检查: 符合前缀的已置顶快照数 $count_a, 符合前缀的未置顶的快照数 $count_b"

DO_CREATE=false

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：准备发起首次创建。"
DO_CREATE=true
elif [ "$count_a" -eq 1 ] && [ "$count_b" -eq 0 ]; then
log "状态 [1,0]：准备创建新的备份。"
DO_CREATE=true
elif [ "$count_a" -eq 0 ] && [ "$count_b" -eq 1 ]; then
log "状态 [0,1]：存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
send_tg "⚠️ 存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
elif [ "$count_a" -eq 2 ]; then
log "状态 [$count_a,$count_b]：置顶名额满。"
send_tg "🚫 快照置顶名额已满 (2/2)，请手动删除旧备份。"
else
log "状态 [$count_a,$count_b]：未知状态，停止操作。"
send_tg "❌ 未创建快照：不清楚的快照数量 (a=$count_a, b=$count_b)。"
fi

if [ "$DO_CREATE" = true ]; then
# 再次检查日期防止重复
if echo "$MAP_DATA" | grep -q "$DATE_TODAY"; then
log "今日快照已存在，跳过。今日: $DATE_TODAY"
else
log "发起创建快照请求: $CURRENT_SNAPSHOT_NAME"
CREATE_RESULT=$(call_api "snapshot/create" "--data-urlencode description=${CURRENT_SNAPSHOT_NAME}")

# 【替换 2】使用 jq 判断创建请求结果
API_ERR_CREATE=$(echo "$CREATE_RESULT" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_CREATE" = "0" ]; then
log "创建快照请求成功发送。"
else
log "创建快照请求失败: $CREATE_RESULT"
send_tg "⚠️ 搬瓦工 API 创建快照请求返回异常。"
fi
fi
fi
EOF</syntaxhighlight>授予运行权限

输入

<code>chmod +x /root/autosnapshot.sh</code>

查看是否成功输入 <code>ls -l /root/autosnapshot.sh</code>

[[File:Lsautosnapshot.png|border]]

像蓝色的有x就是成功了像上面后红色的- 没有x 就是失败了...

=== 配置开机置顶快照和定期创建快照 ===
'''0 3 * * 1'''

这是一个cron的表达式用来设定运行时间的

0 代表第 0 分钟的时候

3 代表第3小时的时候就是凌晨3点

第一个 * 代表哪一天 *代表所有天

第二个 * 代表哪一月 *代表所有月

1 代表星期一

合起来就是

'''每周一的凌晨3:00运行创建快照的指令'''

可以按照自己的时间自行修改

0 3 * * 1 root /usr/local/bin/bwg_snap.sh -c >> /var/log/bwg_snapshot.log 2>&1

开机启动检查是否有未锁定的快照(认为是上一次的快照)

如果文件名改了的话这里也要修改其他的地方不需要

@reboot root /usr/local/bin/bwg_snap.sh >> /var/log/bwg_snapshot.log 2>&1

检查定时文件是否存在

输入 <code>ls /etc/cron.d/bwg_snap</code>

[[File:Checkbwgsnap.png|border]]

上面红色框框就是文件不存在不需要修改名字

下面蓝色框框就是文件存在需要文件名字../etc/cron.d/你需要修改的名字比如/etc/cron.d/bwg_snap1

修改后复制粘贴到ssh里面回车就行了<syntaxhighlight lang="bash">cat <<EOF > /etc/cron.d/bwg_snap
# 每周一凌晨 3 点创建快照
0 3 * * 1 root /usr/local/bin/bwg_snap.sh -c >> /var/log/bwg_snapshot.log 2>&1
# 开机自启
@reboot root /usr/local/bin/bwg_snap.sh >> /var/log/bwg_snapshot.log 2>&1
EOF</syntaxhighlight># 修改文件权限

<code>chmod 644 /etc/cron.d/bwg_snap</code>

[[File:Finalcheck.png|border]]

如果你想测试可以输入

<code>/root/autosnapshot.sh -c</code>

根据时间一天只能创建一个快照....脚本设定非api设置的...

创建快照系统会重启请注意为保存的数据会丢失...

开机后应该会自动置顶这个快照或手动输入 <code>/root/autosnapshot.sh</code>

检查是否存在有前缀名但未置顶的快照或有前缀或有一个有前缀的并且置顶的快照和一个有前缀未置顶的快照

都会执行删除置顶的快照(如果有)然后置顶那个未置顶的快照

==== 查看日志 <code>cat /var/log/bwg_snapshot.log</code> ====
[[File:Finalimg.png|border]]

使用搬瓦工api自动周期性创建快照并telegrambot通知

2026-01-28T08:04:57Z

EliToviyah：修复排版问题

== '''''注意：''' 创建快照的过程中，虚拟机会自动重启!'' ==
请先阅读关于快照、备份与恢复了解此项功能

[[快照、备份与恢复]]

== 使用前 ==

=== 获取telegramBot bot token和chat_id ===
请参考 [[使用搬瓦工api监控网络流量的使用并telegrambot通知]]

再次提醒：

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

=== 获取搬瓦工api_key和veid(服务器id) ===
请参考: [[搬瓦工api使用]]

再次提醒:

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

== 开始配置 ==

=== 切换root账户 ===

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

=== 先检查是否安装了jq ===
输入 <code>jq --version</code>

如果输出

<code>-bash: jq: command not found</code>

说明没有安装

==== 安装jq ====
'''1. Debian / Ubuntu'''

<code>sudo apt update sudo apt install jq -y</code>

'''2. CentOS / RHEL'''

<nowiki>#</nowiki> 如果是 CentOS 7，可能需要先安装 epel-release

<code>sudo yum install epel-release -y</code>

<code>sudo yum install jq -y</code>

'''如果是 RHEL 8/9 或 AlmaLinux'''

<code>sudo dnf install jq -y</code>

=== 验证是否安装成功 ===
安装完成后，你可以输入

<code>jq --version</code>

[[File:Jqcheck.png|border]]

=== 脚本 ===
需要修改的地方

VEID="你的VEID"

API_KEY="你的API_KEY"

TG_BOT_TOKEN="你的BOT_TOKEN"

TG_CHAT_ID="你的CHAT_ID"

TAG_PREFIX="bwgApiAutoSnapShot" #快照描述的前缀作为判断快照是否创建、删除、锁定的重要依据

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log" # 日志文件路径
----检查 /root/autosnapshot.sh 是否存在

输入 <code>ls /root/autosnapshot.sh</code>

[[File:Checkfilehave.png|border]]

上面蓝色框框就是文件不存在就可以不修改文件名

下面的红色框框就是文件存在需要修改文件名字 /root/这里是文件名字.sh 比如修改成/root/autosnapshot11.sh

把下面内容修改后就可以复制粘贴到ssh里面然后按回车就可以创建脚本文件了<syntaxhighlight lang="bash">cat << 'EOF' > /root/autosnapshot.sh
#!/bin/bash

# ================= 配置区域 =================
VEID="你的VEID"
API_KEY="你的API_KEY"
TG_BOT_TOKEN="你的BOT_TOKEN"
TG_CHAT_ID="你的CHAT_ID"

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log"
TAG_PREFIX="bwgApiAutoSnapShot"
# ===========================================

API_URL="https://api.64clouds.com/v1"
DATE_TODAY=$(date +"%Y_%m_%d")
CURRENT_SNAPSHOT_NAME="${TAG_PREFIX}_${DATE_TODAY}"

log() {
# 检查日志文件是否存在
if [ -f "$LOG_FILE" ]; then
# 获取当前行数
local current_lines=$(grep -c "" "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LOG_LINES" ]; then
# 超过行数，保留最后 10 行并标记清空，或者直接清空
echo "[$(date '+%Y-%m-%d %H:%M:%S')] 日志达到上限，执行自动清理。" > "$LOG_FILE"
fi
fi
# 正常写入日志
echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1" >> "$LOG_FILE"
}

send_tg() {
local msg="$1"
# 发送 TG 消息并根据 curl 状态码记录日志
curl -s -X POST "https://api.telegram.org/bot${TG_BOT_TOKEN}/sendMessage" \
-d "chat_id=${TG_CHAT_ID}" \
-d "text=${msg}" \
-d "disable_notification=true" > /dev/null

if [ $? -eq 0 ]; then
log "Telegram 通知发送成功: $msg"
else
log "Telegram 通知发送失败，请检查网络或 Token。"
fi
}

call_api() {
local endpoint="$1"
local extra_params="$2"
# --max-time 30: 设置最大超时时间为30秒
# --retry 3: 如果失败自动重试3次
curl -s --max-time 30 --retry 3 -X POST "${API_URL}/${endpoint}" \
-d "veid=${VEID}" \
-d "api_key=${API_KEY}" \
${extra_params}
}

# 【新增函数】提取快照数据的公共逻辑
get_snapshot_map() {
echo "$SNAPSHOT_LIST" | jq -r --arg tag "$TAG_PREFIX" '
.snapshots[] |
select(try (.description | @base64d) catch "" | contains($tag)) |
"\(.sticky)|\((.description | @base64d))|\(.fileName)"
'
}

# 预检
if ! command -v jq &> /dev/null; then
log "错误: 未安装 jq，请安装jq"
exit 1
fi

log "--- 脚本启动 ---"
SNAPSHOT_LIST=$(call_api "snapshot/list" "")

# ================= 模式 1: 开机补刀/清理逻辑 (默认) =================
if [[ "$1" != "-c" ]]; then
log "进入开机自检模式..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

# 使用 grep -c 直接统计行数，不再使用 wc -l
count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "开机自检状态: 符合前缀的置顶数 $count_a, 符合前缀的未置顶数 $count_b"

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：未发现任何相关快照，无需操作。"
exit 0

elif [ "$count_b" -eq 1 ]; then
NEW_FILENAME=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 3)
NEW_DESC=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 2)

if [ "$count_a" -eq 1 ]; then
OLD_FILENAME=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 3)
OLD_DESC=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 2)

log "发现新快照，正在删除旧的已置顶快照: $OLD_DESC"

DEL_RES=$(call_api "snapshot/delete" "--data-urlencode snapshot=${OLD_FILENAME}")

# 【替换 1】使用 jq 判断删除结果
API_ERR_DEL=$(echo "$DEL_RES" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_DEL" = "0" ]; then
log "旧快照删除成功。"
DEL_MSG="已成功删除旧快照: ${OLD_DESC}。"
else
log "旧快照删除失败: $DEL_RES"
DEL_MSG="删除旧快照发生错误。"
fi
fi
# 锁定新快照(b)
log "正在锁定新快照: $NEW_DESC ..."
LOCK_RES=$(call_api "snapshot/toggleSticky" "--data-urlencode snapshot=${NEW_FILENAME} -d sticky=1")

# 使用 jq 解析 error 字段的值是否等于 0
API_ERROR=$(echo "$LOCK_RES" | jq -r '.error' 2>/dev/null)

if [ "$API_ERROR" = "0" ]; then
log "新快照锁定成功。"
send_tg "✅ 快照更替完成！${DEL_MSG}新快照 ${NEW_DESC} 已成功锁定。"
exit 0
else
log "新快照锁定失败，API返回: $LOCK_RES"
send_tg "❌ ${DEL_MSG}但新快照 ${NEW_DESC} 锁定失败，解析出的错误码为: ${API_ERROR}"
exit 1
fi

else
log "自检状态 [$count_a,$count_b]：不满足自动更替条件。"
send_tg "ℹ️ 搬瓦工自检报告：当前状态为 [$count_a,$count_b]，未达到快照更迭条件,脚本未执行操作。请手动查看.."
exit 1
fi
fi

# ================= 模式 2: 创建逻辑 (-c 参数) =================
log "进入快照创建模式 (-c)..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "状态检查: 符合前缀的已置顶快照数 $count_a, 符合前缀的未置顶的快照数 $count_b"

DO_CREATE=false

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：准备发起首次创建。"
DO_CREATE=true
elif [ "$count_a" -eq 1 ] && [ "$count_b" -eq 0 ]; then
log "状态 [1,0]：准备创建新的备份。"
DO_CREATE=true
elif [ "$count_a" -eq 0 ] && [ "$count_b" -eq 1 ]; then
log "状态 [0,1]：存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
send_tg "⚠️ 存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
elif [ "$count_a" -eq 2 ]; then
log "状态 [$count_a,$count_b]：置顶名额满。"
send_tg "🚫 快照置顶名额已满 (2/2)，请手动删除旧备份。"
else
log "状态 [$count_a,$count_b]：未知状态，停止操作。"
send_tg "❌ 未创建快照：不清楚的快照数量 (a=$count_a, b=$count_b)。"
fi

if [ "$DO_CREATE" = true ]; then
# 再次检查日期防止重复
if echo "$MAP_DATA" | grep -q "$DATE_TODAY"; then
log "今日快照已存在，跳过。今日: $DATE_TODAY"
else
log "发起创建快照请求: $CURRENT_SNAPSHOT_NAME"
CREATE_RESULT=$(call_api "snapshot/create" "--data-urlencode description=${CURRENT_SNAPSHOT_NAME}")

# 【替换 2】使用 jq 判断创建请求结果
API_ERR_CREATE=$(echo "$CREATE_RESULT" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_CREATE" = "0" ]; then
log "创建快照请求成功发送。"
else
log "创建快照请求失败: $CREATE_RESULT"
send_tg "⚠️ 搬瓦工 API 创建快照请求返回异常。"
fi
fi
fi
EOF</syntaxhighlight>授予运行权限

输入

<code>chmod +x /root/autosnapshot.sh</code>

查看是否成功输入 <code>ls -l /root/autosnapshot.sh</code>

[[File:Lsautosnapshot.png|border]]

像蓝色的有x就是成功了像上面后红色的- 没有x 就是失败了...

=== 配置开机置顶快照和定期创建快照 ===
'''0 3 * * 1'''

这是一个cron的表达式用来设定运行时间的

0 代表第 0 分钟的时候

3 代表第3小时的时候就是凌晨3点

第一个 * 代表哪一天 *代表所有天

第二个 * 代表哪一月 *代表所有月

1 代表星期一

合起来就是

'''每周一的凌晨3:00运行创建快照的指令'''

可以按照自己的时间自行修改

0 3 * * 1 root /usr/local/bin/bwg_snap.sh -c >> /var/log/bwg_snapshot.log 2>&1

开机启动检查是否有未锁定的快照(认为是上一次的快照)

如果文件名改了的话这里也要修改其他的地方不需要

@reboot root /usr/local/bin/bwg_snap.sh >> /var/log/bwg_snapshot.log 2>&1

检查定时文件是否存在

输入 <code>ls /etc/cron.d/bwg_snap</code>

[[File:Checkbwgsnap.png|border]]

上面红色框框就是文件不存在不需要修改名字

下面蓝色框框就是文件存在需要文件名字../etc/cron.d/你需要修改的名字比如/etc/cron.d/bwg_snap1

修改后复制粘贴到ssh里面回车就行了<syntaxhighlight lang="bash">cat <<EOF > /etc/cron.d/bwg_snap
# 每周一凌晨 3 点创建快照
0 3 * * 1 root /usr/local/bin/bwg_snap.sh -c >> /var/log/bwg_snapshot.log 2>&1
# 开机自启
@reboot root /usr/local/bin/bwg_snap.sh >> /var/log/bwg_snapshot.log 2>&1
EOF</syntaxhighlight># 修改文件权限

<code>chmod 644 /etc/cron.d/bwg_snap</code>

[[File:Finalcheck.png|border]]

如果你想测试可以输入

<code>/root/autosnapshot.sh -c</code>

根据时间一天只能创建一个快照....脚本设定非api设置的...

创建快照系统会重启请注意为保存的数据会丢失...

开机后应该会自动置顶这个快照或手动输入 <code>/root/autosnapshot.sh</code>

检查是否存在有前缀名但未置顶的快照或有前缀或有一个有前缀的并且置顶的快照和一个有前缀未置顶的快照

都会执行删除置顶的快照(如果有)然后置顶那个未置顶的快照

==== 查看日志 <code>cat /var/log/bwg_snapshot.log</code> ====
[[File:Finalimg.png|border]]

使用搬瓦工api自动周期性创建快照并telegrambot通知

2026-01-28T01:22:56Z

EliToviyah：创建使用搬瓦工api自动周期性创建快照并telegrambot通知

== '''''注意：''' 创建快照的过程中，虚拟机会自动重启!'' ==
请先阅读关于快照、备份与恢复了解此项功能

[[快照、备份与恢复]]

== 使用前 ==

=== 获取telegramBot bot token和chat_id ===
请参考 [[使用搬瓦工api监控网络流量的使用并telegrambot通知]]

再次提醒：

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

务必保管好bot token 和 chat_id

== 获取搬瓦工api_key和veid(服务器id) ==
请参考: [[搬瓦工api使用]]

再次提醒:

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

务必保管好api_key 和 veid 不要泄漏给任何人知道

== 开始配置 ==

=== 切换root账户 ===

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

=== 先检查是否安装了jq ===
输入 <code>jq --version</code>

如果输出

<code>-bash: jq: command not found</code>

说明没有安装

==== 安装jq ====
'''1. Debian / Ubuntu'''

<code>sudo apt update sudo apt install jq -y</code>

'''2. CentOS / RHEL'''

<nowiki>#</nowiki> 如果是 CentOS 7，可能需要先安装 epel-release

<code>sudo yum install epel-release -y</code>

<code>sudo yum install jq -y</code>

'''如果是 RHEL 8/9 或 AlmaLinux'''

<code>sudo dnf install jq -y</code>

=== 验证是否安装成功 ===
安装完成后，你可以输入

<code>jq --version</code>

[[File:Jqcheck.png|border]]

=== 脚本 ===
需要修改的地方

VEID="你的VEID"

API_KEY="你的API_KEY"

TG_BOT_TOKEN="你的BOT_TOKEN"

TG_CHAT_ID="你的CHAT_ID"

TAG_PREFIX="bwgApiAutoSnapShot" #快照描述的前缀作为判断快照是否创建、删除、锁定的重要依据

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log" # 日志文件路径
----检查 /root/autosnapshot.sh 是否存在

输入 <code>ls /root/autosnapshot.sh</code>

[[File:Checkfilehave.png|border]]

上面蓝色框框就是文件不存在就可以不修改文件名

下面的红色框框就是文件存在需要修改文件名字 /root/这里是文件名字.sh 比如修改成/root/autosnapshot11.sh

把下面内容修改后就可以复制粘贴到ssh里面然后按回车就可以创建脚本文件了<syntaxhighlight lang="bash">cat << 'EOF' > /root/autosnapshot.sh
#!/bin/bash

# ================= 配置区域 =================
VEID="你的VEID"
API_KEY="你的API_KEY"
TG_BOT_TOKEN="你的BOT_TOKEN"
TG_CHAT_ID="你的CHAT_ID"

MAX_LOG_LINES=500 # 设置日志最大保留行数，超过则清空

LOG_FILE="/var/log/bwg_snapshot.log"
TAG_PREFIX="bwgApiAutoSnapShot"
# ===========================================

API_URL="https://api.64clouds.com/v1"
DATE_TODAY=$(date +"%Y_%m_%d")
CURRENT_SNAPSHOT_NAME="${TAG_PREFIX}_${DATE_TODAY}"

log() {
# 检查日志文件是否存在
if [ -f "$LOG_FILE" ]; then
# 获取当前行数
local current_lines=$(grep -c "" "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LOG_LINES" ]; then
# 超过行数，保留最后 10 行并标记清空，或者直接清空
echo "[$(date '+%Y-%m-%d %H:%M:%S')] 日志达到上限，执行自动清理。" > "$LOG_FILE"
fi
fi
# 正常写入日志
echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1" >> "$LOG_FILE"
}

send_tg() {
local msg="$1"
# 发送 TG 消息并根据 curl 状态码记录日志
curl -s -X POST "https://api.telegram.org/bot${TG_BOT_TOKEN}/sendMessage" \
-d "chat_id=${TG_CHAT_ID}" \
-d "text=${msg}" \
-d "disable_notification=true" > /dev/null

if [ $? -eq 0 ]; then
log "Telegram 通知发送成功: $msg"
else
log "Telegram 通知发送失败，请检查网络或 Token。"
fi
}

call_api() {
local endpoint="$1"
local extra_params="$2"
# --max-time 30: 设置最大超时时间为30秒
# --retry 3: 如果失败自动重试3次
curl -s --max-time 30 --retry 3 -X POST "${API_URL}/${endpoint}" \
-d "veid=${VEID}" \
-d "api_key=${API_KEY}" \
${extra_params}
}

# 【新增函数】提取快照数据的公共逻辑
get_snapshot_map() {
echo "$SNAPSHOT_LIST" | jq -r --arg tag "$TAG_PREFIX" '
.snapshots[] |
select(try (.description | @base64d) catch "" | contains($tag)) |
"\(.sticky)|\((.description | @base64d))|\(.fileName)"
'
}

# 预检
if ! command -v jq &> /dev/null; then
log "错误: 未安装 jq，请安装jq"
exit 1
fi

log "--- 脚本启动 ---"
SNAPSHOT_LIST=$(call_api "snapshot/list" "")

# ================= 模式 1: 开机补刀/清理逻辑 (默认) =================
if [[ "$1" != "-c" ]]; then
log "进入开机自检模式..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

# 使用 grep -c 直接统计行数，不再使用 wc -l
count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "开机自检状态: 符合前缀的置顶数 $count_a, 符合前缀的未置顶数 $count_b"

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：未发现任何相关快照，无需操作。"
exit 0

elif [ "$count_b" -eq 1 ]; then
NEW_FILENAME=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 3)
NEW_DESC=$(echo "$MAP_DATA" | grep "^false" | cut -d "|" -f 2)

if [ "$count_a" -eq 1 ]; then
OLD_FILENAME=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 3)
OLD_DESC=$(echo "$MAP_DATA" | grep "^true" | cut -d "|" -f 2)

log "发现新快照，正在删除旧的已置顶快照: $OLD_DESC"

DEL_RES=$(call_api "snapshot/delete" "--data-urlencode snapshot=${OLD_FILENAME}")

# 【替换 1】使用 jq 判断删除结果
API_ERR_DEL=$(echo "$DEL_RES" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_DEL" = "0" ]; then
log "旧快照删除成功。"
DEL_MSG="已成功删除旧快照: ${OLD_DESC}。"
else
log "旧快照删除失败: $DEL_RES"
DEL_MSG="删除旧快照发生错误。"
fi
fi
# 锁定新快照(b)
log "正在锁定新快照: $NEW_DESC ..."
LOCK_RES=$(call_api "snapshot/toggleSticky" "--data-urlencode snapshot=${NEW_FILENAME} -d sticky=1")

# 使用 jq 解析 error 字段的值是否等于 0
API_ERROR=$(echo "$LOCK_RES" | jq -r '.error' 2>/dev/null)

if [ "$API_ERROR" = "0" ]; then
log "新快照锁定成功。"
send_tg "✅ 快照更替完成！${DEL_MSG}新快照 ${NEW_DESC} 已成功锁定。"
exit 0
else
log "新快照锁定失败，API返回: $LOCK_RES"
send_tg "❌ ${DEL_MSG}但新快照 ${NEW_DESC} 锁定失败，解析出的错误码为: ${API_ERROR}"
exit 1
fi

else
log "自检状态 [$count_a,$count_b]：不满足自动更替条件。"
send_tg "ℹ️ 搬瓦工自检报告：当前状态为 [$count_a,$count_b]，未达到快照更迭条件,脚本未执行操作。请手动查看.."
exit 1
fi
fi

# ================= 模式 2: 创建逻辑 (-c 参数) =================
log "进入快照创建模式 (-c)..."

# 调用函数获取数据
MAP_DATA=$(get_snapshot_map)

count_a=$(echo "$MAP_DATA" | grep -c "^true")
count_b=$(echo "$MAP_DATA" | grep -c "^false")

log "状态检查: 符合前缀的已置顶快照数 $count_a, 符合前缀的未置顶的快照数 $count_b"

DO_CREATE=false

if [ "$count_a" -eq 0 ] && [ "$count_b" -eq 0 ]; then
log "状态 [0,0]：准备发起首次创建。"
DO_CREATE=true
elif [ "$count_a" -eq 1 ] && [ "$count_b" -eq 0 ]; then
log "状态 [1,0]：准备创建新的备份。"
DO_CREATE=true
elif [ "$count_a" -eq 0 ] && [ "$count_b" -eq 1 ]; then
log "状态 [0,1]：存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
send_tg "⚠️ 存在未锁定的快照，无法判断未锁定的快照目的,停止自动化创建快照,请锁定或删除旧快照或更改description"
elif [ "$count_a" -eq 2 ]; then
log "状态 [$count_a,$count_b]：置顶名额满。"
send_tg "🚫 快照置顶名额已满 (2/2)，请手动删除旧备份。"
else
log "状态 [$count_a,$count_b]：未知状态，停止操作。"
send_tg "❌ 未创建快照：不清楚的快照数量 (a=$count_a, b=$count_b)。"
fi

if [ "$DO_CREATE" = true ]; then
# 再次检查日期防止重复
if echo "$MAP_DATA" | grep -q "$DATE_TODAY"; then
log "今日快照已存在，跳过。今日: $DATE_TODAY"
else
log "发起创建快照请求: $CURRENT_SNAPSHOT_NAME"
CREATE_RESULT=$(call_api "snapshot/create" "--data-urlencode description=${CURRENT_SNAPSHOT_NAME}")

# 【替换 2】使用 jq 判断创建请求结果
API_ERR_CREATE=$(echo "$CREATE_RESULT" | jq -r '.error' 2>/dev/null)
if [ "$API_ERR_CREATE" = "0" ]; then
log "创建快照请求成功发送。"
else
log "创建快照请求失败: $CREATE_RESULT"
send_tg "⚠️ 搬瓦工 API 创建快照请求返回异常。"
fi
fi
fi
EOF</syntaxhighlight>授予运行权限

输入

<code>chmod +x /root/autosnapshot.sh</code>

查看是否成功输入 <code>ls -l /root/autosnapshot.sh</code>

[[File:Lsautosnapshot.png|border]]

像蓝色的有x就是成功了像上面后红色的- 没有x 就是失败了...

=== 配置开机置顶快照和定期创建快照 ===
'''0 3 * * 1'''

这是一个cron的表达式用来设定运行时间的

0 代表第 0 分钟的时候

3 代表第3小时的时候就是凌晨3点

第一个 * 代表哪一天 *代表所有天

第二个 * 代表哪一月 *代表所有月

1 代表星期一

合起来就是

'''每周一的凌晨3:00运行创建快照的指令'''

可以按照自己的时间自行修改

0 3 * * 1 root /usr/local/bin/bwg_snap.sh -c >> /var/log/bwg_snapshot.log 2>&1

开机启动检查是否有未锁定的快照(认为是上一次的快照)

如果文件名改了的话这里也要修改其他的地方不需要

@reboot root /usr/local/bin/bwg_snap.sh >> /var/log/bwg_snapshot.log 2>&1

检查定时文件是否存在

输入 <code>ls /etc/cron.d/bwg_snap</code>

[[File:Checkbwgsnap.png|border]]

上面红色框框就是文件不存在不需要修改名字

下面蓝色框框就是文件存在需要文件名字../etc/cron.d/你需要修改的名字比如/etc/cron.d/bwg_snap1

修改后复制粘贴到ssh里面回车就行了<syntaxhighlight lang="bash">cat <<EOF > /etc/cron.d/bwg_snap
# 每周一凌晨 3 点创建快照
0 3 * * 1 root /usr/local/bin/bwg_snap.sh -c >> /var/log/bwg_snapshot.log 2>&1
# 开机自启
@reboot root /usr/local/bin/bwg_snap.sh >> /var/log/bwg_snapshot.log 2>&1
EOF</syntaxhighlight># 修改文件权限

<code>chmod 644 /etc/cron.d/bwg_snap</code>

[[File:Finalcheck.png|border]]

如果你想测试可以输入

<code>/root/autosnapshot.sh -c</code>

根据时间一天只能创建一个快照....脚本设定非api设置的...

创建快照系统会重启请注意为保存的数据会丢失...

开机后应该会自动置顶这个快照或手动输入 <code>/root/autosnapshot.sh</code>

检查是否存在有前缀名但未置顶的快照或有前缀或有一个有前缀的并且置顶的快照和一个有前缀未置顶的快照

都会执行删除置顶的快照(如果有)然后置顶那个未置顶的快照

==== 查看日志 <code>cat /var/log/bwg_snapshot.log</code> ====
[[File:Finalimg.png|border]]

File:Finalimg.png

2026-01-28T01:22:10Z

EliToviyah：

finalimg

File:Finalcheck.png

2026-01-28T01:17:05Z

EliToviyah：

finalcheck

File:Checkbwgsnap.png

2026-01-28T01:14:52Z

EliToviyah：

checkbwgsnap

File:Lsautosnapshot.png

2026-01-28T01:05:44Z

EliToviyah：

lsautosnapshot

File:Checkfilehave.png

2026-01-28T00:59:55Z

EliToviyah：

checkfilehave

File:Jqcheck.png

2026-01-28T00:56:49Z

EliToviyah：

jqcheck

使用搬瓦工api操作nftables实现更新白名单ip

2026-01-26T11:31:19Z

EliToviyah：修改一些顺序

== '''<big>请注意不要泄漏API_Key 任何时候都不要泄露防止服务器和API被盗用应当在安全的设备上使用API 防止API_Key被盗取</big>''' ==

<big>'''根据可实时知晓ip变化的办法不同您需要的工具也不相同..最多需要多一台本地的Linux服务器(不是防火墙所在的那个服务器哦)'''</big>

== 使用前准备 ==

=== 切换到root或有高权限的用户 ===
输入<code>whoami</code>(蓝色输出)或者查看 @之前的名字(绿色框)就是使用的用户

[[File:Whoami2.png|border]]

如果是root就是root就可以了

如果不是

[[File:Suroot.png|border]]

你输入 <code>nft list ruleset</code> 或者 <code>sudo nft list ruleset</code> 输入你的密码和上图一样说明没权限….

尝试切换到root账户

输入 <code>su -</code> 然后输入 '''root 用户'''的密码。输入的密码不会显示输入好后按回车就行变成root就说明成功了

[[File:Suroot2.png|border]]

=== 防火墙部分 ===
输入 <code>sudo nft list ruleset</code>

[[File:Nftlist.png|border]]

你的防火墙中应该有一个空白的链专用户白名单然后在含有粉色框框(主要是含有hook input就行)代码的链中 jump这个链另外先不要改成policy drop;

如果没有链的话如何创建链

<code>sudo nft add chain inet my_firewall allowed_ip</code>

请根据自己的表的类型inet 表的名字 my_firewall 自行修改哦

allowed_ip可以改成自己想要的名字比如sudo <code>nft add chain inet my_firewall whiteip</code>

要先有链才能jump 链的名字

如何添加一条jump allowed_ip 规则呢

<code>sudo nft add rule inet my_firewall my_input jump allowed_ip</code>

还是一样要修改成自己的表的类型表的名字刚刚创建的链的名字

要把这个jump allowed_ip 添加到含有粉色代码的chain里面也就是(my_input)

=== 服务器部分 ===
'''创建一个脚本用 API 调用这个脚本就好了免去了 API中过多的指令'''

'''如果你是从 [[服务器安全-防火墙 nftables]] 那文章一步一步没有修改防火墙的表链的话直接复制代码框的全部内容粘贴到ssh里面按回车文件就创建好了'''

如果你修改了防火墙的表和链的名字或不是根据那篇文章来的

请修改下面代码中的内容根据自身情况修改只需要修改=后面 “” 双引号里面的内容

[[File:Nftlist3.png|border]]

* TABLE_NAME="my_firewall"
** 这个是表的名字蓝色框框
* CHAIN_NAME="allowed_ip"
** 这个是链的名字绿色框框这个链的名字一定不是你包含 hook input 粉色这一行的那个链..因为会被清空..然后就会可能导致防火墙规则混乱…一定要是另外一个专门的链
* FAMILY="inet"
** 这个是表类型红色框框

'''示例'''

[[File:Nftlist3-1.png|border]]

如示例中的图就要改成这样的

CHAIN_NAME="allowed_mobile" TABLE_NAME="filter"

FAMILY="inet" 不变

如果是table ip filter就把FAMILY="inet" 改成 FAMILY="ip"

这里还应该输入 <code>ls /root/update_fw.sh</code>

'''检查/root目录是否有一个叫update_fw.sh的文件如果有的话你也需要修改避免被覆盖'''

上面蓝色框框的说明有存在的同名文件那你就需要修改成 > /root/别的文件名.sh那么下文中的所有/root/update_fw.sh都要改成你自己的文件名

下面红色框框说明没有找到这个文件就不用改名了直接使用就行

[[File:Catcheckfilehave.png|border]]

在下面的代码框里的对应位置改可以先复制到记事本上改完再全选重新复制粘贴到ssh里面回车

[[File:Apiconfig.png|border]]

'''代码框的脚本如下:'''<syntaxhighlight lang="bash">
cat << 'EOF' > /root/update_fw.sh
#!/bin/bash

# --- 用户配置区 ---
TABLE_NAME="my_firewall"
CHAIN_NAME="allowed_ip"
FAMILY="inet"

# --- 获取参数并剔除所有空格 ---
IP1=$(echo "$1" | tr -d '[:space:]')
IP2=$(echo "$2" | tr -d '[:space:]')

VALID_IPS=()
NFT_TYPES=()
SUCCESS_LIST=""
FAILED_LIST=""

# --- IP 校验函数 ---
check_ip() {
local input=$1
[[ -z "$input" ]] && return 1

local raw_ip="${input%/*}"
local mask="${input#*/}"

# 自动识别默认掩码
if [[ "$input" != */* ]]; then
if [[ "$raw_ip" =~ : ]]; then mask=128; else mask=32; fi
fi

# 1. IPv4 校验
# 原来的 2[0-4][0-5] 改为了 2[0-4][0-9]
if [[ "$raw_ip" =~ ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 32 ]] && return 1
echo "ip|$raw_ip/$mask"
return 0
fi

# 2. IPv6 校验 (简化版正则，兼容性更好)
if [[ "$raw_ip" =~ ^(([0-9a-fA-F]{1,4}:){1,7}[0-9a-fA-F]{1,4}|([0-9a-fA-F]{1,4}:){1,7}:|:(:[0-9a-fA-F]{1,4}){1,7}|::|([0-9a-fA-F]{1,4}:){1,7}:[0-9a-fA-F]{1,4})$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 128 ]] && return 1
echo "ip6|$raw_ip/$mask"
return 0
fi

return 1
}

process_arg() {
local arg=$1
[ -z "$arg" ] && return
local res
res=$(check_ip "$arg")
if [ $? -eq 0 ]; then
local full_ip="${res#*|}"
VALID_IPS+=("$full_ip")
NFT_TYPES+=("${res%|*}")
SUCCESS_LIST+="$full_ip "
else
FAILED_LIST+="$arg "
fi
}

process_arg "$IP1"
process_arg "$IP2"

# --- 极简反馈逻辑 ---
if [ ${#VALID_IPS[@]} -eq 0 ]; then
echo "Error: No valid IP provided ($FAILED_LIST)"
exit 1
fi

# 执行 Nftables 操作
nft flush chain $FAMILY $TABLE_NAME $CHAIN_NAME || { echo "Error: NFT chain not found"; exit 1; }

for i in "${!VALID_IPS[@]}"; do
nft add rule $FAMILY $TABLE_NAME $CHAIN_NAME ${NFT_TYPES[$i]} saddr ${VALID_IPS[$i]} accept
done

# 成功返回
echo "OK: Allowed $SUCCESS_LIST"
EOF
</syntaxhighlight>解释一下代码框里面指令的意思

* '''<code>cat</code> (Concatenate)'''：原本是用来“查看”或“拼接”内容的，但在这种组合中，它负责接收你输入的一大段文字。
* '''<code><<</code> (输入重定向)'''：这叫“在此处开始读取”。它告诉系统：“别去翻别的文件了，接下来的内容就是我要给你的，直到我遇到结束标记为止。”
* '''<code>'EOF'</code> (End Of File)'''：
** '''开始标志'''：它是你自定义的一个“暗号”。
** '''为什么要加单引号 <code>' '</code>？'''：加了单引号，系统就会“原样搬运”中间的内容，不会去解析里面的 <code>$变量</code>。这对于写入包含变量的脚本至关重要，否则这些变量在写入文件前就会被当前系统搞乱。
* '''<code>></code> (覆盖写入)'''：它的意思是“清空目标文件并把内容倒进去”。
* '''<code>/root/update_fw.sh</code>'''：这是目的地。系统会在指定路径创建或覆盖这个脚本文件。
* 中间的内容就是要写入文件的内容是我们的核心代码
* '''最后的 <code>EOF</code>'''：这是“结束暗号”。系统看到它，就知道“打包”结束了，正式保存文件。

[[File:Apinftedit1.png|border]]

我们可以看到最后蓝色框的时候有点混乱没事的直接按回车就行了

然后我们可以输入 <code>cat /root/update_fw.sh</code> 查看一下文件内容确认有写入内容就好了

[[File:Catupdateip.png|border]]

创建好后

[[File:Apinftquanxian.png|border]]

你可以先输入 <code>ls -l /root/update_fw.sh</code>

这个意思是以长格式查看/root/update_fw.sh 文件的信息

* 第一位 - 代表是文件的意思 d是目录
* 第二位到第四位 rw- 就是拥有这个文件的人的权限第一个代表的是读取如果有这个权限显示r如果没有就是-第二个是写入(编辑)的权限有这个权限就显示w没有就是-第三位是执行(运行)这个文件的权限有就显示x没有就显示- 这里显示-证明在chmod之前是没有执行权限的
* <code>r--</code> 这个文件所属组的权限同上第一位是读取r说明有第二位是-说明没有写入权限第三位是-说明没有执行权限
* <code>r--</code> 这个是其他人也是一样的有读取权限没有写入和执行权限
* 1 代表这个文件在磁盘上只有这一个‘
* root root 第一个root 代表拥有这个文件的人第二个 root 代表这个文件属于root组
* 2675 文件大小Byte
* Jan 22 01:07 修改时间
* /root/update_fw.sh 文件信息的文件

为了安全取消掉其他的权限我们输入

<code>chmod 700 /root/update_fw.sh</code>

这个指令的意思是设置这个文件的权限是700 700的意思就是只有这个文件的拥有人(root ls -l看到的)才可以读取写入和执行其他的两个0代表所属组没有任何权限和其他所有人没有任何权限。

这样，只有 root 用户能看到这个脚本的内容，也只有 root 能运行它。

=== 调用API部分 ===
获取搬瓦工服务器的API_Key和veid

请参考 [[搬瓦工api使用]]

== 使用搬瓦工API触发服务器上的脚本变更防火墙nftables的chain 从而实现动态更新白名单ip ==

=== ipv6的网段 V6_MASK ===
这个..如果你想同时更新ipv6的白名单有一个问题

就是ipv6 每个设备都有一个ipv6地址(各不相同) ipv4的时候你用电脑手机连接到同一个路由器的话一般都是走的同一个ipv4地址而ipv6不同…所以如果你只是更新了你这个设备的ipv6地址的话…别的设备仍然不在白名单中…这就需要网段

==== 请登录路由器 ====
[[File:Router1.png|border]]

找到这个前缀长度…把V6_MASK改成60就行了这样就是说连接路由器的都可以进白名单了

所有的代码中都有一个可以修改的变量.. V6_MASK="/64" 单个设备请改为 /128 一些地区可能是48 但48有点危险范围太大你的邻居可能也在这之中那为什么是64呢因为我的是64……哦我记错了我是60….

== 可实时更新ip变化的办法 ==

=== Linux系 ===

==== OpenWrt类 ====

===== 检查是否安装了curl =====
输入 <code>curl</code> 如果显示 -ash: curl not found

安装curl和证书为了访问https网站

<code>opkg update && opkg install curl ca-bundle</code>

[[File:Openwrtcurl.png|border]]

curl 8.12.1有这样的版本号有IPv6 有ssl 确保有他们就可以啦

===== 检查获取ip 的url是否有效 =====
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在后续的代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

==== 开始 ====
在 OpenWrt 中，每当接口（WAN）状态发生变化（比如重连、获取到新 IP、掉线）时，系统会自动触发对应的脚本。 OpenWrt 的网络热插拔脚本存放在： <code>/etc/hotplug.d/iface/</code>

'''进入目录：'''<code>cd /etc/hotplug.d/iface/</code>

[[File:Openwrtcd.png|border]]

'''创建脚本：'''

修改下面代码你可以先复制到记事本或者别的文本编辑工具里面最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改

保存上传的ip防止重复调用

CACHE_FILE="/etc/config/vps_last_ip"

把执行过程和结果保存到这个文件里

API LOG_FILE="/tmp/vps_sync_error.log"

最后要检查的输入 <code>ls /etc/hotplug.d/iface/99-sync-vps-firewall</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Testfileis.png|border]]

下图就是有那么你就要换一个名字

/etc/hotplug.d/iface/99-这里改成你想要的名字

比如 /etc/hotplug.d/iface/99-sync-vps-firewall1

[[File:Testfileno.png|border]]

修改后…复制粘贴到ssh里面回车就创建好脚本了

代码块如下:<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/hotplug.d/iface/99-sync-vps-firewall
#!/bin/sh

# 只要是接口启动(ifup)就触发
[ "$ACTION" = "ifup" ] || exit 0

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 用户可以分别设置获取地址（可以相同，也可以不同）
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/tmp/vps_sync.log"
MAX_LINES=100

# --- 文件初始化与清理函数 ---
init_files() {
sleep 10
# 1. 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
echo "$(date): [系统] 初始日志文件已创建" >> "$LOG_FILE"
else
# 日志滚动清理逻辑
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 50 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成" >> "$LOG_FILE"
fi
fi

# 2. 处理缓存文件及其目录
local cache_dir=$(dirname "$CACHE_FILE")
if [ ! -d "$cache_dir" ]; then
mkdir -p "$cache_dir"
echo "$(date): [系统] 创建缓存目录: $cache_dir" >> "$LOG_FILE"
fi

if [ ! -f "$CACHE_FILE" ]; then
touch "$CACHE_FILE"
# 初始化空变量，防止脚本第一次读取时报错
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
echo "$(date): [系统] 初始缓存文件已创建" >> "$LOG_FILE"
fi
}

# --- IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 1
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi
return 1
}

# 1. 初始化
init_files

# 2. 执行双栈并行/独立获取
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 3. 基础校验：至少得有一个 IP 吧
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
exit 1
fi

# 4. 缓存对比 (防重复刷 API)
[ -f "$CACHE_FILE" ] && . "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
exit 0
fi

# 5. 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 6. 解析结果
HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"
RESPONSE_CLEAN=$(echo "$RESPONSE_JSON" | tr -d '\n\r ')
ERROR_CODE=$(echo "$RESPONSE_CLEAN" | grep -o '"error":[0-9]*' | cut -d: -f2)
MESSAGE=$(echo "$RESPONSE_CLEAN" | grep -o '"message":"[^"]*"' | sed 's/"message":"//;s/"$//')

# 7. 写入中文日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] IP变更同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
echo "同步成功: $MESSAGE"
else
[ -z "$MESSAGE" ] && MESSAGE="请求异常: $RESPONSE_JSON"
echo "$(date): [失败] 同步失败。详细原因: $MESSAGE" >> "$LOG_FILE"
echo "同步失败: $MESSAGE"
fi
EOF
</syntaxhighlight>[[File:Catcmd1.png|border]]就像这样粘贴后回车就行

输入<code>chmod 755 /etc/hotplug.d/iface/99-sync-vps-firewall</code>赋予执行权限

输入 <code>ls -l /etc/hotplug.d/iface/99-sync-vps-firewall</code> 查看赋予权限是否成功

[[File:Openwrtisok.png|border]]这样你可以重启试试看… 可以输入

<code>cat /tmp/vps_sync_error.log</code>

查看是否成功

[[File:Openwrtlastok.png|border]]

前面的蓝色框框说成功指的是API成功了里面的ip是本地上传给服务器更新的ip 后面红色框框 OK才是防火墙成功的意思后面的ip就是更新的ip 如果有一个ip无效或者…就不会显示了

==== 常见错误 [[File:Openwrterror.png|border]] ====
身份验证失败意思就是说 veid 或者 api_key 的内容错误

[[File:Openwrterror1.png|border]]

没有找到链

你可以看到蓝色框的是防火墙指令..红色框是表

可能是表(inet my_firewall) 或者链(allowed_ip) 的名字和服务器防火墙的对不上你可以去服务器<code>nft list ruleset</code>看一下

==== 华硕路由器官方固件 ====
因为官方固件没有提供重新连接网络后执行脚本的功能所以我们需要一台本地的Linux服务器了(不是防火墙所在的那个服务器哦)…

===== 查看Linux服务器的ip (本地的局域网内的) =====
ssh连接的那个ip就是了…

如果你忘记了输入 <code>ip addr</code> 找个eth0或者 ens18 这样一般都是默认网络接口里面的ip地址蓝色框框

[[File:Seeserverip.png|border]]

===== 借助监听远程日志触发API更新防火墙白名单IP =====
用浏览器登陆你的路由器后台输入用户名和密码一般的地址是 192.168.1.1 如果不是可以打开 <nowiki>http://www.asusrouter.com/</nowiki> 试试

[[File:Loginrouter.png|border]]
找到系统记录单击

[[File:Syslog.png|border]]

[[File:Logre.png|border]]

远程记录服务器输入你的本地局域网linux服务器的ip

远程记录服务器端口默认514 '''如果你的linux服务器占用'''514的话就改一下

====== 如何查看是否占用 ======
ssh连接那台服务器
'''切换root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]
输入 <code>sudo ss -tunlp | grep :514</code>

如果你没有安装sudo就会提示

[[File:Errorsudo.png|border]]

那就不需要输入sudo 了直接

<code>ss -tunlp | grep :514</code>

[[File:Ss.png|border]]

这样有输出就是被占用了占用的话换一个就行了

这样没有输出就是没占用

[[File:Noss.png|border]]

然后点击应用本页面设置

===== 另外一台Linux服务器部分不是防火墙所在的那个服务器哦 =====
ssh连接后

====== 切换到root账户 ======
* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

====== 安装socat ======
socat的功能很强大是一个多功能的网络工具我们这里用于接收路由器发过来的日志…

'''Debian / Ubuntu / PVE / Armbian 系：'''

<code>apt update && apt install socat -y</code>

'''Red Hat / CentOS / Rocky Linux 系：'''

<code>yum install socat -y</code>

新一些Red Hat/CentOS/Rocky Linux希的系统可以使用<code>dnf install socat -y</code>

安装后输入 <code>socat -V</code> 确认安装成功

[[File:Socatok.png|border]]

====== 检查获取ip 的url是否有效 ======
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

====== 创建脚本 ======
修改下面代码块的代码你可以复制到记事本或者其他文本编辑器里面修改

最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

根据刚才测试的结果来决定要不要替换

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>" CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

V6_MASK="/64" 也可以修改详情看上方的 '''ipv6的网段 V6_MASK'''

最后要检查的输入 <code>ls /root/checkip.sh</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Nocheckip.png|border]]

下图这样就是有就需要修改/root/checkip.sh 比如修改成 /root/checkip1.sh

[[File:Havecheckip.png|border]]

修改后

全部选择复制粘贴到ssh里面按回车

代码块:<syntaxhighlight lang="bash">
cat << 'EOF' > /root/checkip.sh
#!/bin/bash

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 获取 IP 的地址
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/var/log/vps_sync.log"
MAX_LINES=100 # 日志保留行数

# --- 1. 初始化文件与目录 ---
init_files() {
# 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
else
# 日志滚动清理
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 100 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成 (保留末尾100行)" >> "$LOG_FILE"
fi
fi

# 处理缓存目录及文件
local cache_dir=$(dirname "$CACHE_FILE")
[ ! -d "$cache_dir" ] && mkdir -p "$cache_dir"

if [ ! -f "$CACHE_FILE" ]; then
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
fi
}

# --- 2. IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s4 --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- 3. IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s6 --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 4
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi

return 1
}

# --- 4. 核心同步逻辑 ---
sync_ip() {

# 刚收到日志时，给网络层 5-10 秒的初始化时间
sleep 10

# 获取当前 IP
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 基础校验
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
return 1
fi

# 读取缓存并对比
. "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
echo "$(date): [跳过] IP 未发生变化，取消同步" >> "$LOG_FILE"
return 0
fi

# 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
local RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 解析结果
local HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
local RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"

# 核心解析：压缩 JSON 并提取字段
local CLEAN_JSON=$(echo "$RESPONSE_JSON" | tr -d '\n\r' | tr -s ' ')
local ERROR_CODE=$(echo "$CLEAN_JSON" | sed -n 's/.*"error":[ ]*$[0-9]*$.*/\1/p')
local MESSAGE=$(echo "$CLEAN_JSON" | sed -n 's/.*"message":[ ]*"$.*$"[ ]*}.*/\1/p' | sed 's/\\//g')

# 写入日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] 同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
else
[ -z "$MESSAGE" ] && MESSAGE="$CLEAN_JSON"
echo "$(date): [失败] 同步失败。HTTP: $HTTP_CODE, ERROR: $ERROR_CODE, 原因: $MESSAGE" >> "$LOG_FILE"
fi
}

# --- 5. 监听入口 ---
init_files

# 如果直接运行脚本（无管道输入），执行一次同步
if [ -t 0 ]; then
sync_ip
else
# 如果有管道输入（来自 socat），则监听日志触发
while IFS= read -r line; do
if echo "$line" | grep -qi 'local *IP address'; then
echo "$(date): [触发] 检测到路由器拨号日志" >> "$LOG_FILE"
sync_ip
fi
done
fi
EOF
</syntaxhighlight>[[File:Cathuashuo.png|border]]

粘贴之后有点混乱不用管直接回车就行了

然后

检查一下输入 <code>cat /root/checkip.sh</code> 有内容就好了

[[File:Catcheckip.png|border]]

授予运行权限 <code>chmod +x /root/checkip.sh</code>

然后输入 <code>ls -l /root/checkip.sh</code> 查看多了三个x 就对了如果像红色框框没有x 就不对请重试 <code>chmod +x /root/checkip.sh</code>

[[File:Lslcheckip.png|border]]

然后你就可以输入

<code>/root/checkip.sh</code>

如果第一次测试成功了以后想测试的话运行这个 <code>rm /etc/config/vps_last_ip && /root/checkip.sh</code>

需要<code>rm /etc/config/vps_last_ip</code>删除本地保留的ip记录就是说如果这个ip记录和获取到的一样是不会运行api执行脚本的

测试一下相当于是手动更新..不是自动更新

[[File:Testcheckip.png|border]]

不会有内容输出

需要查看日志 <code>cat /var/log/vps_sync.log</code>

如果是下图那样就是成功了要看红色的红色框是vps服务器返回的OK 就是真的成功了 Allowed:后面是成功添加的ip 一个是ipv4 一个是ipv6的

蓝色框的成功说的是API使用成功提交的IP是哪些

在此再次提醒您使用时保管好Veid和API_Key 你看我打码服务器名字然而还是在这里漏了...以前的打码就没意义了

[[File:Checkipok.png|border]]

====== 常见错误 ======
[[File:Errorapi.png|border]]

身份验证错误一般代表 api_key 或 veid 的内容填写错误就是= 后面的 "" 里面的内容比如VEID="就这里错了" API_KEY="这里"

====== 配置开机启动和自动更新 ======
使用systemctl配置开机启动和自动根据日志更新

修改以下代码中的

<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"</code>

UDP-RECV:514 把514换成你的路由器那里设置的远程记录服务器端口比如 515 就改成 UDP-RECV:515

[[File:Logre.png|border]]

<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"</code>

这里面的 <code>/root/checkip.sh</code>

如果你的文件名改了的话就需要修改… 没改就不用改..

同理 <code>/etc/systemd/system/router-log-watcher.service</code>

这个地方你也应该输入 <code>ls /etc/systemd/system/router-log-watcher.service</code>

查看文件是否存在.如果存在就改名字如果不存在就不用改了和上面服务器部分的 ls /root/update_fw.sh 一样

修改好全部选择复制粘贴到ssh里面然后按回车<syntaxhighlight lang="bash">cat << 'EOF' > /etc/systemd/system/router-log-watcher.service
[Unit]
Description=Router Log Watcher
After=network.target

[Service]
Type=simple
# 管道命令：socat 接收 UDP 514，然后传给脚本
ExecStart=/bin/bash -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"
Restart=always
RestartSec=5
# 如果脚本需要 root 权限，确保 User=root
User=root

[Install]
WantedBy=multi-user.target
EOF</syntaxhighlight>这个不怎么混乱直接回车就行

然后 <code>cat /etc/systemd/system/router-log-watcher.service</code> 如果你的文件名字如果不是这个的话请修改

[[File:Catsystemctl.png|border]]

输入这个意思是识别新服务

<code>systemctl daemon-reload</code>

在输入这个意思是启动并设置开机自启

<code>systemctl enable --now router-log-watcher.service</code>

[[File:Startsystemctl.png|border]]

最后输入

<code>systemctl status router-log-watcher.service</code>

[[File:Staratok.png|border]]

蓝色的框是已经运行了绿色的是enabled 是设置了开机自动启动

现在可以重启路由器获取新的ip试试了

输入 <code>cat /var/log/vps_sync.log</code> 这样就是成功了

[[File:Apinftisok.png|border]]

如果ipv6获取的速度慢可能出现防火墙没有允许ipv6的情况

[[File:Apinftiserror.png|border]]

遇到极端情况下可以手动更新

<code>rm -f /etc/config/vps_last_ip && /root/checkip.sh</code>

删除存储的ip然后执行脚本 ip一直相同的话是不会调用api的

另外如果你修改了/root/checkip.sh 那么还要输入 <code>systemctl restart router-log-watcher.service</code> 重启这个服务才生效

如果成功更新ip了就可以把允许ssh的端口删掉了就真正变成白名单模式了

使用搬瓦工api监控网络流量的使用并telegrambot通知

2026-01-26T11:26:36Z

EliToviyah：修改一些错别字添加一些说明

== 使用前 ==

=== 获取veid和apikey ===
请参考 [[搬瓦工api使用]]

=== 获取telegramBOT和bot token和chat_id ===
'''<big>同样需要保存好bot token和chat_id</big>'''

'''<big>同样需要保存好bot token和chat_id</big>'''

'''<big>同样需要保存好bot token和chat_id</big>'''

==== bot token ====

在telegram搜索框搜索 botfather 找到如图的这位

[[File:Botfather.png|border]]

点击打开如果你没有任何机器人的话点击<code>create a new bot</code>

[[File:Createtelegrambot.png|border]]

[[File:Createtelegrambot1.png|border]]

在这两个地方输入

<code>Bot Name</code> bot的名字用于显示

和

<code>username_bot</code> 搜索bot时用的

其中<code>username_bot</code> 必须是bot结尾比如 abot或者a_bot

输入后显示是绿色的文本提示(你的username_bot名字 is available)就可以按<code>create bot</code>了

[[File:Createtelegrambot2.png|border]]

[[File:Createtelegrambot3.png|border]]

创建好后按copy 就复制bot token了

马赛克区域(绿色框)可以点一下就可以显示bot token (不要给别人看...)

如果你有bot 选择一个你要推送消息的bot 就会跳到上面这个页面直接点copy就可以复制bot token了

==== '''chat_id''' ====
需要先获取bot token

[[File:Createtelegrambot3.png|border]]

点击bot的username_bot名字的位置就是黄色框框

[[File:Botinfo.png|border]]

弹出界面选蓝色框框的图标

[[File:Telegramstart.png|border]]

打开这个页面选择 '''开始'''

然后用浏览器打开

<nowiki>https://api.telegram.org/bot替换成你复制的bottoken/getUpdates</nowiki>

把 '''替换成你复制的bottoken''' 这几个字删掉然后粘贴copy的token 就可以了

[[File:Webgettelegramchatid.png|border]]

在chat后面跟着的这个id就是你的chat_id了

== 配置检测脚本 ==

=== '''切换到root账户''' ===

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

=== 服务器脚本 ===
'''veid和api_key'''

VEID="你的veid"

API_KEY="你的api_key"

'''通知telegram的阈值数组 (百分比)'''

NOTIFY_THRESHOLDS=(50 80 90 95)

默认在50 80 90 95的时候通知

每一个数代表一个超过就通知的百分比你可以添加(30 50 80 90 95)

每个中间要有空格

也可以减少比如(50 95)

'''Telegram 配置'''

TG_BOT_TOKEN="你的机器人token"

TG_CHAT_ID="你的telegram ID"

设定telegram静音推送的开始时间和结束时间

(使用 UTC 小时 0-23) 北京时间 19:00 - 08:00 对应 UTC 11:00 - 00:00

'''静音开始时间'''

SILENT_UTC_START=11

'''静音结束时间'''

SILENT_UTC_END=0

'''如果你明白以下内容也可以修改'''

'''存储目录'''

STORAGE_DIR="$HOME/.cache/bwg_monitor"

'''缓存数据存放的文件'''

DATA_FILE="$STORAGE_DIR/usage_data.json"

'''日志存放文件'''

LOG_FILE="$STORAGE_DIR/monitor.log"

'''日志超过多少就删除'''

LOG_MAX_LINES=500

==== 检查文件是否存在 ====

输入 <code>ls /root/bwg_monitor.sh</code>

[[File:Checkfile1.png|border]]

如果是红色框框就是'''文件已经存在'''你就换个名字比如 /root/bwg_monitor1.sh 如果改了文件名下面的这个就都要改成 /root/bwg_monitor1.sh

如果是蓝色框框就是'''文件不存在''' 就不用改

修改后

复制代码块的所有内容粘贴到ssh里面按回车就行了

脚本代码块:<syntaxhighlight lang="bash">
cat << 'EOF' > /root/bwg_monitor.sh
#!/bin/bash

# ================= 配置区 =================
VEID="你的veid"
API_KEY="你的api_key"

# 预警阈值数组 (百分比)
NOTIFY_THRESHOLDS=(50 80 90 95)

# Telegram 配置
TG_BOT_TOKEN="你的机器人token"
TG_CHAT_ID="你的telegram ID"

# (使用 UTC 小时 0-23) 北京时间 19:00 - 08:00 对应 UTC 11:00 - 00:00
SILENT_UTC_START=11
SILENT_UTC_END=0

STORAGE_DIR="$HOME/.cache/bwg_monitor"
DATA_FILE="$STORAGE_DIR/usage_data.json"
LOG_FILE="$STORAGE_DIR/monitor.log"
LOG_MAX_LINES=500
# ==========================================

mkdir -p "$STORAGE_DIR"

# 增强型 JSON 提取函数 (无需 jq, 适配各种空格格式)
get_json_num() {
echo "$1" | grep -o "\"$2\":[^,}]*" | sed 's/.*://;s/[ "]*//g'
}

log_message() {
local msg="$1"
local timestamp=$(date '+%Y-%m-%d %H:%M:%S')
echo "$timestamp $msg" >> "$LOG_FILE"
# 自动清理旧日志
if [ $(wc -l < "$LOG_FILE") -gt "$LOG_MAX_LINES" ]; then
sed -i "1,$((LOG_MAX_LINES/2))d" "$LOG_FILE"
echo "$(date '+%Y-%m-%d %H:%M:%S') [INFO] 日志已自动减半清理。" >> "$LOG_FILE"
fi
}

send_tg_msg() {
local message="$1"
local is_test_mode="$2"
local silent_param=""

# 获取当前 UTC 小时
local current_utc_hour=$(date -u +%H)
current_utc_hour=$((10#$current_utc_hour))

# --- 跨午夜逻辑判断 ---
local is_silent=false
if [ "$SILENT_UTC_START" -lt "$SILENT_UTC_END" ]; then
# 情况 A: 时间段不跨越午夜 (如 10:00-18:00)
if [ "$current_utc_hour" -ge "$SILENT_UTC_START" ] && [ "$current_utc_hour" -lt "$SILENT_UTC_END" ]; then
is_silent=true
fi
else
# 情况 B: 时间段跨越午夜 (如 11:00-00:00)
if [ "$current_utc_hour" -ge "$SILENT_UTC_START" ] || [ "$current_utc_hour" -lt "$SILENT_UTC_END" ]; then
is_silent=true
fi
fi

[ "$is_silent" = true ] && silent_param="-d disable_notification=true"

# 执行发送
local res=$(curl -s -X POST "https://api.telegram.org/bot$TG_BOT_TOKEN/sendMessage" \
-d "chat_id=$TG_CHAT_ID" \
$silent_param \
-d "text=$message")

if [[ "$res" == *"\"ok\":true"* ]]; then
if [[ "$is_test_mode" == "-t" ]]; then
echo "✅ Telegram 发送成功！ (静音模式: $is_silent)"
else
log_message "[SUCCESS] Telegram 预警已送达 (静音: $is_silent)。"
fi
return 0
else
if [[ "$is_test_mode" == "-t" ]]; then
echo "❌ Telegram 错误: $res"
else
log_message "[ERROR] Telegram 失败: $res"
fi
return 1
fi
}

# --- 处理测试参数 -t ---
if [[ "$1" == "-t" ]]; then
echo "--- 正在进入模拟测试模式 ---"

# 模拟输入值
MOCK_PLAN=2147483648000
MOCK_USED=77207619653
MOCK_MULT=1
# 模拟重置时间：当前时间 + 1天 (86400秒)
MOCK_NEXT_RESET=$(($(date +%s) + 86400))

# 计算逻辑
M_PLAN_KB=$(( MOCK_PLAN * MOCK_MULT / 1024 ))
M_USED_KB=$(( MOCK_USED * MOCK_MULT / 1024 ))
M_USAGE_PERCENT=$(( M_USED_KB * 100 / M_PLAN_KB ))

M_USED_GB=$(( M_USED_KB / 1024 / 1024 ))
M_TOTAL_GB=$(( M_PLAN_KB / 1024 / 1024 ))
M_RESET_DATE=$(date -d @"$MOCK_NEXT_RESET" '+%Y-%m-%d %H:%M')

TEST_MSG="🔔 搬瓦工监控模拟测试
当前进度: $M_USAGE_PERCENT%
已用流量: ${M_USED_GB} GB
总量配额: ${M_TOTAL_GB} GB
下次重置: $M_RESET_DATE
------------------
如果收到此消息，说明 Bot 配置与计算逻辑正常。"

echo "计算结果: 已用 $M_USAGE_PERCENT% ($M_USED_GB/$M_TOTAL_GB GB)"

if send_tg_msg "$TEST_MSG"; then
echo "✅ 测试成功！请检查 Telegram。"
else
echo "❌ 测试失败！请检查 Token/ID 或网络连接。"
fi

echo "--- 测试结束 (数据未保存) ---"
exit 0
fi

# --- 正式运行逻辑 ---
RESPONSE=$(curl -s -X POST "https://api.64clouds.com/v1/getServiceInfo" -d "veid=$VEID" -d "api_key=$API_KEY")
ERROR_CODE=$(get_json_num "$RESPONSE" "error")

if [[ "$ERROR_CODE" != "0" ]]; then
log_message "[ERROR] API 请求失败: $RESPONSE"
exit 1
fi

# 提取关键数据
PLAN=$(get_json_num "$RESPONSE" "plan_monthly_data")
USED=$(get_json_num "$RESPONSE" "data_counter")
MULT=$(get_json_num "$RESPONSE" "monthly_data_multiplier")
NEXT_RESET=$(get_json_num "$RESPONSE" "data_next_reset")

# 转换 KB 预防 32 位溢出
PLAN_KB=$(( PLAN * MULT / 1024 ))
USED_KB=$(( USED * MULT / 1024 ))
USAGE_PERCENT=$(( USED_KB * 100 / PLAN_KB ))

# 读取历史数据
HIST_NOTIFIED=$(get_json_num "$(cat "$DATA_FILE" 2>/dev/null || echo '{"notified_level":-1}')" "notified_level")
HIST_RESET_TS=$(get_json_num "$(cat "$DATA_FILE" 2>/dev/null || echo '{"last_check_ts":0}')" "last_check_ts")

# 跨周期重置
if [[ "$NEXT_RESET" != "$HIST_RESET_TS" ]]; then
HIST_NOTIFIED=-1
log_message "[INFO] 进入新计费周期。"
fi

FINAL_NOTIFY_LEVEL=$HIST_NOTIFIED
for level in "${NOTIFY_THRESHOLDS[@]}"; do
if [ "$USAGE_PERCENT" -ge "$level" ] && [ "$level" -gt "$HIST_NOTIFIED" ]; then
USED_GB=$(( USED_KB / 1024 / 1024 ))
TOTAL_GB=$(( PLAN_KB / 1024 / 1024 ))
RESET_DATE=$(date -d @"$NEXT_RESET" '+%Y-%m-%d %H:%M')

MSG="🚨 搬瓦工流量预警
进度: $USAGE_PERCENT%
已用: ${USED_GB} GB
总量: ${TOTAL_GB} GB
重置日期: $RESET_DATE"

if send_tg_msg "$MSG"; then
FINAL_NOTIFY_LEVEL=$level
log_message "[SUCCESS] 发送 $level% 通知。"
fi
fi
done

# 保存状态
echo "{\"total_usage_kb\":$USED_KB,\"last_check_ts\":$NEXT_RESET,\"notified_level\":$FINAL_NOTIFY_LEVEL}" > "$DATA_FILE"
log_message "[INFO] 检查完毕: $USAGE_PERCENT%"
EOF
</syntaxhighlight>

==== 授予执行权限 ====
输入 <code>chmod +x /root/bwg_monitor.sh</code>

然后输入 <code>ls -l /root/bwg_monitor.sh</code>

如果像蓝色框框有x就说明有执行权限了如果是红色的-就说明还没执行的权限[[File:Chmod1.png|border]]

==== 测试telegram推送 ====
输入 <code>/root/bwg_monitor.sh -t</code>

[[File:Telegramsend.png|border]]

[[File:Telegramtest.png|border]]

如下是失败了你的bot token或 chat_id 不正确

[[File:Telegramsenderror.png|border]]

正常就可以配置开机自动启动了

=== 配置开机自动启动 ===

=== 第一步：创建 Service 文件 ===
这个文件告诉系统“要运行什么”。

这里你也可以去 <code>ls /etc/systemd/system/bwg-monitor.service</code> 检查一下这个文件是否存在防止被覆盖... 但一般不会有吧.... 如果存在就把 <code>/etc/systemd/system/bwg-monitor.service</code>改成<code>/etc/systemd/system/bwg-monitor1.service</code>之类的只改最后一个/ 后面和 . 之前的就是 /etc/systemd/system/这里可以修改.service

如果你修改了下面的也要改并且要一样才行

替换你的实际文件名和路径

ExecStart=/bin/bash /root/bwg_monitor.sh 如果你上面没改那就这样就行

bwg_monitor.sh 是你的文件名

/root/ 代表是 / 目录下的 root 目录下的 bwg_monitor.sh 文件<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/systemd/system/bwg-monitor.service
[Unit]
Description=BandwagonHost Traffic Monitor Service
After=network.target

[Service]
Type=oneshot
# 替换为你的实际文件名
ExecStart=/bin/bash /root/bwg_monitor.sh
EOF
</syntaxhighlight>

=== 第二步：创建 Timer 文件 ===
这个文件告诉系统“什么时候运行”。

<code>/etc/systemd/system/bwg-monitor.timer</code>同上你可以检查一下

如果你修改了文件名需要注意的是两个文件名的名字需要一致 <code>bwg-a.timer</code> <code>bwg-a.service</code> .timer和.service 之前的那个文件名

有几个可以修改的地方

<nowiki>#</nowiki> 开机后 2 分钟开始第一次执行

OnBootSec=2min

<nowiki>#</nowiki> 之后每隔 1 小时执行一次

OnUnitActiveSec=1h

<nowiki>#</nowiki> 如果关机错过了时间，开机后立刻补跑

Persistent=true<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/systemd/system/bwg-monitor.timer
[Unit]
Description=Run BandwagonHost Traffic Monitor every hour

[Timer]
# 开机后 2 分钟开始第一次执行
OnBootSec=2min
# 之后每隔 1 小时执行一次
OnUnitActiveSec=1h
# 如果关机错过了时间，开机后立刻补跑
Persistent=true

[Install]
WantedBy=timers.target
EOF
</syntaxhighlight>

=== 第三步：启动并激活 ===
在终端执行以下命令：<syntaxhighlight lang="bash">
# 重新加载配置
systemctl daemon-reload

# 启动定时器并设置为开机自启
systemctl enable --now bwg-monitor.timer

# 查看定时器状态
systemctl status bwg-monitor.timer
</syntaxhighlight>[[File:Systemctlstatusbwg.png|border]]

蓝色框框说明是定时器已经正常运行

红色框框是已经开启了自动开机启动

绿色的框框代表service正在等待只要不是红色的就行了

=== 缓存和日志的存储位置 ===
在默认位置在 '''$HOME/.cache/bwg_monitor/'''

如果你是按照本文来的那$HOME就是/root 完整路径就是 '''/root/.cache/bwg_monitor/'''

[[File:Store.png|border]]

monitor.log是执行过程记录的日志

usage_data.json是缓存信息

如果需要重复测试的话需要删除usage_data.json缓存信息

如果你按照本文的来的话切换了root账户

就输入 <code>rm /root/.cache/bwg_monitor/usage_data.json</code>

如果你不是root账户的话就用这个 <code>rm $HOME/.cache/bwg_monitor/usage_data.json</code>

如果出现错误和非预期情况请检查 <code>cat $HOME/.cache/bwg_monitor/monitor.log</code>的信息

使用搬瓦工api监控网络流量的使用并telegrambot通知

2026-01-26T06:50:30Z

EliToviyah：添加使用搬瓦工api监控网络流量并推送到telegrambot

== 使用前 ==

=== 获取veid和apikey ===
请参考 [[搬瓦工api使用]]

=== 获取telegramBOT和bot token和chat_id ===
'''<big>同样需要保存好bot token和chat_id</big>'''

'''<big>同样需要保存好bot token和chat_id</big>'''

'''<big>同样需要保存好bot token和chat_id</big>'''

==== bot token ====

在telegram搜索框搜索 botfather 找到如图的这位

[[File:Botfather.png|border]]

点击打开如果你没有任何机器人的话点击<code>create a new bot</code>

[[File:Createtelegrambot.png|border]]

[[File:Createtelegrambot1.png|border]]

在这两个地方输入

<code>Bot Name</code> bot的名字用于显示

和

<code>username_bot</code> 搜索bot时用的

其中

username_bot 比如是bot结尾比如 abot或者a_bot

输入后显示时绿色的文本提示(你的username_bot名字 is available)就可以按<code>create bot</code>了

[[File:Createtelegrambot2.png|border]]

[[File:Createtelegrambot3.png|border]]

创建好后按copy 就复制bot token了

马赛克区域(绿色框)可以点一下就可以显示bot token

如果你有bot 选择一个你要推送消息的bot 就会跳到上面这个页面直接点copy就可以复制bot token了

==== '''chat_id''' ====
需要先获取bot token

[[File:Createtelegrambot3.png|border]]

点击bot的username_bot名字的位置就是黄色框框

[[File:Botinfo.png|border]]

弹出界面选蓝色框框的图标

[[File:Telegramstart.png|border]]

打开这个页面选择开始

然后用浏览器打开

<nowiki>https://api.telegram.org/bot替换成你复制的bottoken/getUpdates</nowiki>

把 '''替换成你复制的bottoken''' 这几个字删掉然后粘贴copy的token 就可以了

[[File:Webgettelegramchatid.png|border]]

在chat后面跟着的这个id就是你的chat_id了

== 配置检测脚本 ==

=== '''切换到root账户''' ===

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

=== 服务器脚本 ===
'''veid和api_key'''

VEID="你的veid"

API_KEY="你的api_key"

'''通知telegram的阈值数组 (百分比)'''

NOTIFY_THRESHOLDS=(50 80 90 95)

默认在50 80 90 95的时候通知

每一个数代表百分比你可以添加(30 50 80 90 95)

每个中间会有空格

也可以减少(50 95)

'''Telegram 配置'''

TG_BOT_TOKEN="你的机器人token"

TG_CHAT_ID="你的telegram ID"

设定telegram静音推送的开始时间和结束时间

(使用 UTC 小时 0-23) 北京时间 19:00 - 08:00 对应 UTC 11:00 - 00:00

'''静音开始时间'''

SILENT_UTC_START=11

'''静音结束时间'''

SILENT_UTC_END=0

'''如果你明白以下内容也可以修改'''

'''存储目录'''

STORAGE_DIR="$HOME/.cache/bwg_monitor"

'''缓存数据存放的文件'''

DATA_FILE="$STORAGE_DIR/usage_data.json"

'''日志存放文件'''

LOG_FILE="$STORAGE_DIR/monitor.log"

'''日志超过多少就删除'''

LOG_MAX_LINES=500

==== 检查文件是否存在 ====

输入 <code>ls /root/bwg_monitor.sh</code>

[[File:Checkfile1.png|border]]

如果是红色框框就是'''文件已经存在''' 你就换个名字比如 /root/bwg_monitor1.sh 如果改了文件名下面的这个就都要改成 /root/bwg_monitor1.sh

如果是蓝色框框就是'''文件不存在''' 就不用改

修改后

复制代码块的所有内容粘贴到ssh里面按回车就行了

脚本代码块:<syntaxhighlight lang="bash">
cat << 'EOF' > /root/bwg_monitor.sh
#!/bin/bash

# ================= 配置区 =================
VEID="你的veid"
API_KEY="你的api_key"

# 预警阈值数组 (百分比)
NOTIFY_THRESHOLDS=(50 80 90 95)

# Telegram 配置
TG_BOT_TOKEN="你的机器人token"
TG_CHAT_ID="你的telegram ID"

# (使用 UTC 小时 0-23) 北京时间 19:00 - 08:00 对应 UTC 11:00 - 00:00
SILENT_UTC_START=11
SILENT_UTC_END=0

STORAGE_DIR="$HOME/.cache/bwg_monitor"
DATA_FILE="$STORAGE_DIR/usage_data.json"
LOG_FILE="$STORAGE_DIR/monitor.log"
LOG_MAX_LINES=500
# ==========================================

mkdir -p "$STORAGE_DIR"

# 增强型 JSON 提取函数 (无需 jq, 适配各种空格格式)
get_json_num() {
echo "$1" | grep -o "\"$2\":[^,}]*" | sed 's/.*://;s/[ "]*//g'
}

log_message() {
local msg="$1"
local timestamp=$(date '+%Y-%m-%d %H:%M:%S')
echo "$timestamp $msg" >> "$LOG_FILE"
# 自动清理旧日志
if [ $(wc -l < "$LOG_FILE") -gt "$LOG_MAX_LINES" ]; then
sed -i "1,$((LOG_MAX_LINES/2))d" "$LOG_FILE"
echo "$(date '+%Y-%m-%d %H:%M:%S') [INFO] 日志已自动减半清理。" >> "$LOG_FILE"
fi
}

send_tg_msg() {
local message="$1"
local is_test_mode="$2"
local silent_param=""

# 获取当前 UTC 小时
local current_utc_hour=$(date -u +%H)
current_utc_hour=$((10#$current_utc_hour))

# --- 跨午夜逻辑判断 ---
local is_silent=false
if [ "$SILENT_UTC_START" -lt "$SILENT_UTC_END" ]; then
# 情况 A: 时间段不跨越午夜 (如 10:00-18:00)
if [ "$current_utc_hour" -ge "$SILENT_UTC_START" ] && [ "$current_utc_hour" -lt "$SILENT_UTC_END" ]; then
is_silent=true
fi
else
# 情况 B: 时间段跨越午夜 (如 11:00-00:00)
if [ "$current_utc_hour" -ge "$SILENT_UTC_START" ] || [ "$current_utc_hour" -lt "$SILENT_UTC_END" ]; then
is_silent=true
fi
fi

[ "$is_silent" = true ] && silent_param="-d disable_notification=true"

# 执行发送
local res=$(curl -s -X POST "https://api.telegram.org/bot$TG_BOT_TOKEN/sendMessage" \
-d "chat_id=$TG_CHAT_ID" \
$silent_param \
-d "text=$message")

if [[ "$res" == *"\"ok\":true"* ]]; then
if [[ "$is_test_mode" == "-t" ]]; then
echo "✅ Telegram 发送成功！ (静音模式: $is_silent)"
else
log_message "[SUCCESS] Telegram 预警已送达 (静音: $is_silent)。"
fi
return 0
else
if [[ "$is_test_mode" == "-t" ]]; then
echo "❌ Telegram 错误: $res"
else
log_message "[ERROR] Telegram 失败: $res"
fi
return 1
fi
}

# --- 处理测试参数 -t ---
if [[ "$1" == "-t" ]]; then
echo "--- 正在进入模拟测试模式 ---"

# 模拟输入值
MOCK_PLAN=2147483648000
MOCK_USED=77207619653
MOCK_MULT=1
# 模拟重置时间：当前时间 + 1天 (86400秒)
MOCK_NEXT_RESET=$(($(date +%s) + 86400))

# 计算逻辑
M_PLAN_KB=$(( MOCK_PLAN * MOCK_MULT / 1024 ))
M_USED_KB=$(( MOCK_USED * MOCK_MULT / 1024 ))
M_USAGE_PERCENT=$(( M_USED_KB * 100 / M_PLAN_KB ))

M_USED_GB=$(( M_USED_KB / 1024 / 1024 ))
M_TOTAL_GB=$(( M_PLAN_KB / 1024 / 1024 ))
M_RESET_DATE=$(date -d @"$MOCK_NEXT_RESET" '+%Y-%m-%d %H:%M')

TEST_MSG="🔔 搬瓦工监控模拟测试
当前进度: $M_USAGE_PERCENT%
已用流量: ${M_USED_GB} GB
总量配额: ${M_TOTAL_GB} GB
下次重置: $M_RESET_DATE
------------------
如果收到此消息，说明 Bot 配置与计算逻辑正常。"

echo "计算结果: 已用 $M_USAGE_PERCENT% ($M_USED_GB/$M_TOTAL_GB GB)"

if send_tg_msg "$TEST_MSG"; then
echo "✅ 测试成功！请检查 Telegram。"
else
echo "❌ 测试失败！请检查 Token/ID 或网络连接。"
fi

echo "--- 测试结束 (数据未保存) ---"
exit 0
fi

# --- 正式运行逻辑 ---
RESPONSE=$(curl -s -X POST "https://api.64clouds.com/v1/getServiceInfo" -d "veid=$VEID" -d "api_key=$API_KEY")
ERROR_CODE=$(get_json_num "$RESPONSE" "error")

if [[ "$ERROR_CODE" != "0" ]]; then
log_message "[ERROR] API 请求失败: $RESPONSE"
exit 1
fi

# 提取关键数据
PLAN=$(get_json_num "$RESPONSE" "plan_monthly_data")
USED=$(get_json_num "$RESPONSE" "data_counter")
MULT=$(get_json_num "$RESPONSE" "monthly_data_multiplier")
NEXT_RESET=$(get_json_num "$RESPONSE" "data_next_reset")

# 转换 KB 预防 32 位溢出
PLAN_KB=$(( PLAN * MULT / 1024 ))
USED_KB=$(( USED * MULT / 1024 ))
USAGE_PERCENT=$(( USED_KB * 100 / PLAN_KB ))

# 读取历史数据
HIST_NOTIFIED=$(get_json_num "$(cat "$DATA_FILE" 2>/dev/null || echo '{"notified_level":-1}')" "notified_level")
HIST_RESET_TS=$(get_json_num "$(cat "$DATA_FILE" 2>/dev/null || echo '{"last_check_ts":0}')" "last_check_ts")

# 跨周期重置
if [[ "$NEXT_RESET" != "$HIST_RESET_TS" ]]; then
HIST_NOTIFIED=-1
log_message "[INFO] 进入新计费周期。"
fi

FINAL_NOTIFY_LEVEL=$HIST_NOTIFIED
for level in "${NOTIFY_THRESHOLDS[@]}"; do
if [ "$USAGE_PERCENT" -ge "$level" ] && [ "$level" -gt "$HIST_NOTIFIED" ]; then
USED_GB=$(( USED_KB / 1024 / 1024 ))
TOTAL_GB=$(( PLAN_KB / 1024 / 1024 ))
RESET_DATE=$(date -d @"$NEXT_RESET" '+%Y-%m-%d %H:%M')

MSG="🚨 搬瓦工流量预警
进度: $USAGE_PERCENT%
已用: ${USED_GB} GB
总量: ${TOTAL_GB} GB
重置日期: $RESET_DATE"

if send_tg_msg "$MSG"; then
FINAL_NOTIFY_LEVEL=$level
log_message "[SUCCESS] 发送 $level% 通知。"
fi
fi
done

# 保存状态
echo "{\"total_usage_kb\":$USED_KB,\"last_check_ts\":$NEXT_RESET,\"notified_level\":$FINAL_NOTIFY_LEVEL}" > "$DATA_FILE"
log_message "[INFO] 检查完毕: $USAGE_PERCENT%"
EOF
</syntaxhighlight>

==== 授予执行权限 ====
输入 <code>chmod +x /root/bwg_monitor.sh</code>

然后输入 <code>ls -l /root/bwg_monitor.sh</code>

如果像蓝色框框有x就说明有执行权限了如果是红色的-就说明还没执行的权限[[File:Chmod1.png|border]]

==== 测试telegram推送 ====
输入 <code>/root/bwg_monitor.sh -t</code>

[[File:Telegramsend.png|border]]

[[File:Telegramtest.png|border]]

如下是失败了你的bot token或 chat_id 不正确

[[File:Telegramsenderror.png|border]]

正常就可以配置开机自动启动了

=== 配置开机自动启动 ===

=== 第一步：创建 Service 文件 ===
这个文件告诉系统“要运行什么”。

这里你也可以去 <code>ls /etc/systemd/system/bwg-monitor.service</code> 检查一下这个文件是否存在防止被覆盖... 但一般不会有吧.... 如果存在就把 <code>/etc/systemd/system/bwg-monitor.service</code>改成<code>/etc/systemd/system/bwg-monitor1.service</code>之类的只改最后一个/ 后面和 . 之前的就是 /etc/systemd/system/这里可以修改.service

如果你修改了下面的也要改并且要一样才行

这里替换为你的实际文件名

ExecStart=/bin/bash /root/bwg_monitor.sh 如果你上面没改那就这样就行<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/systemd/system/bwg-monitor.service
[Unit]
Description=BandwagonHost Traffic Monitor Service
After=network.target

[Service]
Type=oneshot
# 替换为你的实际文件名
ExecStart=/bin/bash /root/bwg_monitor.sh
EOF
</syntaxhighlight>

=== 第二步：创建 Timer 文件 ===
这个文件告诉系统“什么时候运行”。

'''文件路径'''：<code>/etc/systemd/system/bwg-monitor.timer</code>同上你可以检查一下

如果你修改了文件名需要注意的是两个文件名的名字需要一致 <code>bwg-a.timer</code> <code>bwg-a.service</code> .timer和.service 之前的那个文件名

有几个可以修改的地方

<nowiki>#</nowiki> 开机后 2 分钟开始第一次执行

OnBootSec=2min

<nowiki>#</nowiki> 之后每隔 1 小时执行一次

OnUnitActiveSec=1h

<nowiki>#</nowiki> 如果关机错过了时间，开机后立刻补跑

Persistent=true<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/systemd/system/bwg-monitor.timer
[Unit]
Description=Run BandwagonHost Traffic Monitor every hour

[Timer]
# 开机后 2 分钟开始第一次执行
OnBootSec=2min
# 之后每隔 1 小时执行一次
OnUnitActiveSec=1h
# 如果关机错过了时间，开机后立刻补跑
Persistent=true

[Install]
WantedBy=timers.target
EOF
</syntaxhighlight>

=== 第三步：启动并激活 ===
在终端执行以下命令：<syntaxhighlight lang="bash">
# 重新加载配置
systemctl daemon-reload

# 启动定时器并设置为开机自启
systemctl enable --now bwg-monitor.timer

# 查看定时器状态
systemctl status bwg-monitor.timer
</syntaxhighlight>[[File:Systemctlstatusbwg.png|border]]

蓝色框框说明是定时器已经正常运行

红色框框是已经开启了自动开机启动

绿色的框框代表service正在等待只要不是红色的就行了

=== 缓存和日志的存储位置 ===
在默认位置在 '''$HOME/.cache/bwg_monitor/'''

如果你是按照本文来的那$HOME就是/root 完整路径就是 '''/root/.cache/bwg_monitor/'''

[[File:Store.png|border]]

monitor.log是执行日志

usage_data.json是缓存信息

如果需要重复测试的话需要删除usage_data.json缓存信息

如果你按照本文的来的话切换了root账户

就输入 <code>rm /root/.cache/bwg_monitor/usage_data.json</code>

如果你不是root账户的话就用这个 <code>rm $HOME/.cache/bwg_monitor/usage_data.json</code>

如果出现错误请检查 <code>cat $HOME/.cache/bwg_monitor/monitor.log</code>的信息

File:Store.png

2026-01-26T06:39:31Z

EliToviyah：

store

File:Telegramtest.png

2026-01-26T06:38:08Z

EliToviyah：

telegramtest

File:Systemctlstatusbwg.png

2026-01-26T06:34:46Z

EliToviyah：

systemctlstatusbwg

File:Telegramsenderror.png

2026-01-26T06:18:39Z

EliToviyah：

telegramsenderror

File:Telegramsend.png

2026-01-26T06:17:49Z

EliToviyah：

telegramsend

File:Chmod1.png

2026-01-26T06:12:11Z

EliToviyah：

chmod1

File:Checkfile1.png

2026-01-26T06:08:31Z

EliToviyah：

checkfile1

使用搬瓦工api操作nftables实现更新白名单ip

2026-01-26T06:01:28Z

EliToviyah：再次修复排版...

== '''<big>请注意不要泄漏API_Key 任何时候都不要泄露防止服务器和API被盗用应当在安全的设备上使用API 防止API_Key被盗取</big>''' ==

<big>'''根据可实时知晓ip变化的办法不同您需要的工具也不相同..最多需要多一台本地的Linux服务器(不是防火墙所在的那个服务器哦)'''</big>

== 使用前准备 ==

=== 切换到root或有高权限的用户 ===
输入<code>whoami</code>(蓝色输出)或者查看 @之前的名字(绿色框)就是使用的用户

[[File:Whoami2.png|border]]

如果是root就是root就可以了

如果不是

[[File:Suroot.png|border]]

你输入 <code>nft list ruleset</code> 或者 <code>sudo nft list ruleset</code> 输入你的密码和上图一样说明没权限….

尝试切换到root账户

输入 <code>su -</code> 然后输入 '''root 用户'''的密码。输入的密码不会显示输入好后按回车就行变成root就说明成功了

[[File:Suroot2.png|border]]

=== 防火墙部分 ===
输入 <code>sudo nft list ruleset</code>

[[File:Nftlist.png|border]]

你的防火墙中应该有一个空白的链专用户白名单然后在含有粉色框框(主要是含有hook input就行)代码的链中 jump这个链另外先不要改成policy drop;

如果没有链的话如何创建链

<code>sudo nft add chain inet my_firewall allowed_ip</code>

请根据自己的表的类型inet 表的名字 my_firewall 自行修改哦

allowed_ip可以改成自己想要的名字比如sudo <code>nft add chain inet my_firewall whiteip</code>

要先有链才能jump 链的名字

如何添加一条jump allowed_ip 规则呢

<code>sudo nft add rule inet my_firewall my_input jump allowed_ip</code>

还是一样要修改成自己的表的类型表的名字刚刚创建的链的名字

要把这个jump allowed_ip 添加到含有粉色代码的chain里面也就是(my_input)

=== 服务器部分 ===
'''创建一个脚本用 API 调用这个脚本就好了免去了 API中过多的指令'''

'''如果你是从 [[服务器安全-防火墙 nftables]] 那文章一步一步没有修改防火墙的表链的话直接复制代码框的全部内容粘贴到ssh里面按回车文件就创建好了'''

如果你修改了防火墙的表和链的名字或不是根据那篇文章来的

请修改下面代码中的内容根据自身情况修改只需要修改=后面 “” 双引号里面的内容

[[File:Nftlist3.png|border]]

* TABLE_NAME="my_firewall"
** 这个是表的名字蓝色框框
* CHAIN_NAME="allowed_ip"
** 这个是链的名字绿色框框这个链的名字一定不是你包含 hook input 粉色这一行的那个链..因为会被清空..然后就会可能导致防火墙规则混乱…一定要是另外一个专门的链
* FAMILY="inet"
** 这个是表类型红色框框

'''示例'''

[[File:Nftlist3-1.png|border]]

如示例中的图就要改成这样的

CHAIN_NAME="allowed_mobile" TABLE_NAME="filter"

FAMILY="inet" 不变

如果是table ip filter就把FAMILY="inet" 改成 FAMILY="ip"

这里还有一个位置需要输入 <code>ls /root/update_fw.sh</code>

'''检查这个目录是否有一个叫update_fw.sh如果有的话你也需要修改避免被覆盖'''

上面蓝色框框的说明有存在的同名文件那你就需要修改成 > /root/别的文件名.sh那么下文中的所有/root/update_fw.sh都要改成你自己的文件名

下面红色框框说明没有找到这个文件就不用改名了直接使用就行

[[File:Catcheckfilehave.png|border]]

在下面的代码框里的对应位置改可以先复制到记事本上改完再全选重新复制粘贴到ssh里面回车

[[File:Apiconfig.png|border]]

'''代码框的脚本如下:'''<syntaxhighlight lang="bash">
cat << 'EOF' > /root/update_fw.sh
#!/bin/bash

# --- 用户配置区 ---
TABLE_NAME="my_firewall"
CHAIN_NAME="allowed_ip"
FAMILY="inet"

# --- 获取参数并剔除所有空格 ---
IP1=$(echo "$1" | tr -d '[:space:]')
IP2=$(echo "$2" | tr -d '[:space:]')

VALID_IPS=()
NFT_TYPES=()
SUCCESS_LIST=""
FAILED_LIST=""

# --- IP 校验函数 ---
check_ip() {
local input=$1
[[ -z "$input" ]] && return 1

local raw_ip="${input%/*}"
local mask="${input#*/}"

# 自动识别默认掩码
if [[ "$input" != */* ]]; then
if [[ "$raw_ip" =~ : ]]; then mask=128; else mask=32; fi
fi

# 1. IPv4 校验
# 原来的 2[0-4][0-5] 改为了 2[0-4][0-9]
if [[ "$raw_ip" =~ ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 32 ]] && return 1
echo "ip|$raw_ip/$mask"
return 0
fi

# 2. IPv6 校验 (简化版正则，兼容性更好)
if [[ "$raw_ip" =~ ^(([0-9a-fA-F]{1,4}:){1,7}[0-9a-fA-F]{1,4}|([0-9a-fA-F]{1,4}:){1,7}:|:(:[0-9a-fA-F]{1,4}){1,7}|::|([0-9a-fA-F]{1,4}:){1,7}:[0-9a-fA-F]{1,4})$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 128 ]] && return 1
echo "ip6|$raw_ip/$mask"
return 0
fi

return 1
}

process_arg() {
local arg=$1
[ -z "$arg" ] && return
local res
res=$(check_ip "$arg")
if [ $? -eq 0 ]; then
local full_ip="${res#*|}"
VALID_IPS+=("$full_ip")
NFT_TYPES+=("${res%|*}")
SUCCESS_LIST+="$full_ip "
else
FAILED_LIST+="$arg "
fi
}

process_arg "$IP1"
process_arg "$IP2"

# --- 极简反馈逻辑 ---
if [ ${#VALID_IPS[@]} -eq 0 ]; then
echo "Error: No valid IP provided ($FAILED_LIST)"
exit 1
fi

# 执行 Nftables 操作
nft flush chain $FAMILY $TABLE_NAME $CHAIN_NAME || { echo "Error: NFT chain not found"; exit 1; }

for i in "${!VALID_IPS[@]}"; do
nft add rule $FAMILY $TABLE_NAME $CHAIN_NAME ${NFT_TYPES[$i]} saddr ${VALID_IPS[$i]} accept
done

# 成功返回
echo "OK: Allowed $SUCCESS_LIST"
EOF
</syntaxhighlight>解释一下代码框里面指令的意思

* '''<code>cat</code> (Concatenate)'''：原本是用来“查看”或“拼接”内容的，但在这种组合中，它负责接收你输入的一大段文字。
* '''<code><<</code> (输入重定向)'''：这叫“在此处开始读取”。它告诉系统：“别去翻别的文件了，接下来的内容就是我要给你的，直到我遇到结束标记为止。”
* '''<code>'EOF'</code> (End Of File)'''：
** '''开始标志'''：它是你自定义的一个“暗号”。
** '''为什么要加单引号 <code>' '</code>？'''：加了单引号，系统就会“原样搬运”中间的内容，不会去解析里面的 <code>$变量</code>。这对于写入包含变量的脚本至关重要，否则这些变量在写入文件前就会被当前系统搞乱。
* '''<code>></code> (覆盖写入)'''：它的意思是“清空目标文件并把内容倒进去”。
* '''<code>/root/update_fw.sh</code>'''：这是目的地。系统会在指定路径创建或覆盖这个脚本文件。
* 中间的内容就是要写入文件的内容是我们的核心代码
* '''最后的 <code>EOF</code>'''：这是“结束暗号”。系统看到它，就知道“打包”结束了，正式保存文件。

[[File:Apinftedit1.png|border]]

我们可以看到最后蓝色框的时候有点混乱没事的直接按回车就行了

然后我们可以输入 <code>cat /root/update_fw.sh</code> 查看一下文件内容确认有写入内容就好了

[[File:Catupdateip.png|border]]

创建好后

[[File:Apinftquanxian.png|border]]

你可以先输入 <code>ls -l /root/update_fw.sh</code>

这个意思是以长格式查看/root/update_fw.sh 文件的信息

* 第一位 - 代表是文件的意思 d是目录
* 第二位到第四位 rw- 就是拥有这个文件的人的权限第一个代表的是读取如果有这个权限显示r如果没有就是-第二个是写入(编辑)的权限有这个权限就显示w没有就是-第三位是执行(运行)这个文件的权限有就显示x没有就显示- 这里显示-证明在chmod之前是没有执行权限的
* <code>r--</code> 这个文件所属组的权限同上第一位是读取r说明有第二位是-说明没有写入权限第三位是-说明没有执行权限
* <code>r--</code> 这个是其他人也是一样的有读取权限没有写入和执行权限
* 1 代表这个文件在磁盘上只有这一个‘
* root root 第一个root 代表拥有这个文件的人第二个 root 代表这个文件属于root组
* 2675 文件大小Byte
* Jan 22 01:07 修改时间
* /root/update_fw.sh 文件信息的文件

为了安全取消掉其他的权限我们输入

<code>chmod 700 /root/update_fw.sh</code>

这个指令的意思是设置这个文件的权限是700 700的意思就是只有这个文件的拥有人(root ls -l看到的)才可以读取写入和执行其他的两个0代表所属组没有任何权限和其他所有人没有任何权限。

这样，只有 root 用户能看到这个脚本的内容，也只有 root 能运行它。

=== 调用API部分 ===
获取搬瓦工服务器的API_Key和veid

请参考 [[搬瓦工api使用]]

== 使用搬瓦工API触发服务器上的脚本变更防火墙nftables的chain 从而实现动态更新白名单ip ==

=== ipv6的网段 V6_MASK ===
这个..如果你想同时更新ipv6的白名单有一个问题

就是ipv6 每个设备都有一个ipv6地址(各不相同) ipv4的时候你用电脑手机连接到同一个路由器的话一般都是走的同一个ipv4地址而ipv6不同…所以如果你只是更新了你这个设备的ipv6地址的话…别的设备仍然不在白名单中…这就需要网段

==== 请登录路由器 ====
[[File:Router1.png|border]]

找到这个前缀长度…把V6_MASK改成60就行了这样就是说连接路由器的都可以进白名单了

所有的代码中都有一个可以修改的变量.. V6_MASK="/64" 单个设备请改为 /128 一些地区可能是48 但48有点危险范围太大你的邻居可能也在这之中那为什么是64呢因为我的是64……哦我记错了我是60….

== 可实时更新ip变化的办法 ==

=== Linux系 ===

==== OpenWrt类 ====

===== 检查是否安装了curl =====
输入 <code>curl</code> 如果显示 -ash: curl not found

安装curl和证书为了访问https网站

<code>opkg update && opkg install curl ca-bundle</code>

[[File:Openwrtcurl.png|border]]

curl 8.12.1有这样的版本号有IPv6 有ssl 确保有他们就可以啦

===== 检查获取ip 的url是否有效 =====
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在后续的代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

==== 开始 ====
在 OpenWrt 中，每当接口（WAN）状态发生变化（比如重连、获取到新 IP、掉线）时，系统会自动触发对应的脚本。 OpenWrt 的网络热插拔脚本存放在： <code>/etc/hotplug.d/iface/</code>

'''进入目录：'''<code>cd /etc/hotplug.d/iface/</code>

[[File:Openwrtcd.png|border]]

'''创建脚本：'''

修改下面代码你可以先复制到记事本或者别的文本编辑工具里面最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

最后要检查的输入 <code>ls /etc/hotplug.d/iface/99-sync-vps-firewall</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Testfileis.png|border]]

下图就是有那么你就要换一个名字

/etc/hotplug.d/iface/99-这里改成你想要的名字

比如 /etc/hotplug.d/iface/99-sync-vps-firewall1

[[File:Testfileno.png|border]]

修改后…复制粘贴到ssh里面回车就创建好脚本了

代码块如下:<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/hotplug.d/iface/99-sync-vps-firewall
#!/bin/sh

# 只要是接口启动(ifup)就触发
[ "$ACTION" = "ifup" ] || exit 0

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 用户可以分别设置获取地址（可以相同，也可以不同）
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/tmp/vps_sync.log"
MAX_LINES=100

# --- 文件初始化与清理函数 ---
init_files() {
sleep 10
# 1. 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
echo "$(date): [系统] 初始日志文件已创建" >> "$LOG_FILE"
else
# 日志滚动清理逻辑
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 50 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成" >> "$LOG_FILE"
fi
fi

# 2. 处理缓存文件及其目录
local cache_dir=$(dirname "$CACHE_FILE")
if [ ! -d "$cache_dir" ]; then
mkdir -p "$cache_dir"
echo "$(date): [系统] 创建缓存目录: $cache_dir" >> "$LOG_FILE"
fi

if [ ! -f "$CACHE_FILE" ]; then
touch "$CACHE_FILE"
# 初始化空变量，防止脚本第一次读取时报错
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
echo "$(date): [系统] 初始缓存文件已创建" >> "$LOG_FILE"
fi
}

# --- IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 1
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi
return 1
}

# 1. 初始化
init_files

# 2. 执行双栈并行/独立获取
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 3. 基础校验：至少得有一个 IP 吧
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
exit 1
fi

# 4. 缓存对比 (防重复刷 API)
[ -f "$CACHE_FILE" ] && . "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
exit 0
fi

# 5. 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 6. 解析结果
HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"
RESPONSE_CLEAN=$(echo "$RESPONSE_JSON" | tr -d '\n\r ')
ERROR_CODE=$(echo "$RESPONSE_CLEAN" | grep -o '"error":[0-9]*' | cut -d: -f2)
MESSAGE=$(echo "$RESPONSE_CLEAN" | grep -o '"message":"[^"]*"' | sed 's/"message":"//;s/"$//')

# 7. 写入中文日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] IP变更同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
echo "同步成功: $MESSAGE"
else
[ -z "$MESSAGE" ] && MESSAGE="请求异常: $RESPONSE_JSON"
echo "$(date): [失败] 同步失败。详细原因: $MESSAGE" >> "$LOG_FILE"
echo "同步失败: $MESSAGE"
fi
EOF
</syntaxhighlight>[[File:Catcmd1.png|border]]就像这样粘贴后回车就行

输入<code>chmod 755 /etc/hotplug.d/iface/99-sync-vps-firewall</code>赋予执行权限

输入 <code>ls -l /etc/hotplug.d/iface/99-sync-vps-firewall</code> 查看赋予权限是否成功

[[File:Openwrtisok.png|border]]这样你可以重启试试看… 可以输入

<code>cat /tmp/vps_sync_error.log</code>

查看是否成功

[[File:Openwrtlastok.png|border]]

前面的蓝色框框说成功指的是API成功了里面的ip是本地上传给服务器更新的ip 后面红色框框 OK才是防火墙成功的意思后面的ip就是更新的ip 如果有一个ip无效或者…就不会显示了

==== 常见错误 [[File:Openwrterror.png|border]] ====
身份验证失败意思就是说 veid 或者 api_key 的内容错误

[[File:Openwrterror1.png|border]]

没有找到链

你可以看到蓝色框的是防火墙指令..红色框是表

可能是表(inet my_firewall) 或者链(allowed_ip) 的名字和服务器防火墙的对不上你可以去服务器<code>nft list ruleset</code>看一下

==== 华硕路由器官方固件 ====
因为官方固件没有提供重新连接网络后执行脚本的功能所以我们需要一台本地的Linux服务器了(不是防火墙所在的那个服务器哦)…

===== 查看Linux服务器的ip (本地的局域网内的) =====
ssh连接的那个ip就是了…

如果你忘记了输入 <code>ip addr</code> 找个eth0或者 ens18 这样一般都是默认网络接口里面的ip地址蓝色框框

[[File:Seeserverip.png|border]]

===== 借助监听远程日志触发API更新防火墙白名单IP =====
用浏览器登陆你的路由器后台输入用户名和密码一般的地址是 192.168.1.1 如果不是可以打开 <nowiki>http://www.asusrouter.com/</nowiki> 试试

[[File:Loginrouter.png|border]]
找到系统记录单击

[[File:Syslog.png|border]]

[[File:Logre.png|border]]

远程记录服务器输入你的本地局域网linux服务器的ip

远程记录服务器端口默认514 '''如果你的linux服务器占用'''514的话就改一下

====== 如何查看是否占用 ======
ssh连接那台服务器
'''切换root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]
输入 <code>sudo ss -tunlp | grep :514</code>

如果你没有安装sudo就会提示

[[File:Errorsudo.png|border]]

那就不需要输入sudo 了直接

<code>ss -tunlp | grep :514</code>

[[File:Ss.png|border]]

这样有输出就是被占用了占用的话换一个就行了

这样没有输出就是没占用

[[File:Noss.png|border]]

然后点击应用本页面设置

===== 另外一台Linux服务器部分不是防火墙所在的那个服务器哦 =====
ssh连接后

====== 切换到root账户 ======
* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

====== 安装socat ======
socat的功能很强大是一个多功能的网络工具我们这里用于接收路由器发过来的日志…

'''Debian / Ubuntu / PVE / Armbian 系：'''

<code>apt update && apt install socat -y</code>

'''Red Hat / CentOS / Rocky Linux 系：'''

<code>yum install socat -y</code>

新一些Red Hat/CentOS/Rocky Linux希的系统可以使用<code>dnf install socat -y</code>

安装后输入 <code>socat -V</code> 确认安装成功

[[File:Socatok.png|border]]

====== 检查获取ip 的url是否有效 ======
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

====== 创建脚本 ======
修改下面代码块的代码你可以复制到记事本或者其他文本编辑器里面修改

最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

根据刚才测试的结果来决定要不要替换

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>" CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

V6_MASK="/64" 也可以修改详情看上方的 '''ipv6的网段 V6_MASK'''

最后要检查的输入 <code>ls /root/checkip.sh</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Nocheckip.png|border]]

下图这样就是有就需要修改/root/checkip.sh 比如修改成 /root/checkip1.sh

[[File:Havecheckip.png|border]]

修改后

全部选择复制粘贴到ssh里面按回车

代码块:<syntaxhighlight lang="bash">
cat << 'EOF' > /root/checkip.sh
#!/bin/bash

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 获取 IP 的地址
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/var/log/vps_sync.log"
MAX_LINES=100 # 日志保留行数

# --- 1. 初始化文件与目录 ---
init_files() {
# 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
else
# 日志滚动清理
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 100 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成 (保留末尾100行)" >> "$LOG_FILE"
fi
fi

# 处理缓存目录及文件
local cache_dir=$(dirname "$CACHE_FILE")
[ ! -d "$cache_dir" ] && mkdir -p "$cache_dir"

if [ ! -f "$CACHE_FILE" ]; then
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
fi
}

# --- 2. IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s4 --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- 3. IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s6 --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 4
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi

return 1
}

# --- 4. 核心同步逻辑 ---
sync_ip() {

# 刚收到日志时，给网络层 5-10 秒的初始化时间
sleep 10

# 获取当前 IP
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 基础校验
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
return 1
fi

# 读取缓存并对比
. "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
echo "$(date): [跳过] IP 未发生变化，取消同步" >> "$LOG_FILE"
return 0
fi

# 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
local RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 解析结果
local HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
local RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"

# 核心解析：压缩 JSON 并提取字段
local CLEAN_JSON=$(echo "$RESPONSE_JSON" | tr -d '\n\r' | tr -s ' ')
local ERROR_CODE=$(echo "$CLEAN_JSON" | sed -n 's/.*"error":[ ]*$[0-9]*$.*/\1/p')
local MESSAGE=$(echo "$CLEAN_JSON" | sed -n 's/.*"message":[ ]*"$.*$"[ ]*}.*/\1/p' | sed 's/\\//g')

# 写入日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] 同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
else
[ -z "$MESSAGE" ] && MESSAGE="$CLEAN_JSON"
echo "$(date): [失败] 同步失败。HTTP: $HTTP_CODE, ERROR: $ERROR_CODE, 原因: $MESSAGE" >> "$LOG_FILE"
fi
}

# --- 5. 监听入口 ---
init_files

# 如果直接运行脚本（无管道输入），执行一次同步
if [ -t 0 ]; then
sync_ip
else
# 如果有管道输入（来自 socat），则监听日志触发
while IFS= read -r line; do
if echo "$line" | grep -qi 'local *IP address'; then
echo "$(date): [触发] 检测到路由器拨号日志" >> "$LOG_FILE"
sync_ip
fi
done
fi
EOF
</syntaxhighlight>[[File:Cathuashuo.png|border]]

粘贴之后有点混乱不用管直接回车就行了

然后

检查一下输入 <code>cat /root/checkip.sh</code> 有内容就好了

[[File:Catcheckip.png|border]]

授予运行权限 <code>chmod +x /root/checkip.sh</code>

然后输入 <code>ls -l /root/checkip.sh</code> 查看多了三个x 就对了如果像红色框框没有x 就不对请重试 <code>chmod +x /root/checkip.sh</code>

[[File:Lslcheckip.png|border]]

然后你就可以输入

<code>/root/checkip.sh</code>

如果第一次测试成功了以后想测试的话运行这个 <code>rm /etc/config/vps_last_ip && /root/checkip.sh</code>

需要<code>rm /etc/config/vps_last_ip</code>删除本地保留的ip记录就是说如果这个ip记录和获取到的一样是不会运行api执行脚本的

测试一下相当于是手动更新..不是自动更新

[[File:Testcheckip.png|border]]

不会有内容输出

需要查看日志 <code>cat /var/log/vps_sync.log</code>

如果是下图那样就是成功了要看红色的红色框是vps服务器返回的OK 就是真的成功了 Allowed:后面是成功添加的ip 一个是ipv4 一个是ipv6的

蓝色框的成功说的是API使用成功提交的IP是哪些

在此再次提醒您使用时保管好Veid和API_Key 你看我打码服务器名字然而还是在这里漏了...以前的打码就没意义了

[[File:Checkipok.png|border]]

====== 常见错误 ======
[[File:Errorapi.png|border]]

身份验证错误一般代表 api_key 或 veid 的内容填写错误就是= 后面的 "" 里面的内容比如VEID="就这里错了" API_KEY="这里"

====== 配置开机启动和自动更新 ======
使用systemctl配置开机启动和自动根据日志更新

修改以下代码中的

UDP-RECV:514 把514换成你的路由器那里设置的远程记录服务器端口比如 515 就改成 UDP-RECV:515

[[File:Logre.png|border]]

<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"</code>

这里面的 <code>/root/checkip.sh</code>

如果你的文件名改了的话就需要修改… 没改就不用改..

同理 <code>/etc/systemd/system/router-log-watcher.service</code>

这个地方你也应该输入 <code>ls /etc/systemd/system/router-log-watcher.service</code>

查看文件是否存在.如果存在就改名字如果不存在就不用改了和上面服务器部分的 ls /root/update_fw.sh 一样

修改好全部选择复制粘贴到ssh里面然后按回车<syntaxhighlight lang="bash">cat << 'EOF' > /etc/systemd/system/router-log-watcher.service
[Unit]
Description=Router Log Watcher
After=network.target

[Service]
Type=simple
# 管道命令：socat 接收 UDP 514，然后传给脚本
ExecStart=/bin/bash -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"
Restart=always
RestartSec=5
# 如果脚本需要 root 权限，确保 User=root
User=root

[Install]
WantedBy=multi-user.target
EOF</syntaxhighlight>这个不怎么混乱直接回车就行

然后 <code>cat /etc/systemd/system/router-log-watcher.service</code> 如果你的文件名字如果不是这个的话请修改

[[File:Catsystemctl.png|border]]

输入这个意思是识别新服务

<code>systemctl daemon-reload</code>

在输入这个意思是启动并设置开机自启

<code>systemctl enable --now router-log-watcher.service</code>

[[File:Startsystemctl.png|border]]

最后输入

<code>systemctl status router-log-watcher.service</code>

[[File:Staratok.png|border]]

蓝色的框是已经运行了绿色的是enabled 是设置了开机自动启动

现在可以重启路由器获取新的ip试试了

输入 <code>cat /var/log/vps_sync.log</code> 这样就是成功了

[[File:Apinftisok.png|border]]

如果ipv6获取的速度慢可能出现防火墙没有允许ipv6的情况

[[File:Apinftiserror.png|border]]

遇到极端情况下可以手动更新

<code>rm -f /etc/config/vps_last_ip && /root/checkip.sh</code>

删除存储的ip然后执行脚本 ip一直相同的话是不会调用api的

另外如果你修改了/root/checkip.sh 那么还要输入 <code>systemctl restart router-log-watcher.service</code> 重启这个服务才生效

如果成功更新ip了就可以把允许ssh的端口删掉了就真正变成白名单模式了

使用搬瓦工api操作nftables实现更新白名单ip

2026-01-26T06:00:04Z

EliToviyah：修复排版

== '''<big>请注意不要泄漏API_Key 任何时候都不要泄露防止服务器和API被盗用应当在安全的设备上使用API 防止API_Key被盗取</big>''' ==

<big>'''根据可实时知晓ip变化的办法不同您需要的工具也不相同..最多需要多一台本地的Linux服务器(不是防火墙所在的那个服务器哦)'''</big>

== 使用前准备 ==

=== 切换到root或有高权限的用户 ===
输入<code>whoami</code>(蓝色输出)或者查看 @之前的名字(绿色框)就是使用的用户

[[File:Whoami2.png|border]]

如果是root就是root就可以了

如果不是

[[File:Suroot.png|border]]

你输入 <code>nft list ruleset</code> 或者 <code>sudo nft list ruleset</code> 输入你的密码和上图一样说明没权限….

尝试切换到root账户

输入 <code>su -</code> 然后输入 '''root 用户'''的密码。输入的密码不会显示输入好后按回车就行变成root就说明成功了

[[File:Suroot2.png|border]]

=== 防火墙部分 ===
输入 <code>sudo nft list ruleset</code>

[[File:Nftlist.png|border]]

你的防火墙中应该有一个空白的链专用户白名单然后在含有粉色框框(主要是含有hook input就行)代码的链中 jump这个链另外先不要改成policy drop;

如果没有链的话如何创建链

<code>sudo nft add chain inet my_firewall allowed_ip</code>

请根据自己的表的类型inet 表的名字 my_firewall 自行修改哦

allowed_ip可以改成自己想要的名字比如sudo <code>nft add chain inet my_firewall whiteip</code>

要先有链才能jump 链的名字

如何添加一条jump allowed_ip 规则呢

<code>sudo nft add rule inet my_firewall my_input jump allowed_ip</code>

还是一样要修改成自己的表的类型表的名字刚刚创建的链的名字

要把这个jump allowed_ip 添加到含有粉色代码的chain里面也就是(my_input)

=== 服务器部分 ===
'''创建一个脚本用 API 调用这个脚本就好了免去了 API中过多的指令'''

'''如果你是从 [[服务器安全-防火墙 nftables]] 那文章一步一步没有修改防火墙的表链的话直接复制代码框的全部内容粘贴到ssh里面按回车文件就创建好了'''

如果你修改了防火墙的表和链的名字或不是根据那篇文章来的

请修改下面代码中的内容根据自身情况修改只需要修改=后面 “” 双引号里面的内容

[[File:Nftlist3.png|border]]

* TABLE_NAME="my_firewall"
** 这个是表的名字蓝色框框
* CHAIN_NAME="allowed_ip"
** 这个是链的名字绿色框框这个链的名字一定不是你包含 hook input 粉色这一行的那个链..因为会被清空..然后就会可能导致防火墙规则混乱…一定要是另外一个专门的链
* FAMILY="inet"
** 这个是表类型红色框框

'''示例'''

[[File:Nftlist3-1.png|border]]

如示例中的图就要改成这样的

CHAIN_NAME="allowed_mobile" TABLE_NAME="filter"

FAMILY="inet" 不变

如果是table ip filter就把FAMILY="inet" 改成 FAMILY="ip"

这里还有一个位置需要输入 <code>ls /root/update_fw.sh</code>

'''检查这个目录是否有一个叫update_fw.sh如果有的话你也需要修改避免被覆盖'''

上面蓝色框框的说明有存在的同名文件那你就需要修改成 > /root/别的文件名.sh那么下文中的所有/root/update_fw.sh都要改成你自己的文件名

下面红色框框说明没有找到这个文件就不用改名了直接使用就行

[[File:Catcheckfilehave.png|border]]

在下面的代码框里的对应位置改可以先复制到记事本上改完再全选重新复制粘贴到ssh里面回车

[[File:Apiconfig.png|border]]

'''代码框的脚本如下:'''<syntaxhighlight lang="bash">
cat << 'EOF' > /root/update_fw.sh
#!/bin/bash

# --- 用户配置区 ---
TABLE_NAME="my_firewall"
CHAIN_NAME="allowed_ip"
FAMILY="inet"

# --- 获取参数并剔除所有空格 ---
IP1=$(echo "$1" | tr -d '[:space:]')
IP2=$(echo "$2" | tr -d '[:space:]')

VALID_IPS=()
NFT_TYPES=()
SUCCESS_LIST=""
FAILED_LIST=""

# --- IP 校验函数 ---
check_ip() {
local input=$1
[[ -z "$input" ]] && return 1

local raw_ip="${input%/*}"
local mask="${input#*/}"

# 自动识别默认掩码
if [[ "$input" != */* ]]; then
if [[ "$raw_ip" =~ : ]]; then mask=128; else mask=32; fi
fi

# 1. IPv4 校验
# 原来的 2[0-4][0-5] 改为了 2[0-4][0-9]
if [[ "$raw_ip" =~ ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 32 ]] && return 1
echo "ip|$raw_ip/$mask"
return 0
fi

# 2. IPv6 校验 (简化版正则，兼容性更好)
if [[ "$raw_ip" =~ ^(([0-9a-fA-F]{1,4}:){1,7}[0-9a-fA-F]{1,4}|([0-9a-fA-F]{1,4}:){1,7}:|:(:[0-9a-fA-F]{1,4}){1,7}|::|([0-9a-fA-F]{1,4}:){1,7}:[0-9a-fA-F]{1,4})$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 128 ]] && return 1
echo "ip6|$raw_ip/$mask"
return 0
fi

return 1
}

process_arg() {
local arg=$1
[ -z "$arg" ] && return
local res
res=$(check_ip "$arg")
if [ $? -eq 0 ]; then
local full_ip="${res#*|}"
VALID_IPS+=("$full_ip")
NFT_TYPES+=("${res%|*}")
SUCCESS_LIST+="$full_ip "
else
FAILED_LIST+="$arg "
fi
}

process_arg "$IP1"
process_arg "$IP2"

# --- 极简反馈逻辑 ---
if [ ${#VALID_IPS[@]} -eq 0 ]; then
echo "Error: No valid IP provided ($FAILED_LIST)"
exit 1
fi

# 执行 Nftables 操作
nft flush chain $FAMILY $TABLE_NAME $CHAIN_NAME || { echo "Error: NFT chain not found"; exit 1; }

for i in "${!VALID_IPS[@]}"; do
nft add rule $FAMILY $TABLE_NAME $CHAIN_NAME ${NFT_TYPES[$i]} saddr ${VALID_IPS[$i]} accept
done

# 成功返回
echo "OK: Allowed $SUCCESS_LIST"
EOF
</syntaxhighlight>解释一下代码框里面指令的意思

* '''<code>cat</code> (Concatenate)'''：原本是用来“查看”或“拼接”内容的，但在这种组合中，它负责接收你输入的一大段文字。
* '''<code><<</code> (输入重定向)'''：这叫“在此处开始读取”。它告诉系统：“别去翻别的文件了，接下来的内容就是我要给你的，直到我遇到结束标记为止。”
* '''<code>'EOF'</code> (End Of File)'''：
** '''开始标志'''：它是你自定义的一个“暗号”。
** '''为什么要加单引号 <code>' '</code>？'''：加了单引号，系统就会“原样搬运”中间的内容，不会去解析里面的 <code>$变量</code>。这对于写入包含变量的脚本至关重要，否则这些变量在写入文件前就会被当前系统搞乱。
* '''<code>></code> (覆盖写入)'''：它的意思是“清空目标文件并把内容倒进去”。
* '''<code>/root/update_fw.sh</code>'''：这是目的地。系统会在指定路径创建或覆盖这个脚本文件。
* 中间的内容就是要写入文件的内容是我们的核心代码
* '''最后的 <code>EOF</code>'''：这是“结束暗号”。系统看到它，就知道“打包”结束了，正式保存文件。

[[File:Apinftedit1.png|border]]

我们可以看到最后蓝色框的时候有点混乱没事的直接按回车就行了

然后我们可以输入 <code>cat /root/update_fw.sh</code> 查看一下文件内容确认有写入内容就好了

[[File:Catupdateip.png|border]]

创建好后

[[File:Apinftquanxian.png|border]]

你可以先输入 <code>ls -l /root/update_fw.sh</code>

这个意思是以长格式查看/root/update_fw.sh 文件的信息

* 第一位 - 代表是文件的意思 d是目录
* 第二位到第四位 rw- 就是拥有这个文件的人的权限第一个代表的是读取如果有这个权限显示r如果没有就是-第二个是写入(编辑)的权限有这个权限就显示w没有就是-第三位是执行(运行)这个文件的权限有就显示x没有就显示- 这里显示-证明在chmod之前是没有执行权限的
* <code>r--</code> 这个文件所属组的权限同上第一位是读取r说明有第二位是-说明没有写入权限第三位是-说明没有执行权限
* <code>r--</code> 这个是其他人也是一样的有读取权限没有写入和执行权限
* 1 代表这个文件在磁盘上只有这一个‘
* root root 第一个root 代表拥有这个文件的人第二个 root 代表这个文件属于root组
* 2675 文件大小Byte
* Jan 22 01:07 修改时间
* /root/update_fw.sh 文件信息的文件

为了安全取消掉其他的权限我们输入

<code>chmod 700 /root/update_fw.sh</code>

这个指令的意思是设置这个文件的权限是700 700的意思就是只有这个文件的拥有人(root ls -l看到的)才可以读取写入和执行其他的两个0代表所属组没有任何权限和其他所有人没有任何权限。

这样，只有 root 用户能看到这个脚本的内容，也只有 root 能运行它。

=== 调用API部分 ===
获取搬瓦工服务器的API_Key和veid

请参考 [[搬瓦工api使用]]

== 使用搬瓦工API触发服务器上的脚本变更防火墙nftables的chain 从而实现动态更新白名单ip ==

=== ipv6的网段 V6_MASK ===
这个..如果你想同时更新ipv6的白名单有一个问题

就是ipv6 每个设备都有一个ipv6地址(各不相同) ipv4的时候你用电脑手机连接到同一个路由器的话一般都是走的同一个ipv4地址而ipv6不同…所以如果你只是更新了你这个设备的ipv6地址的话…别的设备仍然不在白名单中…这就需要网段

==== 请登录路由器 ====
[[File:Router1.png|border]]

找到这个前缀长度…把V6_MASK改成60就行了这样就是说连接路由器的都可以进白名单了

所有的代码中都有一个可以修改的变量.. V6_MASK="/64" 单个设备请改为 /128 一些地区可能是48 但48有点危险范围太大你的邻居可能也在这之中那为什么是64呢因为我的是64……哦我记错了我是60….

== 可实时更新ip变化的办法 ==

=== Linux系 ===

==== OpenWrt类 ====

===== 检查是否安装了curl =====
输入 <code>curl</code> 如果显示 -ash: curl not found

安装curl和证书为了访问https网站

<code>opkg update && opkg install curl ca-bundle</code>

[[File:Openwrtcurl.png|border]]

curl 8.12.1有这样的版本号有IPv6 有ssl 确保有他们就可以啦

===== 检查获取ip 的url是否有效 =====
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在后续的代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

==== 开始 ====
在 OpenWrt 中，每当接口（WAN）状态发生变化（比如重连、获取到新 IP、掉线）时，系统会自动触发对应的脚本。 OpenWrt 的网络热插拔脚本存放在： <code>/etc/hotplug.d/iface/</code>

'''进入目录：'''<code>cd /etc/hotplug.d/iface/</code>

[[File:Openwrtcd.png|border]]

'''创建脚本：'''

修改下面代码你可以先复制到记事本或者别的文本编辑工具里面最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

最后要检查的输入 <code>ls /etc/hotplug.d/iface/99-sync-vps-firewall</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Testfileis.png|border]]

下图就是有那么你就要换一个名字

/etc/hotplug.d/iface/99-这里改成你想要的名字

比如 /etc/hotplug.d/iface/99-sync-vps-firewall1

[[File:Testfileno.png|border]]

修改后…复制粘贴到ssh里面回车就创建好脚本了

代码块如下:<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/hotplug.d/iface/99-sync-vps-firewall
#!/bin/sh

# 只要是接口启动(ifup)就触发
[ "$ACTION" = "ifup" ] || exit 0

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 用户可以分别设置获取地址（可以相同，也可以不同）
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/tmp/vps_sync.log"
MAX_LINES=100

# --- 文件初始化与清理函数 ---
init_files() {
sleep 10
# 1. 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
echo "$(date): [系统] 初始日志文件已创建" >> "$LOG_FILE"
else
# 日志滚动清理逻辑
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 50 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成" >> "$LOG_FILE"
fi
fi

# 2. 处理缓存文件及其目录
local cache_dir=$(dirname "$CACHE_FILE")
if [ ! -d "$cache_dir" ]; then
mkdir -p "$cache_dir"
echo "$(date): [系统] 创建缓存目录: $cache_dir" >> "$LOG_FILE"
fi

if [ ! -f "$CACHE_FILE" ]; then
touch "$CACHE_FILE"
# 初始化空变量，防止脚本第一次读取时报错
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
echo "$(date): [系统] 初始缓存文件已创建" >> "$LOG_FILE"
fi
}

# --- IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 1
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi
return 1
}

# 1. 初始化
init_files

# 2. 执行双栈并行/独立获取
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 3. 基础校验：至少得有一个 IP 吧
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
exit 1
fi

# 4. 缓存对比 (防重复刷 API)
[ -f "$CACHE_FILE" ] && . "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
exit 0
fi

# 5. 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 6. 解析结果
HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"
RESPONSE_CLEAN=$(echo "$RESPONSE_JSON" | tr -d '\n\r ')
ERROR_CODE=$(echo "$RESPONSE_CLEAN" | grep -o '"error":[0-9]*' | cut -d: -f2)
MESSAGE=$(echo "$RESPONSE_CLEAN" | grep -o '"message":"[^"]*"' | sed 's/"message":"//;s/"$//')

# 7. 写入中文日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] IP变更同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
echo "同步成功: $MESSAGE"
else
[ -z "$MESSAGE" ] && MESSAGE="请求异常: $RESPONSE_JSON"
echo "$(date): [失败] 同步失败。详细原因: $MESSAGE" >> "$LOG_FILE"
echo "同步失败: $MESSAGE"
fi
EOF
</syntaxhighlight>[[File:Catcmd1.png|border]]就像这样粘贴后回车就行

输入<code>chmod 755 /etc/hotplug.d/iface/99-sync-vps-firewall</code>赋予执行权限

输入 <code>ls -l /etc/hotplug.d/iface/99-sync-vps-firewall</code> 查看赋予权限是否成功

[[File:Openwrtisok.png|border]]这样你可以重启试试看… 可以输入

<code>cat /tmp/vps_sync_error.log</code>

查看是否成功

[[File:Openwrtlastok.png|border]]

前面的蓝色框框说成功指的是API成功了里面的ip是本地上传给服务器更新的ip 后面红色框框 OK才是防火墙成功的意思后面的ip就是更新的ip 如果有一个ip无效或者…就不会显示了

==== 常见错误 [[File:Openwrterror.png|border]] ====
身份验证失败意思就是说 veid 或者 api_key 的内容错误

[[File:Openwrterror1.png|border]]

没有找到链

你可以看到蓝色框的是防火墙指令..红色框是表

可能是表(inet my_firewall) 或者链(allowed_ip) 的名字和服务器防火墙的对不上你可以去服务器<code>nft list ruleset</code>看一下

==== 华硕路由器官方固件 ====
因为官方固件没有提供重新连接网络后执行脚本的功能所以我们需要一台本地的Linux服务器了(不是防火墙所在的那个服务器哦)…

===== 查看Linux服务器的ip (本地的局域网内的) =====
ssh连接的那个ip就是了…

如果你忘记了输入 <code>ip addr</code> 找个eth0或者 ens18 这样一般都是默认网络接口里面的ip地址蓝色框框

[[File:Seeserverip.png|border]]

===== 借助监听远程日志触发API更新防火墙白名单IP =====
用浏览器登陆你的路由器后台输入用户名和密码一般的地址是 192.168.1.1 如果不是可以打开 <nowiki>http://www.asusrouter.com/</nowiki> 试试

[[File:Loginrouter.png|border]]
找到系统记录单击

[[File:Syslog.png|border]]

[[File:Logre.png|border]]

远程记录服务器输入你的本地局域网linux服务器的ip

远程记录服务器端口默认514 '''如果你的linux服务器占用'''514的话就改一下

====== 如何查看是否占用 ======
ssh连接那台服务器
'''切换root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]
输入 <code>sudo ss -tunlp | grep :514</code>

如果你没有安装sudo就会提示

[[File:Errorsudo.png|border]]

那就不需要输入sudo 了直接

<code>ss -tunlp | grep :514</code>

[[File:Ss.png|border]]

这样有输出就是被占用了占用的话换一个就行了

这样没有输出就是没占用

[[File:Noss.png|border]]

然后点击应用本页面设置

===== 另外一台Linux服务器部分不是防火墙所在的那个服务器哦 =====
ssh连接后

====== '''切换到root账户''' ======
* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

====== 安装socat ======
socat的功能很强大是一个多功能的网络工具我们这里用于接收路由器发过来的日志…

'''Debian / Ubuntu / PVE / Armbian 系：'''

<code>apt update && apt install socat -y</code>

'''Red Hat / CentOS / Rocky Linux 系：'''

<code>yum install socat -y</code>

新一些Red Hat/CentOS/Rocky Linux希的系统可以使用<code>dnf install socat -y</code>

安装后输入 <code>socat -V</code> 确认安装成功

[[File:Socatok.png|border]]

====== 检查获取ip 的url是否有效 ======
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

====== 创建脚本 ======
修改下面代码块的代码你可以复制到记事本或者其他文本编辑器里面修改

最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

根据刚才测试的结果来决定要不要替换

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>" CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

V6_MASK="/64" 也可以修改详情看上方的 '''ipv6的网段 V6_MASK'''

最后要检查的输入 <code>ls /root/checkip.sh</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Nocheckip.png|border]]

下图这样就是有就需要修改/root/checkip.sh 比如修改成 /root/checkip1.sh

[[File:Havecheckip.png|border]]

修改后

全部选择复制粘贴到ssh里面按回车

代码块:<syntaxhighlight lang="bash">
cat << 'EOF' > /root/checkip.sh
#!/bin/bash

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 获取 IP 的地址
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/var/log/vps_sync.log"
MAX_LINES=100 # 日志保留行数

# --- 1. 初始化文件与目录 ---
init_files() {
# 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
else
# 日志滚动清理
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 100 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成 (保留末尾100行)" >> "$LOG_FILE"
fi
fi

# 处理缓存目录及文件
local cache_dir=$(dirname "$CACHE_FILE")
[ ! -d "$cache_dir" ] && mkdir -p "$cache_dir"

if [ ! -f "$CACHE_FILE" ]; then
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
fi
}

# --- 2. IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s4 --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- 3. IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s6 --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 4
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi

return 1
}

# --- 4. 核心同步逻辑 ---
sync_ip() {

# 刚收到日志时，给网络层 5-10 秒的初始化时间
sleep 10

# 获取当前 IP
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 基础校验
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
return 1
fi

# 读取缓存并对比
. "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
echo "$(date): [跳过] IP 未发生变化，取消同步" >> "$LOG_FILE"
return 0
fi

# 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
local RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 解析结果
local HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
local RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"

# 核心解析：压缩 JSON 并提取字段
local CLEAN_JSON=$(echo "$RESPONSE_JSON" | tr -d '\n\r' | tr -s ' ')
local ERROR_CODE=$(echo "$CLEAN_JSON" | sed -n 's/.*"error":[ ]*$[0-9]*$.*/\1/p')
local MESSAGE=$(echo "$CLEAN_JSON" | sed -n 's/.*"message":[ ]*"$.*$"[ ]*}.*/\1/p' | sed 's/\\//g')

# 写入日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] 同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
else
[ -z "$MESSAGE" ] && MESSAGE="$CLEAN_JSON"
echo "$(date): [失败] 同步失败。HTTP: $HTTP_CODE, ERROR: $ERROR_CODE, 原因: $MESSAGE" >> "$LOG_FILE"
fi
}

# --- 5. 监听入口 ---
init_files

# 如果直接运行脚本（无管道输入），执行一次同步
if [ -t 0 ]; then
sync_ip
else
# 如果有管道输入（来自 socat），则监听日志触发
while IFS= read -r line; do
if echo "$line" | grep -qi 'local *IP address'; then
echo "$(date): [触发] 检测到路由器拨号日志" >> "$LOG_FILE"
sync_ip
fi
done
fi
EOF
</syntaxhighlight>[[File:Cathuashuo.png|border]]

粘贴之后有点混乱不用管直接回车就行了

然后

检查一下输入 <code>cat /root/checkip.sh</code> 有内容就好了

[[File:Catcheckip.png|border]]

授予运行权限 <code>chmod +x /root/checkip.sh</code>

然后输入 <code>ls -l /root/checkip.sh</code> 查看多了三个x 就对了如果像红色框框没有x 就不对请重试 <code>chmod +x /root/checkip.sh</code>

[[File:Lslcheckip.png|border]]

然后你就可以输入

<code>/root/checkip.sh</code>

如果第一次测试成功了以后想测试的话运行这个 <code>rm /etc/config/vps_last_ip && /root/checkip.sh</code>

需要<code>rm /etc/config/vps_last_ip</code>删除本地保留的ip记录就是说如果这个ip记录和获取到的一样是不会运行api执行脚本的

测试一下相当于是手动更新..不是自动更新

[[File:Testcheckip.png|border]]

不会有内容输出

需要查看日志 <code>cat /var/log/vps_sync.log</code>

如果是下图那样就是成功了要看红色的红色框是vps服务器返回的OK 就是真的成功了 Allowed:后面是成功添加的ip 一个是ipv4 一个是ipv6的

蓝色框的成功说的是API使用成功提交的IP是哪些

在此再次提醒您使用时保管好Veid和API_Key 你看我打码服务器名字然而还是在这里漏了...以前的打码就没意义了

[[File:Checkipok.png|border]]

====== 常见错误 ======
[[File:Errorapi.png|border]]

身份验证错误一般代表 api_key 或 veid 的内容填写错误就是= 后面的 "" 里面的内容比如VEID="就这里错了" API_KEY="这里"

====== 配置开机启动和自动更新 ======
使用systemctl配置开机启动和自动根据日志更新

修改以下代码中的

UDP-RECV:514 把514换成你的路由器那里设置的远程记录服务器端口比如 515 就改成 UDP-RECV:515

[[File:Logre.png|border]]

<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"</code>

这里面的 <code>/root/checkip.sh</code>

如果你的文件名改了的话就需要修改… 没改就不用改..

同理 <code>/etc/systemd/system/router-log-watcher.service</code>

这个地方你也应该输入 <code>ls /etc/systemd/system/router-log-watcher.service</code>

查看文件是否存在.如果存在就改名字如果不存在就不用改了和上面服务器部分的 ls /root/update_fw.sh 一样

修改好全部选择复制粘贴到ssh里面然后按回车<syntaxhighlight lang="bash">cat << 'EOF' > /etc/systemd/system/router-log-watcher.service
[Unit]
Description=Router Log Watcher
After=network.target

[Service]
Type=simple
# 管道命令：socat 接收 UDP 514，然后传给脚本
ExecStart=/bin/bash -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"
Restart=always
RestartSec=5
# 如果脚本需要 root 权限，确保 User=root
User=root

[Install]
WantedBy=multi-user.target
EOF</syntaxhighlight>这个不怎么混乱直接回车就行

然后 <code>cat /etc/systemd/system/router-log-watcher.service</code> 如果你的文件名字如果不是这个的话请修改

[[File:Catsystemctl.png|border]]

输入这个意思是识别新服务

<code>systemctl daemon-reload</code>

在输入这个意思是启动并设置开机自启

<code>systemctl enable --now router-log-watcher.service</code>

[[File:Startsystemctl.png|border]]

最后输入

<code>systemctl status router-log-watcher.service</code>

[[File:Staratok.png|border]]

蓝色的框是已经运行了绿色的是enabled 是设置了开机自动启动

现在可以重启路由器获取新的ip试试了

输入 <code>cat /var/log/vps_sync.log</code> 这样就是成功了

[[File:Apinftisok.png|border]]

如果ipv6获取的速度慢可能出现防火墙没有允许ipv6的情况

[[File:Apinftiserror.png|border]]

遇到极端情况下可以手动更新

<code>rm -f /etc/config/vps_last_ip && /root/checkip.sh</code>

删除存储的ip然后执行脚本 ip一直相同的话是不会调用api的

另外如果你修改了/root/checkip.sh 那么还要输入 <code>systemctl restart router-log-watcher.service</code> 重启这个服务才生效

如果成功更新ip了就可以把允许ssh的端口删掉了就真正变成白名单模式了

File:Webgettelegramchatid.png

2026-01-26T05:57:23Z

EliToviyah：

webgettelegramchatid

File:Telegramstart.png

2026-01-26T05:53:24Z

EliToviyah：

telegramstart

File:Botinfo.png

2026-01-26T05:52:46Z

EliToviyah：

botinfo

File:Createtelegrambot3.png

2026-01-26T05:48:38Z

EliToviyah：

createtelegrambot3

File:Createtelegrambot2.png

2026-01-26T05:46:19Z

EliToviyah：

createtelegrambot2

File:Createtelegrambot1.png

2026-01-26T05:44:19Z

EliToviyah：

createtelegrambot1

File:Createtelegrambot.png

2026-01-26T05:43:08Z

EliToviyah：

createtelegrambot

File:Botfather.png

2026-01-26T05:42:23Z

EliToviyah：

botfather

使用搬瓦工api操作nftables实现更新白名单ip

2026-01-26T02:37:50Z

EliToviyah：增加一个可能出错的小提示

== '''<big>请注意不要泄漏API_Key 任何时候都不要泄露防止服务器和API被盗用应当在安全的设备上使用API 防止API_Key被盗取</big>''' ==

<big>'''根据可实时知晓ip变化的办法不同您需要的工具也不相同..最多需要多一台本地的Linux服务器(不是防火墙所在的那个服务器哦)'''</big>

== 使用前准备 ==

=== 切换到root或有高权限的用户 ===
输入<code>whoami</code>(蓝色输出)或者查看 @之前的名字(绿色框)就是使用的用户

[[File:Whoami2.png|border]]

如果是root就是root就可以了

如果不是

[[File:Suroot.png|border]]

你输入 <code>nft list ruleset</code> 或者 <code>sudo nft list ruleset</code> 输入你的密码和上图一样说明没权限….

尝试切换到root账户

输入 <code>su -</code> 然后输入 '''root 用户'''的密码。输入的密码不会显示输入好后按回车就行变成root就说明成功了

[[File:Suroot2.png|border]]

=== 防火墙部分 ===
输入 <code>sudo nft list ruleset</code>

[[File:Nftlist.png|border]]

你的防火墙中应该有一个空白的链专用户白名单然后在含有粉色框框(主要是含有hook input就行)代码的链中 jump这个链另外先不要改成policy drop;

如果没有链的话如何创建链

<code>sudo nft add chain inet my_firewall allowed_ip</code>

请根据自己的表的类型inet 表的名字 my_firewall 自行修改哦

allowed_ip可以改成自己想要的名字比如sudo <code>nft add chain inet my_firewall whiteip</code>

要先有链才能jump 链的名字

如何添加一条jump allowed_ip 规则呢

<code>sudo nft add rule inet my_firewall my_input jump allowed_ip</code>

还是一样要修改成自己的表的类型表的名字刚刚创建的链的名字

要把这个jump allowed_ip 添加到含有粉色代码的chain里面也就是(my_input)

=== 服务器部分 ===
'''创建一个脚本用 API 调用这个脚本就好了免去了 API中过多的指令'''

'''如果你是从 [[服务器安全-防火墙 nftables]] 那文章一步一步没有修改防火墙的表链的话直接复制代码框的全部内容粘贴到ssh里面按回车文件就创建好了'''

如果你修改了防火墙的表和链的名字或不是根据那篇文章来的

请修改下面代码中的内容根据自身情况修改只需要修改=后面 “” 双引号里面的内容

[[File:Nftlist3.png|border]]

* TABLE_NAME="my_firewall"
** 这个是表的名字蓝色框框
* CHAIN_NAME="allowed_ip"
** 这个是链的名字绿色框框这个链的名字一定不是你包含 hook input 粉色这一行的那个链..因为会被清空..然后就会可能导致防火墙规则混乱…一定要是另外一个专门的链
* FAMILY="inet"
** 这个是表类型红色框框

'''示例'''

[[File:Nftlist3-1.png|border]]

如示例中的图就要改成这样的

CHAIN_NAME="allowed_mobile" TABLE_NAME="filter"

FAMILY="inet" 不变

如果是table ip filter就把FAMILY="inet" 改成 FAMILY="ip"

这里还有一个位置需要输入 <code>ls /root/update_fw.sh</code>

'''检查这个目录是否有一个叫update_fw.sh如果有的话你也需要修改避免被覆盖'''

上面蓝色框框的说明有存在的同名文件那你就需要修改成 > /root/别的文件名.sh那么下文中的所有/root/update_fw.sh都要改成你自己的文件名

下面红色框框说明没有找到这个文件就不用改名了直接使用就行

[[File:Catcheckfilehave.png|border]]

在下面的代码框里的对应位置改可以先复制到记事本上改完再全选重新复制粘贴到ssh里面回车

[[File:Apiconfig.png|border]]

'''代码框的脚本如下:'''<syntaxhighlight lang="bash">
cat << 'EOF' > /root/update_fw.sh
#!/bin/bash

# --- 用户配置区 ---
TABLE_NAME="my_firewall"
CHAIN_NAME="allowed_ip"
FAMILY="inet"

# --- 获取参数并剔除所有空格 ---
IP1=$(echo "$1" | tr -d '[:space:]')
IP2=$(echo "$2" | tr -d '[:space:]')

VALID_IPS=()
NFT_TYPES=()
SUCCESS_LIST=""
FAILED_LIST=""

# --- IP 校验函数 ---
check_ip() {
local input=$1
[[ -z "$input" ]] && return 1

local raw_ip="${input%/*}"
local mask="${input#*/}"

# 自动识别默认掩码
if [[ "$input" != */* ]]; then
if [[ "$raw_ip" =~ : ]]; then mask=128; else mask=32; fi
fi

# 1. IPv4 校验
# 原来的 2[0-4][0-5] 改为了 2[0-4][0-9]
if [[ "$raw_ip" =~ ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 32 ]] && return 1
echo "ip|$raw_ip/$mask"
return 0
fi

# 2. IPv6 校验 (简化版正则，兼容性更好)
if [[ "$raw_ip" =~ ^(([0-9a-fA-F]{1,4}:){1,7}[0-9a-fA-F]{1,4}|([0-9a-fA-F]{1,4}:){1,7}:|:(:[0-9a-fA-F]{1,4}){1,7}|::|([0-9a-fA-F]{1,4}:){1,7}:[0-9a-fA-F]{1,4})$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 128 ]] && return 1
echo "ip6|$raw_ip/$mask"
return 0
fi

return 1
}

process_arg() {
local arg=$1
[ -z "$arg" ] && return
local res
res=$(check_ip "$arg")
if [ $? -eq 0 ]; then
local full_ip="${res#*|}"
VALID_IPS+=("$full_ip")
NFT_TYPES+=("${res%|*}")
SUCCESS_LIST+="$full_ip "
else
FAILED_LIST+="$arg "
fi
}

process_arg "$IP1"
process_arg "$IP2"

# --- 极简反馈逻辑 ---
if [ ${#VALID_IPS[@]} -eq 0 ]; then
echo "Error: No valid IP provided ($FAILED_LIST)"
exit 1
fi

# 执行 Nftables 操作
nft flush chain $FAMILY $TABLE_NAME $CHAIN_NAME || { echo "Error: NFT chain not found"; exit 1; }

for i in "${!VALID_IPS[@]}"; do
nft add rule $FAMILY $TABLE_NAME $CHAIN_NAME ${NFT_TYPES[$i]} saddr ${VALID_IPS[$i]} accept
done

# 成功返回
echo "OK: Allowed $SUCCESS_LIST"
EOF
</syntaxhighlight>解释一下代码框里面指令的意思

* '''<code>cat</code> (Concatenate)'''：原本是用来“查看”或“拼接”内容的，但在这种组合中，它负责接收你输入的一大段文字。
* '''<code><<</code> (输入重定向)'''：这叫“在此处开始读取”。它告诉系统：“别去翻别的文件了，接下来的内容就是我要给你的，直到我遇到结束标记为止。”
* '''<code>'EOF'</code> (End Of File)'''：
** '''开始标志'''：它是你自定义的一个“暗号”。
** '''为什么要加单引号 <code>' '</code>？'''：加了单引号，系统就会“原样搬运”中间的内容，不会去解析里面的 <code>$变量</code>。这对于写入包含变量的脚本至关重要，否则这些变量在写入文件前就会被当前系统搞乱。
* '''<code>></code> (覆盖写入)'''：它的意思是“清空目标文件并把内容倒进去”。
* '''<code>/root/update_fw.sh</code>'''：这是目的地。系统会在指定路径创建或覆盖这个脚本文件。
* 中间的内容就是要写入文件的内容是我们的核心代码
* '''最后的 <code>EOF</code>'''：这是“结束暗号”。系统看到它，就知道“打包”结束了，正式保存文件。

[[File:Apinftedit1.png|border]]

我们可以看到最后蓝色框的时候有点混乱没事的直接按回车就行了

然后我们可以输入 <code>cat /root/update_fw.sh</code> 查看一下文件内容确认有写入内容就好了

[[File:Catupdateip.png|border]]

创建好后

[[File:Apinftquanxian.png|border]]

你可以先输入 <code>ls -l /root/update_fw.sh</code>

这个意思是以长格式查看/root/update_fw.sh 文件的信息

* 第一位 - 代表是文件的意思 d是目录
* 第二位到第四位 rw- 就是拥有这个文件的人的权限第一个代表的是读取如果有这个权限显示r如果没有就是-第二个是写入(编辑)的权限有这个权限就显示w没有就是-第三位是执行(运行)这个文件的权限有就显示x没有就显示- 这里显示-证明在chmod之前是没有执行权限的
* <code>r--</code> 这个文件所属组的权限同上第一位是读取r说明有第二位是-说明没有写入权限第三位是-说明没有执行权限
* <code>r--</code> 这个是其他人也是一样的有读取权限没有写入和执行权限
* 1 代表这个文件在磁盘上只有这一个‘
* root root 第一个root 代表拥有这个文件的人第二个 root 代表这个文件属于root组
* 2675 文件大小Byte
* Jan 22 01:07 修改时间
* /root/update_fw.sh 文件信息的文件

为了安全取消掉其他的权限我们输入

<code>chmod 700 /root/update_fw.sh</code>

这个指令的意思是设置这个文件的权限是700 700的意思就是只有这个文件的拥有人(root ls -l看到的)才可以读取写入和执行其他的两个0代表所属组没有任何权限和其他所有人没有任何权限。

这样，只有 root 用户能看到这个脚本的内容，也只有 root 能运行它。

=== 调用API部分 ===
获取搬瓦工服务器的API_Key和veid

请参考 [[搬瓦工api使用]]

== 使用搬瓦工API触发服务器上的脚本变更防火墙nftables的chain 从而实现动态更新白名单ip ==

=== ipv6的网段 V6_MASK ===
这个..如果你想同时更新ipv6的白名单有一个问题

就是ipv6 每个设备都有一个ipv6地址(各不相同) ipv4的时候你用电脑手机连接到同一个路由器的话一般都是走的同一个ipv4地址而ipv6不同…所以如果你只是更新了你这个设备的ipv6地址的话…别的设备仍然不在白名单中…这就需要网段

==== 请登录路由器 ====
[[File:Router1.png|border]]

找到这个前缀长度…把V6_MASK改成60就行了这样就是说连接路由器的都可以进白名单了

所有的代码中都有一个可以修改的变量.. V6_MASK="/64" 单个设备请改为 /128 一些地区可能是48 但48有点危险范围太大你的邻居可能也在这之中那为什么是64呢因为我的是64……哦我记错了我是60….

== 可实时更新ip变化的办法 ==

=== Linux系 ===

==== OpenWrt类 ====

===== 检查是否安装了curl =====
输入 <code>curl</code> 如果显示 -ash: curl not found

安装curl和证书为了访问https网站

<code>opkg update && opkg install curl ca-bundle</code>

[[File:Openwrtcurl.png|border]]

curl 8.12.1有这样的版本号有IPv6 有ssl 确保有他们就可以啦

===== 检查获取ip 的url是否有效 =====
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在后续的代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

==== 开始 ====
在 OpenWrt 中，每当接口（WAN）状态发生变化（比如重连、获取到新 IP、掉线）时，系统会自动触发对应的脚本。 OpenWrt 的网络热插拔脚本存放在： <code>/etc/hotplug.d/iface/</code>

'''进入目录：'''<code>cd /etc/hotplug.d/iface/</code>

[[File:Openwrtcd.png|border]]

'''创建脚本：'''

修改下面代码你可以先复制到记事本或者别的文本编辑工具里面最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

最后要检查的输入 <code>ls /etc/hotplug.d/iface/99-sync-vps-firewall</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Testfileis.png|border]]

下图就是有那么你就要换一个名字

/etc/hotplug.d/iface/99-这里改成你想要的名字

比如 /etc/hotplug.d/iface/99-sync-vps-firewall1

[[File:Testfileno.png|border]]

修改后…复制粘贴到ssh里面回车就创建好脚本了

代码块如下:<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/hotplug.d/iface/99-sync-vps-firewall
#!/bin/sh

# 只要是接口启动(ifup)就触发
[ "$ACTION" = "ifup" ] || exit 0

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 用户可以分别设置获取地址（可以相同，也可以不同）
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/tmp/vps_sync.log"
MAX_LINES=100

# --- 文件初始化与清理函数 ---
init_files() {
sleep 10
# 1. 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
echo "$(date): [系统] 初始日志文件已创建" >> "$LOG_FILE"
else
# 日志滚动清理逻辑
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 50 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成" >> "$LOG_FILE"
fi
fi

# 2. 处理缓存文件及其目录
local cache_dir=$(dirname "$CACHE_FILE")
if [ ! -d "$cache_dir" ]; then
mkdir -p "$cache_dir"
echo "$(date): [系统] 创建缓存目录: $cache_dir" >> "$LOG_FILE"
fi

if [ ! -f "$CACHE_FILE" ]; then
touch "$CACHE_FILE"
# 初始化空变量，防止脚本第一次读取时报错
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
echo "$(date): [系统] 初始缓存文件已创建" >> "$LOG_FILE"
fi
}

# --- IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 1
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi
return 1
}

# 1. 初始化
init_files

# 2. 执行双栈并行/独立获取
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 3. 基础校验：至少得有一个 IP 吧
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
exit 1
fi

# 4. 缓存对比 (防重复刷 API)
[ -f "$CACHE_FILE" ] && . "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
exit 0
fi

# 5. 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 6. 解析结果
HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"
RESPONSE_CLEAN=$(echo "$RESPONSE_JSON" | tr -d '\n\r ')
ERROR_CODE=$(echo "$RESPONSE_CLEAN" | grep -o '"error":[0-9]*' | cut -d: -f2)
MESSAGE=$(echo "$RESPONSE_CLEAN" | grep -o '"message":"[^"]*"' | sed 's/"message":"//;s/"$//')

# 7. 写入中文日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] IP变更同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
echo "同步成功: $MESSAGE"
else
[ -z "$MESSAGE" ] && MESSAGE="请求异常: $RESPONSE_JSON"
echo "$(date): [失败] 同步失败。详细原因: $MESSAGE" >> "$LOG_FILE"
echo "同步失败: $MESSAGE"
fi
EOF
</syntaxhighlight>[[File:Catcmd1.png|border]]就像这样粘贴后回车就行

输入<code>chmod 755 /etc/hotplug.d/iface/99-sync-vps-firewall</code>赋予执行权限

输入 <code>ls -l /etc/hotplug.d/iface/99-sync-vps-firewall</code> 查看赋予权限是否成功

[[File:Openwrtisok.png|border]]这样你可以重启试试看… 可以输入

<code>cat /tmp/vps_sync_error.log</code>

查看是否成功

[[File:Openwrtlastok.png|border]]

前面的蓝色框框说成功指的是API成功了里面的ip是本地上传给服务器更新的ip 后面红色框框 OK才是防火墙成功的意思后面的ip就是更新的ip 如果有一个ip无效或者…就不会显示了

==== 常见错误 [[File:Openwrterror.png|border]] ====
身份验证失败意思就是说 veid 或者 api_key 的内容错误

[[File:Openwrterror1.png|border]]

没有找到链

你可以看到蓝色框的是防火墙指令..红色框是表

可能是表(inet my_firewall) 或者链(allowed_ip) 的名字和服务器防火墙的对不上你可以去服务器<code>nft list ruleset</code>看一下

==== 华硕路由器官方固件 ====
因为官方固件没有提供重新连接网络后执行脚本的功能所以我们需要一台本地的Linux服务器了(不是防火墙所在的那个服务器哦)…

===== 查看Linux服务器的ip (本地的局域网内的) =====
ssh连接的那个ip就是了…

如果你忘记了输入 <code>ip addr</code> 找个eth0或者 ens18 这样一般都是默认网络接口里面的ip地址蓝色框框

[[File:Seeserverip.png|border]]

===== 借助监听远程日志触发API更新防火墙白名单IP =====
用浏览器登陆你的路由器后台输入用户名和密码一般的地址是 192.168.1.1 如果不是可以打开 <nowiki>http://www.asusrouter.com/</nowiki> 试试

[[File:Loginrouter.png|border]]
找到系统记录单击

[[File:Syslog.png|border]]

[[File:Logre.png|border]]

远程记录服务器输入你的本地局域网linux服务器的ip

远程记录服务器端口默认514 '''如果你的linux服务器占用'''514的话就改一下

====== 如何查看是否占用 ======
ssh连接那台服务器
'''切换root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]
输入 <code>sudo ss -tunlp | grep :514</code>

如果你没有安装sudo就会提示

[[File:Errorsudo.png|border]]

那就不需要输入sudo 了直接

<code>ss -tunlp | grep :514</code>

[[File:Ss.png|border]]

这样有输出就是被占用了占用的话换一个就行了

这样没有输出就是没占用

[[File:Noss.png|border]]

然后点击应用本页面设置

===== 另外一台Linux服务器部分不是防火墙所在的那个服务器哦 =====
ssh连接后
'''切换到root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

====== 安装socat ======
socat的功能很强大是一个多功能的网络工具我们这里用于接收路由器发过来的日志…

'''Debian / Ubuntu / PVE / Armbian 系：'''

<code>apt update && apt install socat -y</code>

'''Red Hat / CentOS / Rocky Linux 系：'''

<code>yum install socat -y</code>

新一些Red Hat/CentOS/Rocky Linux希的系统可以使用<code>dnf install socat -y</code>

安装后输入 <code>socat -V</code> 确认安装成功

[[File:Socatok.png|border]]

====== 检查获取ip 的url是否有效 ======
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

====== 创建脚本 ======
修改下面代码块的代码你可以复制到记事本或者其他文本编辑器里面修改

最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

根据刚才测试的结果来决定要不要替换

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>" CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

V6_MASK="/64" 也可以修改详情看上方的 '''ipv6的网段 V6_MASK'''

最后要检查的输入 <code>ls /root/checkip.sh</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Nocheckip.png|border]]

下图这样就是有就需要修改/root/checkip.sh 比如修改成 /root/checkip1.sh

[[File:Havecheckip.png|border]]

修改后

全部选择复制粘贴到ssh里面按回车

代码块:<syntaxhighlight lang="bash">
cat << 'EOF' > /root/checkip.sh
#!/bin/bash

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 获取 IP 的地址
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/var/log/vps_sync.log"
MAX_LINES=100 # 日志保留行数

# --- 1. 初始化文件与目录 ---
init_files() {
# 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
else
# 日志滚动清理
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 100 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成 (保留末尾100行)" >> "$LOG_FILE"
fi
fi

# 处理缓存目录及文件
local cache_dir=$(dirname "$CACHE_FILE")
[ ! -d "$cache_dir" ] && mkdir -p "$cache_dir"

if [ ! -f "$CACHE_FILE" ]; then
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
fi
}

# --- 2. IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s4 --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- 3. IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s6 --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 4
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi

return 1
}

# --- 4. 核心同步逻辑 ---
sync_ip() {

# 刚收到日志时，给网络层 5-10 秒的初始化时间
sleep 10

# 获取当前 IP
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 基础校验
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
return 1
fi

# 读取缓存并对比
. "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
echo "$(date): [跳过] IP 未发生变化，取消同步" >> "$LOG_FILE"
return 0
fi

# 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
local RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 解析结果
local HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
local RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"

# 核心解析：压缩 JSON 并提取字段
local CLEAN_JSON=$(echo "$RESPONSE_JSON" | tr -d '\n\r' | tr -s ' ')
local ERROR_CODE=$(echo "$CLEAN_JSON" | sed -n 's/.*"error":[ ]*$[0-9]*$.*/\1/p')
local MESSAGE=$(echo "$CLEAN_JSON" | sed -n 's/.*"message":[ ]*"$.*$"[ ]*}.*/\1/p' | sed 's/\\//g')

# 写入日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] 同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
else
[ -z "$MESSAGE" ] && MESSAGE="$CLEAN_JSON"
echo "$(date): [失败] 同步失败。HTTP: $HTTP_CODE, ERROR: $ERROR_CODE, 原因: $MESSAGE" >> "$LOG_FILE"
fi
}

# --- 5. 监听入口 ---
init_files

# 如果直接运行脚本（无管道输入），执行一次同步
if [ -t 0 ]; then
sync_ip
else
# 如果有管道输入（来自 socat），则监听日志触发
while IFS= read -r line; do
if echo "$line" | grep -qi 'local *IP address'; then
echo "$(date): [触发] 检测到路由器拨号日志" >> "$LOG_FILE"
sync_ip
fi
done
fi
EOF
</syntaxhighlight>[[File:Cathuashuo.png|border]]

粘贴之后有点混乱不用管直接回车就行了

然后

检查一下输入 <code>cat /root/checkip.sh</code> 有内容就好了

[[File:Catcheckip.png|border]]

授予运行权限 <code>chmod +x /root/checkip.sh</code>

然后输入 <code>ls -l /root/checkip.sh</code> 查看多了三个x 就对了如果像红色框框没有x 就不对请重试 <code>chmod +x /root/checkip.sh</code>

[[File:Lslcheckip.png|border]]

然后你就可以输入

<code>/root/checkip.sh</code>

如果第一次测试成功了以后想测试的话运行这个 <code>rm /etc/config/vps_last_ip && /root/checkip.sh</code>

需要<code>rm /etc/config/vps_last_ip</code>删除本地保留的ip记录就是说如果这个ip记录和获取到的一样是不会运行api执行脚本的

测试一下相当于是手动更新..不是自动更新

[[File:Testcheckip.png|border]]

不会有内容输出

需要查看日志 <code>cat /var/log/vps_sync.log</code>

如果是下图那样就是成功了要看红色的红色框是vps服务器返回的OK 就是真的成功了 Allowed:后面是成功添加的ip 一个是ipv4 一个是ipv6的

蓝色框的成功说的是API使用成功提交的IP是哪些

在此再次提醒您使用时保管好Veid和API_Key 你看我打码服务器名字然而还是在这里漏了...以前的打码就没意义了

[[File:Checkipok.png|border]]

====== 常见错误 ======
[[File:Errorapi.png|border]]

身份验证错误一般代表 api_key 或 veid 的内容填写错误就是= 后面的 "" 里面的内容比如VEID="就这里错了" API_KEY="这里"

====== 配置开机启动和自动更新 ======
使用systemctl配置开机启动和自动根据日志更新

修改以下代码中的

UDP-RECV:514 把514换成你的路由器那里设置的远程记录服务器端口比如 515 就改成 UDP-RECV:515

[[File:Logre.png|border]]

<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"</code>

这里面的 <code>/root/checkip.sh</code>

如果你的文件名改了的话就需要修改… 没改就不用改..

同理 <code>/etc/systemd/system/router-log-watcher.service</code>

这个地方你也应该输入 <code>ls /etc/systemd/system/router-log-watcher.service</code>

查看文件是否存在.如果存在就改名字如果不存在就不用改了和上面服务器部分的 ls /root/update_fw.sh 一样

修改好全部选择复制粘贴到ssh里面然后按回车<syntaxhighlight lang="bash">cat << 'EOF' > /etc/systemd/system/router-log-watcher.service
[Unit]
Description=Router Log Watcher
After=network.target

[Service]
Type=simple
# 管道命令：socat 接收 UDP 514，然后传给脚本
ExecStart=/bin/bash -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"
Restart=always
RestartSec=5
# 如果脚本需要 root 权限，确保 User=root
User=root

[Install]
WantedBy=multi-user.target
EOF</syntaxhighlight>这个不怎么混乱直接回车就行

然后 <code>cat /etc/systemd/system/router-log-watcher.service</code> 如果你的文件名字如果不是这个的话请修改

[[File:Catsystemctl.png|border]]

输入这个意思是识别新服务

<code>systemctl daemon-reload</code>

在输入这个意思是启动并设置开机自启

<code>systemctl enable --now router-log-watcher.service</code>

[[File:Startsystemctl.png|border]]

最后输入

<code>systemctl status router-log-watcher.service</code>

[[File:Staratok.png|border]]

蓝色的框是已经运行了绿色的是enabled 是设置了开机自动启动

现在可以重启路由器获取新的ip试试了

输入 <code>cat /var/log/vps_sync.log</code> 这样就是成功了

[[File:Apinftisok.png|border]]

如果ipv6获取的速度慢可能出现防火墙没有允许ipv6的情况

[[File:Apinftiserror.png|border]]

遇到极端情况下可以手动更新

<code>rm -f /etc/config/vps_last_ip && /root/checkip.sh</code>

删除存储的ip然后执行脚本 ip一直相同的话是不会调用api的

另外如果你修改了/root/checkip.sh 那么还要输入 <code>systemctl restart router-log-watcher.service</code> 重启这个服务才生效

如果成功更新ip了就可以把允许ssh的端口删掉了就真正变成白名单模式了

使用搬瓦工api操作nftables实现更新白名单ip

2026-01-26T02:34:59Z

EliToviyah：添加一个...有可能出错的示例

== '''<big>请注意不要泄漏API_Key 任何时候都不要泄露防止服务器和API被盗用应当在安全的设备上使用API 防止API_Key被盗取</big>''' ==

<big>'''根据可实时知晓ip变化的办法不同您需要的工具也不相同..最多需要多一台本地的Linux服务器(不是防火墙所在的那个服务器哦)'''</big>

== 使用前准备 ==

=== 切换到root或有高权限的用户 ===
输入<code>whoami</code>(蓝色输出)或者查看 @之前的名字(绿色框)就是使用的用户

[[File:Whoami2.png|border]]

如果是root就是root就可以了

如果不是

[[File:Suroot.png|border]]

你输入 <code>nft list ruleset</code> 或者 <code>sudo nft list ruleset</code> 输入你的密码和上图一样说明没权限….

尝试切换到root账户

输入 <code>su -</code> 然后输入 '''root 用户'''的密码。输入的密码不会显示输入好后按回车就行变成root就说明成功了

[[File:Suroot2.png|border]]

=== 防火墙部分 ===
输入 <code>sudo nft list ruleset</code>

[[File:Nftlist.png|border]]

你的防火墙中应该有一个空白的链专用户白名单然后在含有粉色框框(主要是含有hook input就行)代码的链中 jump这个链另外先不要改成policy drop;

如果没有链的话如何创建链

<code>sudo nft add chain inet my_firewall allowed_ip</code>

请根据自己的表的类型inet 表的名字 my_firewall 自行修改哦

allowed_ip可以改成自己想要的名字比如sudo <code>nft add chain inet my_firewall whiteip</code>

要先有链才能jump 链的名字

如何添加一条jump allowed_ip 规则呢

<code>sudo nft add rule inet my_firewall my_input jump allowed_ip</code>

还是一样要修改成自己的表的类型表的名字刚刚创建的链的名字

要把这个jump allowed_ip 添加到含有粉色代码的chain里面也就是(my_input)

=== 服务器部分 ===
'''创建一个脚本用 API 调用这个脚本就好了免去了 API中过多的指令'''

'''如果你是从 [[服务器安全-防火墙 nftables]] 那文章一步一步没有修改防火墙的表链的话直接复制代码框的全部内容粘贴到ssh里面按回车文件就创建好了'''

如果你修改了防火墙的表和链的名字或不是根据那篇文章来的

请修改下面代码中的内容根据自身情况修改只需要修改=后面 “” 双引号里面的内容

[[File:Nftlist3.png|border]]

* TABLE_NAME="my_firewall"
** 这个是表的名字蓝色框框
* CHAIN_NAME="allowed_ip"
** 这个是链的名字绿色框框这个链的名字一定不是你包含 hook input 粉色这一行的那个链..因为会被清空..然后就会可能导致防火墙规则混乱…一定要是另外一个专门的链
* FAMILY="inet"
** 这个是表类型红色框框

'''示例'''

[[File:Nftlist3-1.png|border]]

如示例中的图就要改成这样的

CHAIN_NAME="allowed_mobile" TABLE_NAME="filter"

FAMILY="inet" 不变

如果是table ip filter就把FAMILY="inet" 改成 FAMILY="ip"

这里还有一个位置需要输入 <code>ls /root/update_fw.sh</code>

'''检查这个目录是否有一个叫update_fw.sh如果有的话你也需要修改避免被覆盖'''

上面蓝色框框的说明有存在的同名文件那你就需要修改成 > /root/别的文件名.sh那么下文中的所有/root/update_fw.sh都要改成你自己的文件名

下面红色框框说明没有找到这个文件就不用改名了直接使用就行

[[File:Catcheckfilehave.png|border]]

在下面的代码框里的对应位置改可以先复制到记事本上改完再全选重新复制粘贴到ssh里面回车

[[File:Apiconfig.png|border]]

'''代码框的脚本如下:'''<syntaxhighlight lang="bash">
cat << 'EOF' > /root/update_fw.sh
#!/bin/bash

# --- 用户配置区 ---
TABLE_NAME="my_firewall"
CHAIN_NAME="allowed_ip"
FAMILY="inet"

# --- 获取参数并剔除所有空格 ---
IP1=$(echo "$1" | tr -d '[:space:]')
IP2=$(echo "$2" | tr -d '[:space:]')

VALID_IPS=()
NFT_TYPES=()
SUCCESS_LIST=""
FAILED_LIST=""

# --- IP 校验函数 ---
check_ip() {
local input=$1
[[ -z "$input" ]] && return 1

local raw_ip="${input%/*}"
local mask="${input#*/}"

# 自动识别默认掩码
if [[ "$input" != */* ]]; then
if [[ "$raw_ip" =~ : ]]; then mask=128; else mask=32; fi
fi

# 1. IPv4 校验
# 原来的 2[0-4][0-5] 改为了 2[0-4][0-9]
if [[ "$raw_ip" =~ ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 32 ]] && return 1
echo "ip|$raw_ip/$mask"
return 0
fi

# 2. IPv6 校验 (简化版正则，兼容性更好)
if [[ "$raw_ip" =~ ^(([0-9a-fA-F]{1,4}:){1,7}[0-9a-fA-F]{1,4}|([0-9a-fA-F]{1,4}:){1,7}:|:(:[0-9a-fA-F]{1,4}){1,7}|::|([0-9a-fA-F]{1,4}:){1,7}:[0-9a-fA-F]{1,4})$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 128 ]] && return 1
echo "ip6|$raw_ip/$mask"
return 0
fi

return 1
}

process_arg() {
local arg=$1
[ -z "$arg" ] && return
local res
res=$(check_ip "$arg")
if [ $? -eq 0 ]; then
local full_ip="${res#*|}"
VALID_IPS+=("$full_ip")
NFT_TYPES+=("${res%|*}")
SUCCESS_LIST+="$full_ip "
else
FAILED_LIST+="$arg "
fi
}

process_arg "$IP1"
process_arg "$IP2"

# --- 极简反馈逻辑 ---
if [ ${#VALID_IPS[@]} -eq 0 ]; then
echo "Error: No valid IP provided ($FAILED_LIST)"
exit 1
fi

# 执行 Nftables 操作
nft flush chain $FAMILY $TABLE_NAME $CHAIN_NAME || { echo "Error: NFT chain not found"; exit 1; }

for i in "${!VALID_IPS[@]}"; do
nft add rule $FAMILY $TABLE_NAME $CHAIN_NAME ${NFT_TYPES[$i]} saddr ${VALID_IPS[$i]} accept
done

# 成功返回
echo "OK: Allowed $SUCCESS_LIST"
EOF
</syntaxhighlight>解释一下代码框里面指令的意思

* '''<code>cat</code> (Concatenate)'''：原本是用来“查看”或“拼接”内容的，但在这种组合中，它负责接收你输入的一大段文字。
* '''<code><<</code> (输入重定向)'''：这叫“在此处开始读取”。它告诉系统：“别去翻别的文件了，接下来的内容就是我要给你的，直到我遇到结束标记为止。”
* '''<code>'EOF'</code> (End Of File)'''：
** '''开始标志'''：它是你自定义的一个“暗号”。
** '''为什么要加单引号 <code>' '</code>？'''：加了单引号，系统就会“原样搬运”中间的内容，不会去解析里面的 <code>$变量</code>。这对于写入包含变量的脚本至关重要，否则这些变量在写入文件前就会被当前系统搞乱。
* '''<code>></code> (覆盖写入)'''：它的意思是“清空目标文件并把内容倒进去”。
* '''<code>/root/update_fw.sh</code>'''：这是目的地。系统会在指定路径创建或覆盖这个脚本文件。
* 中间的内容就是要写入文件的内容是我们的核心代码
* '''最后的 <code>EOF</code>'''：这是“结束暗号”。系统看到它，就知道“打包”结束了，正式保存文件。

[[File:Apinftedit1.png|border]]

我们可以看到最后蓝色框的时候有点混乱没事的直接按回车就行了

然后我们可以输入 <code>cat /root/update_fw.sh</code> 查看一下文件内容确认有写入内容就好了

[[File:Catupdateip.png|border]]

创建好后

[[File:Apinftquanxian.png|border]]

你可以先输入 <code>ls -l /root/update_fw.sh</code>

这个意思是以长格式查看/root/update_fw.sh 文件的信息

* 第一位 - 代表是文件的意思 d是目录
* 第二位到第四位 rw- 就是拥有这个文件的人的权限第一个代表的是读取如果有这个权限显示r如果没有就是-第二个是写入(编辑)的权限有这个权限就显示w没有就是-第三位是执行(运行)这个文件的权限有就显示x没有就显示- 这里显示-证明在chmod之前是没有执行权限的
* <code>r--</code> 这个文件所属组的权限同上第一位是读取r说明有第二位是-说明没有写入权限第三位是-说明没有执行权限
* <code>r--</code> 这个是其他人也是一样的有读取权限没有写入和执行权限
* 1 代表这个文件在磁盘上只有这一个‘
* root root 第一个root 代表拥有这个文件的人第二个 root 代表这个文件属于root组
* 2675 文件大小Byte
* Jan 22 01:07 修改时间
* /root/update_fw.sh 文件信息的文件

为了安全取消掉其他的权限我们输入

<code>chmod 700 /root/update_fw.sh</code>

这个指令的意思是设置这个文件的权限是700 700的意思就是只有这个文件的拥有人(root ls -l看到的)才可以读取写入和执行其他的两个0代表所属组没有任何权限和其他所有人没有任何权限。

这样，只有 root 用户能看到这个脚本的内容，也只有 root 能运行它。

=== 调用API部分 ===
获取搬瓦工服务器的API_Key和veid

请参考 [[搬瓦工api使用]]

== 使用搬瓦工API触发服务器上的脚本变更防火墙nftables的chain 从而实现动态更新白名单ip ==

=== ipv6的网段 V6_MASK ===
这个..如果你想同时更新ipv6的白名单有一个问题

就是ipv6 每个设备都有一个ipv6地址(各不相同) ipv4的时候你用电脑手机连接到同一个路由器的话一般都是走的同一个ipv4地址而ipv6不同…所以如果你只是更新了你这个设备的ipv6地址的话…别的设备仍然不在白名单中…这就需要网段

==== 请登录路由器 ====
[[File:Router1.png|border]]

找到这个前缀长度…把V6_MASK改成60就行了这样就是说连接路由器的都可以进白名单了

所有的代码中都有一个可以修改的变量.. V6_MASK="/64" 单个设备请改为 /128 一些地区可能是48 但48有点危险范围太大你的邻居可能也在这之中那为什么是64呢因为我的是64……哦我记错了我是60….

== 可实时更新ip变化的办法 ==

=== Linux系 ===

==== OpenWrt类 ====

===== 检查是否安装了curl =====
输入 <code>curl</code> 如果显示 -ash: curl not found

安装curl和证书为了访问https网站

<code>opkg update && opkg install curl ca-bundle</code>

[[File:Openwrtcurl.png|border]]

curl 8.12.1有这样的版本号有IPv6 有ssl 确保有他们就可以啦

===== 检查获取ip 的url是否有效 =====
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在后续的代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

==== 开始 ====
在 OpenWrt 中，每当接口（WAN）状态发生变化（比如重连、获取到新 IP、掉线）时，系统会自动触发对应的脚本。 OpenWrt 的网络热插拔脚本存放在： <code>/etc/hotplug.d/iface/</code>

'''进入目录：'''<code>cd /etc/hotplug.d/iface/</code>

[[File:Openwrtcd.png|border]]

'''创建脚本：'''

修改下面代码你可以先复制到记事本或者别的文本编辑工具里面最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

最后要检查的输入 <code>ls /etc/hotplug.d/iface/99-sync-vps-firewall</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Testfileis.png|border]]

下图就是有那么你就要换一个名字

/etc/hotplug.d/iface/99-这里改成你想要的名字

比如 /etc/hotplug.d/iface/99-sync-vps-firewall1

[[File:Testfileno.png|border]]

修改后…复制粘贴到ssh里面回车就创建好脚本了

代码块如下:<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/hotplug.d/iface/99-sync-vps-firewall
#!/bin/sh

# 只要是接口启动(ifup)就触发
[ "$ACTION" = "ifup" ] || exit 0

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 用户可以分别设置获取地址（可以相同，也可以不同）
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/tmp/vps_sync.log"
MAX_LINES=100

# --- 文件初始化与清理函数 ---
init_files() {
sleep 10
# 1. 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
echo "$(date): [系统] 初始日志文件已创建" >> "$LOG_FILE"
else
# 日志滚动清理逻辑
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 50 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成" >> "$LOG_FILE"
fi
fi

# 2. 处理缓存文件及其目录
local cache_dir=$(dirname "$CACHE_FILE")
if [ ! -d "$cache_dir" ]; then
mkdir -p "$cache_dir"
echo "$(date): [系统] 创建缓存目录: $cache_dir" >> "$LOG_FILE"
fi

if [ ! -f "$CACHE_FILE" ]; then
touch "$CACHE_FILE"
# 初始化空变量，防止脚本第一次读取时报错
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
echo "$(date): [系统] 初始缓存文件已创建" >> "$LOG_FILE"
fi
}

# --- IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 1
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi
return 1
}

# 1. 初始化
init_files

# 2. 执行双栈并行/独立获取
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 3. 基础校验：至少得有一个 IP 吧
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
exit 1
fi

# 4. 缓存对比 (防重复刷 API)
[ -f "$CACHE_FILE" ] && . "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
exit 0
fi

# 5. 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 6. 解析结果
HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"
RESPONSE_CLEAN=$(echo "$RESPONSE_JSON" | tr -d '\n\r ')
ERROR_CODE=$(echo "$RESPONSE_CLEAN" | grep -o '"error":[0-9]*' | cut -d: -f2)
MESSAGE=$(echo "$RESPONSE_CLEAN" | grep -o '"message":"[^"]*"' | sed 's/"message":"//;s/"$//')

# 7. 写入中文日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] IP变更同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
echo "同步成功: $MESSAGE"
else
[ -z "$MESSAGE" ] && MESSAGE="请求异常: $RESPONSE_JSON"
echo "$(date): [失败] 同步失败。详细原因: $MESSAGE" >> "$LOG_FILE"
echo "同步失败: $MESSAGE"
fi
EOF
</syntaxhighlight>[[File:Catcmd1.png|border]]就像这样粘贴后回车就行

输入<code>chmod 755 /etc/hotplug.d/iface/99-sync-vps-firewall</code>赋予执行权限

输入 <code>ls -l /etc/hotplug.d/iface/99-sync-vps-firewall</code> 查看赋予权限是否成功

[[File:Openwrtisok.png|border]]这样你可以重启试试看… 可以输入

<code>cat /tmp/vps_sync_error.log</code>

查看是否成功

[[File:Openwrtlastok.png|border]]

前面的蓝色框框说成功指的是API成功了里面的ip是本地上传给服务器更新的ip 后面红色框框 OK才是防火墙成功的意思后面的ip就是更新的ip 如果有一个ip无效或者…就不会显示了

==== 常见错误 [[File:Openwrterror.png|border]] ====
身份验证失败意思就是说 veid 或者 api_key 的内容错误

[[File:Openwrterror1.png|border]]

没有找到链

你可以看到蓝色框的是防火墙指令..红色框是表

可能是表(inet my_firewall) 或者链(allowed_ip) 的名字和服务器防火墙的对不上你可以去服务器<code>nft list ruleset</code>看一下

==== 华硕路由器官方固件 ====
因为官方固件没有提供重新连接网络后执行脚本的功能所以我们需要一台本地的Linux服务器了(不是防火墙所在的那个服务器哦)…

===== 查看Linux服务器的ip (本地的局域网内的) =====
ssh连接的那个ip就是了…

如果你忘记了输入 <code>ip addr</code> 找个eth0或者 ens18 这样一般都是默认网络接口里面的ip地址蓝色框框

[[File:Seeserverip.png|border]]

===== 借助监听远程日志触发API更新防火墙白名单IP =====
用浏览器登陆你的路由器后台输入用户名和密码一般的地址是 192.168.1.1 如果不是可以打开 <nowiki>http://www.asusrouter.com/</nowiki> 试试

[[File:Loginrouter.png|border]]
找到系统记录单击

[[File:Syslog.png|border]]

[[File:Logre.png|border]]

远程记录服务器输入你的本地局域网linux服务器的ip

远程记录服务器端口默认514 '''如果你的linux服务器占用'''514的话就改一下

====== 如何查看是否占用 ======
ssh连接那台服务器
'''切换root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]
输入 <code>sudo ss -tunlp | grep :514</code>

如果你没有安装sudo就会提示

[[File:Errorsudo.png|border]]

那就不需要输入sudo 了直接

<code>ss -tunlp | grep :514</code>

[[File:Ss.png|border]]

这样有输出就是被占用了占用的话换一个就行了

这样没有输出就是没占用

[[File:Noss.png|border]]

然后点击应用本页面设置

===== 另外一台Linux服务器部分不是防火墙所在的那个服务器哦 =====
ssh连接后
'''切换到root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

====== 安装socat ======
socat的功能很强大是一个多功能的网络工具我们这里用于接收路由器发过来的日志…

'''Debian / Ubuntu / PVE / Armbian 系：'''

<code>apt update && apt install socat -y</code>

'''Red Hat / CentOS / Rocky Linux 系：'''

<code>yum install socat -y</code>

新一些Red Hat/CentOS/Rocky Linux希的系统可以使用<code>dnf install socat -y</code>

安装后输入 <code>socat -V</code> 确认安装成功

[[File:Socatok.png|border]]

====== 检查获取ip 的url是否有效 ======
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

====== 创建脚本 ======
修改下面代码块的代码你可以复制到记事本或者其他文本编辑器里面修改

最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

根据刚才测试的结果来决定要不要替换

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>" CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

V6_MASK="/64" 也可以修改详情看上方的 '''ipv6的网段 V6_MASK'''

最后要检查的输入 <code>ls /root/checkip.sh</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Nocheckip.png|border]]

下图这样就是有就需要修改/root/checkip.sh 比如修改成 /root/checkip1.sh

[[File:Havecheckip.png|border]]

修改后

全部选择复制粘贴到ssh里面按回车

代码块:<syntaxhighlight lang="bash">
cat << 'EOF' > /root/checkip.sh
#!/bin/bash

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 获取 IP 的地址
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/var/log/vps_sync.log"
MAX_LINES=100 # 日志保留行数

# --- 1. 初始化文件与目录 ---
init_files() {
# 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
else
# 日志滚动清理
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 100 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成 (保留末尾100行)" >> "$LOG_FILE"
fi
fi

# 处理缓存目录及文件
local cache_dir=$(dirname "$CACHE_FILE")
[ ! -d "$cache_dir" ] && mkdir -p "$cache_dir"

if [ ! -f "$CACHE_FILE" ]; then
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
fi
}

# --- 2. IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s4 --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- 3. IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s6 --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 4
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi

return 1
}

# --- 4. 核心同步逻辑 ---
sync_ip() {

# 刚收到日志时，给网络层 5-10 秒的初始化时间
sleep 10

# 获取当前 IP
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 基础校验
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
return 1
fi

# 读取缓存并对比
. "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
echo "$(date): [跳过] IP 未发生变化，取消同步" >> "$LOG_FILE"
return 0
fi

# 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
local RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 解析结果
local HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
local RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"

# 核心解析：压缩 JSON 并提取字段
local CLEAN_JSON=$(echo "$RESPONSE_JSON" | tr -d '\n\r' | tr -s ' ')
local ERROR_CODE=$(echo "$CLEAN_JSON" | sed -n 's/.*"error":[ ]*$[0-9]*$.*/\1/p')
local MESSAGE=$(echo "$CLEAN_JSON" | sed -n 's/.*"message":[ ]*"$.*$"[ ]*}.*/\1/p' | sed 's/\\//g')

# 写入日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] 同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
else
[ -z "$MESSAGE" ] && MESSAGE="$CLEAN_JSON"
echo "$(date): [失败] 同步失败。HTTP: $HTTP_CODE, ERROR: $ERROR_CODE, 原因: $MESSAGE" >> "$LOG_FILE"
fi
}

# --- 5. 监听入口 ---
init_files

# 如果直接运行脚本（无管道输入），执行一次同步
if [ -t 0 ]; then
sync_ip
else
# 如果有管道输入（来自 socat），则监听日志触发
while IFS= read -r line; do
if echo "$line" | grep -qi 'local *IP address'; then
echo "$(date): [触发] 检测到路由器拨号日志" >> "$LOG_FILE"
sync_ip
fi
done
fi
EOF
</syntaxhighlight>[[File:Cathuashuo.png|border]]

粘贴之后有点混乱不用管直接回车就行了

然后

检查一下输入 <code>cat /root/checkip.sh</code> 有内容就好了

[[File:Catcheckip.png|border]]

授予运行权限 <code>chmod +x /root/checkip.sh</code>

然后输入 <code>ls -l /root/checkip.sh</code> 查看多了三个x 就对了如果像红色框框没有x 就不对请重试 <code>chmod +x /root/checkip.sh</code>

[[File:Lslcheckip.png|border]]

然后你就可以输入

<code>/root/checkip.sh</code>

如果第一次测试成功了以后想测试的话运行这个 <code>rm /etc/config/vps_last_ip && /root/checkip.sh</code>

需要<code>rm /etc/config/vps_last_ip</code>删除本地保留的ip记录就是说如果这个ip记录和获取到的一样是不会运行api执行脚本的

测试一下相当于是手动更新..不是自动更新

[[File:Testcheckip.png|border]]

不会有内容输出

需要查看日志 <code>cat /var/log/vps_sync.log</code>

如果是下图那样就是成功了要看红色的红色框是vps服务器返回的OK 就是真的成功了 Allowed:后面是成功添加的ip 一个是ipv4 一个是ipv6的

蓝色框的成功说的是API使用成功提交的IP是哪些

在此再次提醒您使用时保管好Veid和API_Key 你看我打码服务器名字然而还是在这里漏了...以前的打码就没意义了

[[File:Checkipok.png|border]]

====== 常见错误 ======
[[File:Errorapi.png|border]]

身份验证错误一般代表 api_key 或 veid 的内容填写错误就是= 后面的 "" 里面的内容比如VEID="就这里错了" API_KEY="这里"

====== 配置开机启动和自动更新 ======
使用systemctl配置开机启动和自动根据日志更新

修改以下代码中的

UDP-RECV:514 把514换成你的路由器那里设置的远程记录服务器端口比如 515 就改成 UDP-RECV:515

[[File:Logre.png|border]]

<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"</code>

这里面的 <code>/root/checkip.sh</code>

如果你的文件名改了的话就需要修改… 没改就不用改..

修改好全部选择复制粘贴到ssh里面然后按回车<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/systemd/system/router-log-watcher.service
[Unit]
Description=Router Log Watcher
After=network.target

[Service]
Type=simple
# 管道命令：socat 接收 UDP 514，然后传给脚本
ExecStart=/bin/bash -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"
Restart=always
RestartSec=5
# 如果脚本需要 root 权限，确保 User=root
User=root

[Install]
WantedBy=multi-user.target
EOF
</syntaxhighlight>这个不怎么混乱直接回车就行

然后 <code>cat /etc/systemd/system/router-log-watcher.service</code> 如果你的文件名字如果不是这个的话请修改

[[File:Catsystemctl.png|border]]

输入这个意思是识别新服务

<code>systemctl daemon-reload</code>

在输入这个意思是启动并设置开机自启

<code>systemctl enable --now router-log-watcher.service</code>

[[File:Startsystemctl.png|border]]

最后输入

<code>systemctl status router-log-watcher.service</code>

[[File:Staratok.png|border]]

蓝色的框是已经运行了绿色的是enabled 是设置了开机自动启动

现在可以重启路由器获取新的ip试试了

输入 <code>cat /var/log/vps_sync.log</code> 这样就是成功了

[[File:Apinftisok.png|border]]

如果ipv6获取的速度慢可能出现防火墙没有允许ipv6的情况

[[File:Apinftiserror.png|border]]

遇到极端情况下可以手动更新

<code>rm -f /etc/config/vps_last_ip && /root/checkip.sh</code>

删除存储的ip然后执行脚本 ip一直相同的话是不会调用api的

另外如果你修改了/root/checkip.sh 那么还要输入 <code>systemctl restart router-log-watcher.service</code> 重启这个服务才生效

如果成功更新ip了就可以把允许ssh的端口删掉了就真正变成白名单模式了

File:Catcheckfilehave.png

2026-01-26T02:33:36Z

EliToviyah：

catcheckfilehave

File:Catcheckhave.png

2026-01-26T02:32:21Z

EliToviyah：

catcheckhave

搬瓦工api使用

2026-01-25T23:42:03Z

EliToviyah：优化排版

== 什么是API ==
API 的全称是 Application Programming Interface（应用程序编程接口）。通俗地讲就是可以通过直接访问网站地址(url)执行一些功能

== API能干嘛 ==
可以在不使用kiwiVM面板里面的按钮或界面执行脚本,发送http请求完成自动开机、关机、查询服务器状态、执行指令等等的目的，这些都是官方提供的功能，适用于自动化程序控制服务器。

== 如何使用API ==
使用浏览器或curl或编程语言发送http请求

=== 使用浏览器直接在地址栏输入完整的url 虽然能但一般不使用这种方式 ===
[[File:Chromehttp.png|border]]

=== 使用curl wget等命令行工具发送http请求 ===
[[File:Curlhttp.png|border]]

=== 使用php python golang等编程语言发送http请求 ===
[[File:Golanghttp.png|border]]

== 使用前准备 ==

=== '''获取api key和服务器id(veid)''' ===

==== 打开kiwivm面板登陆后打开https://bandwagonhost.com/services 打开你要用api控制的服务器 ====
[[File:Openkiwivm1.png|border]]
[[File:Kiwivm2.png|border]]

[[File:Kiwivm3.png|border]][[File:Kiwivm4.png|border]]

'''<big>再次提醒:请务必保管好API Key 不要泄露给任何人防止服务器和API被盗用如果发生泄漏请使用Reset API Key重置也应当保护调用API所在的设备</big>'''

'''<big>再次提醒:请务必保管好API Key 不要泄露给任何人防止服务器和API被盗用如果发生泄漏请使用Reset API Key重置也应当保护调用API所在的设备</big>'''

'''<big>再次提醒:请务必保管好API Key 不要泄露给任何人防止服务器和API被盗用如果发生泄漏请使用Reset API Key重置也应当保护调用API所在的设备</big>'''

'''<big>再次提醒:请务必保管好API Key 不要泄露给任何人防止服务器和API被盗用如果发生泄漏请使用Reset API Key重置也应当保护调用API所在的设备</big>'''

== API的使用 ==
基础的url是:'''<nowiki>https://api.64clouds.com/v1/</nowiki>'''

需要携带 '''veid''' 和 '''api_key''' 参数

get与post请求方法都可以但get请求有长度限制.如果执行一些长的命令最终还是需要post请求方法 post也更加安全

'''<nowiki>https://api.64clouds.com/v1/api的请求路径?veid=YOUR_VEID&api_key=YOUR_API_KEY</nowiki>'''

'''使用时需要把文字部分替换为指定的内容'''

3处要替换的地方

1. api的请求路径也就是你需要执行的功能

2. YOUR_VEID 你的服务器id

3. YOUR_API_KEY 你的API_Key

=== 以获取服务器信息为例 ===
例如你的 veid=33333 api_key=privateewww324242

需要调用 '''获取服务器信息''' 的功能那么请求路径 '''getServiceInfo'''

<nowiki>https://api.64clouds.com/v1/getServiceInfo?veid=33333&api_key=privateewww324242</nowiki>

'''使用时请替换为自己实际的内容使用你选择的工具发送http请求'''

顺利的话会返回很多数据关键信息已经隐藏…

成功的返回值不同请求路径返回的内容不一样<syntaxhighlight lang="json">
{
"vm_type": "kvm",
"hostname": "xxxx",
"node_alias": "xxxx",
"node_location_id": "xxxxx",
"node_location": "xxxxx",
"node_datacenter": "xxxxx",
"location_ipv6_ready": true,
"plan": "xxxxxx",
"plan_monthly_data": 0,
"monthly_data_multiplier": 0,
"plan_disk": 0,
"plan_ram": 0,
"plan_swap": 0,
"plan_max_ipv6s": 0,
"os": "xxxx",
"email": "xxxxxx",
"data_counter": 0,
"data_next_reset": 0,
"ip_addresses": [
"xxx.xxx.xxx.xx"
],
等一些信息在此省略
}
</syntaxhighlight>失败的返回值这个示范是身份验证错误就是api_key或者veid不正确<syntaxhighlight lang="json">
{
"error": 700005,
"message": "Authentication failure"
}
</syntaxhighlight>

=== 其他示例 ===

==== curl 调用：开启服务器 (start) ====
<syntaxhighlight lang="bash">
#GET 方法
curl "https://api.64clouds.com/v1/start?veid=YOUR_VEID&api_key=YOUR_API_KEY"

#POST方法
curl -X POST "https://api.64clouds.com/v1/start" \
-d "veid=YOUR_VEID" \
-d "api_key=YOUR_API_KEY"
</syntaxhighlight>

==== wget 调用：关闭服务器 (stop) ====
wget默认会下载文件，加上-qO-可以让它像 curl 一样直接输出结果到屏幕，而不保存文件。<syntaxhighlight lang="bash">
#GET方法
wget -qO- "https://api.64clouds.com/v1/stop?veid=YOUR_VEID&api_key=YOUR_API_KEY"

#POST方法
wget -qO- --post-data="veid=YOUR_VEID&api_key=YOUR_API_KEY" "https://api.64clouds.com/v1/stop"
</syntaxhighlight>

==== Python调用:执行命令在服务器的/tmp目录下创建一个文件(basicShell/exec) ====
Python 的 '''requests''' 库会自动处理 URL 编码，非常方便。

如果没安装的话

'''pip install requests'''<syntaxhighlight lang="python">
#GET
import requests
import json

# 配置信息
url = "https://api.64clouds.com/v1/basicShell/exec"
params = {
"veid": "YOUR_VEID",
"api_key": "YOUR_API_KEY",
"command": "touch /tmp/python_test.txt" # 创建一个文件
}

# 发送请求
try:
response = requests.get(url, params=params)
response.raise_for_status() # 检查 HTTP 错误

result = response.json()
print(f"执行状态码: {result.get('error')}")
print(f"返回消息: {result.get('message')}")

except Exception as e:
print(f"请求出错: {e}")

#POST
import requests
import json

# 配置信息
url = "https://api.64clouds.com/v1/basicShell/exec"

# 这里的字典数据将作为 POST 的 Body 发送
payload = {
"veid": "YOUR_VEID",
"api_key": "YOUR_API_KEY",
"command": "touch /tmp/python_test_post.txt" # 我改了下文件名，方便你区分
}

# 发送请求
try:
response = requests.post(url, data=payload)

response.raise_for_status() # 检查 HTTP 错误

result = response.json()
print(f"执行状态码: {result.get('error')}")
print(f"返回消息: {result.get('message')}")

except Exception as e:
print(f"请求出错: {e}")
</syntaxhighlight>

==== PHP 示例:执行命令在服务器的/tmp目录下创建一个文件(basicShell/exec) ====
PHP 自带的'''http_build_query'''函数可以完美处理 URL 编码。<syntaxhighlight lang="php">
#GET
<?php
$url = "https://api.64clouds.com/v1/basicShell/exec";

$data = [
'veid' => 'YOUR_VEID',
'api_key' => 'YOUR_API_KEY',
'command' => 'touch /tmp/php_test.txt' // 创建一个文件
];

// 构建查询字符串 (会自动进行 URL 编码)
$queryString = http_build_query($data);
$requestUrl = $url . '?' . $queryString;

// 发送请求
$response = file_get_contents($requestUrl);

if ($response !== false) {
$json = json_decode($response, true);
echo "Error Code: " . $json['error'] . "\n";
echo "Message: " . $json['message'] . "\n";
} else {
echo "请求失败\n";
}
?>

#POST
<?php
$url = "https://api.64clouds.com/v1/basicShell/exec";

// 你的数据 (保持不变)
$data = [
'veid' => 'YOUR_VEID',
'api_key' => 'YOUR_API_KEY',
'command' => 'touch /tmp/php_post_test.txt' // 改了个文件名方便区分
];

// 1. 依然需要用 http_build_query 处理数据，
// 但这次不是拼在 URL 后面，而是放在 Body 里
$content = http_build_query($data);

// 2. 创建 HTTP 头部选项
$options = [
'http' => [
'method' => 'POST', // 显式指定 POST
'header' => 'Content-type: application/x-www-form-urlencoded', // 必须告诉服务器这是表单数据
'content' => $content // 把数据放入 Body
]
];

// 3. 创建流上下文 (Stream Context)
$context = stream_context_create($options);

// 4. 发送请求
// 注意：这里 URL 还是干净的 URL，把 $context 作为第三个参数传进去
$response = file_get_contents($url, false, $context);

// 5. 处理结果
if ($response !== false) {
$json = json_decode($response, true);
// 加上 isset 检查防止报错
$err = isset($json['error']) ? $json['error'] : 'Unknown';
$msg = isset($json['message']) ? $json['message'] : 'No message';

echo "Error Code: " . $err . "\n";
echo "Message: " . $msg . "\n";
} else {
echo "请求失败\n";
}
?>
</syntaxhighlight>

==== Golang 示例:执行命令在服务器的/tmp目录下创建一个文件(basicShell/exec) ====
Go 语言使用'''net/url'''包来构建参数。<syntaxhighlight lang="go">
#GET
package main

import (
"encoding/json"
"fmt"
"io/ioutil"
"net/http"
"net/url"
)

func main() {
baseURL := "https://api.64clouds.com/v1/basicShell/exec"

// 设置参数
params := url.Values{}
params.Add("veid", "YOUR_VEID")
params.Add("api_key", "YOUR_API_KEY")
params.Add("command", "touch /tmp/golang_test.txt") // 创建一个文件

// 拼接 URL (Encode() 会自动处理空格和特殊字符)
fullURL := fmt.Sprintf("%s?%s", baseURL, params.Encode())

// 发送 GET 请求
resp, err := http.Get(fullURL)
if err != nil {
fmt.Printf("请求失败: %s\n", err)
return
}
defer resp.Body.Close()

// 读取响应
body, _ := ioutil.ReadAll(resp.Body)

// 解析 JSON (可选)
var result map[string]interface{}
if err := json.Unmarshal(body, &result); err == nil {
fmt.Printf("Error Code: %v\n", result["error"])
fmt.Printf("Message: %v\n", result["message"])
} else {
fmt.Println(string(body))
}
}

#POST
package main

import (
"encoding/json"
"fmt"
"io/ioutil"
"net/http"
"net/url"
)

func main() {
// 1. 这里的 URL 不需要拼接参数了，只写接口地址
baseURL := "https://api.64clouds.com/v1/basicShell/exec"

// 2. 设置参数 (这一步保持不变，还是用 url.Values)
params := url.Values{}
params.Set("veid", "YOUR_VEID") // 习惯上用 Set 替换 Add (防止重复)，效果一样
params.Set("api_key", "YOUR_API_KEY")
params.Set("command", "touch /tmp/golang_post_test.txt") // 改个文件名区分

// 3. 发送 POST 请求 (核心修改)
// http.PostForm 这个函数专门用于发送 form-data
// 它会自动设置 Content-Type: application/x-www-form-urlencoded
// 并且把 params 编码放在 Body 里
resp, err := http.PostForm(baseURL, params)

if err != nil {
fmt.Printf("请求失败: %s\n", err)
return
}
defer resp.Body.Close()

//读取响应
body, _ := ioutil.ReadAll(resp.Body)

// 解析 JSON
var result map[string]interface{}
if err := json.Unmarshal(body, &result); err == nil {
fmt.Printf("Error Code: %v\n", result["error"])
fmt.Printf("Message: %v\n", result["message"])
} else {
fmt.Println(string(body))
}
}
</syntaxhighlight>

== 常见错误 ==
[[File:Apierror1.png]]

这个是说没有发现veid参数有可能没写或者写错了

比如 <nowiki>https://api.64clouds.com/v1/getServiceInfo?这里缺少了veid&api_key=privateewww324242</nowiki>

[[File:Apierror2.png|border]]

这个自然就是缺少api_key啦

比如 <nowiki>https://api.64clouds.com/v1/getServiceInfo?veid=3232&这里缺少了api_key</nowiki>

[[File:Apierror3.png|border]]

API:invalidrequest 未验证的请求

请求路径错误…就是说<code><nowiki>https://api.64clouds.com/v1/stare?veid=33333&api_key=privateewww324242</nowiki></code> 把start错误拼写成了stare

[[File:Apierror4.png|border]]

身份验证失败

veid或api_key错误

== 请注意 ==

* 当您的参数中含有特殊字符例如调用basicShell/exec 接口执行ls -la /var/log指令时 <nowiki>https://api.64clouds.com/v1/basicShell/exec?veid=33333&api_key=privateewww324242&command=ls</nowiki> -la /var/log 您需要使用url编码变为&command=ls%20-la%20%2Fvar%2Flog 具体怎样url编码和您使用的工具有关
* '''请妥善使用API 避免滥用等问题'''
* 当您在短时间内执行过多的 API 调用时，KiwiVM API 可能会开始在几分钟内丢弃您的请求。此调用允许监控此事。详情请查看请求路径 getRateLimitStatus 的描述和返回值列

== 官方API文档的翻译 ==
更新时间utc 2026/01/20 05:58
{| class="wikitable"
|+
!请求路径
!参数
!描述和返回值
!
|-
|start
|
|启动 VPS
|
|-
|stop
|
|停止 VPS
|
|-
|restart
|
|重启 VPS
|
|-
|kill
|
|允许强制停止一个卡死且无法通过正常手段停止的 VPS。请务必谨慎使用此功能，因为任何未保存的数据都将丢失
|
|-
|getServiceInfo
|
|获取服务信息
'''Returns (返回值)'''：

'''vm_type''': 虚拟化类型（ovz 或 kvm）

'''hostname''': VPS 的主机名

'''node_alias''': 物理节点的内部昵称

'''node_location''': 物理位置（国家，州/省）

'''location_ipv6_ready''': 当前位置是否支持 IPv6

'''plan''': 套餐名称

'''plan_disk''': 磁盘配额（字节）

'''plan_ram''': 内存（字节）

'''plan_swap''': SWAP 交换分区（字节）

'''os''': 操作系统

'''email''': 账户的主电子邮件地址

'''plan_monthly_data''': 每月允许的数据传输量（字节）。需要乘以 <code>monthly_data_multiplier</code>（见下文）。

'''data_counter''': 当前计费月份已使用的数据传输量。需要乘以 <code>monthly_data_multiplier</code>（见下文）。

'''monthly_data_multiplier''': 某些位置提供更昂贵的带宽；此变量包含带宽核算系数。
'''data_next_reset''': 传输计数器重置的日期和时间（UNIX 时间戳）

'''ip_addresses''': 分配给 VPS 的 IPv4 地址和 IPv6 /64 子网（数组）'''private_ip_addresses''': 分配给 VPS 的私有 IPv4 地址（数组）

'''ip_nullroutes''': 关于 (D)DoS 攻击期间 IP 地址空路由封禁的信息（数组）。

'''iso1''': 已挂载的镜像 #1

'''iso2''': 已挂载的镜像 #2（目前不支持）

'''available_isos''': 可供使用的 ISO 镜像数组

'''plan_max_ipv6s''': 套餐允许的最大 IPv6 /64 子网数量

'''rdns_api_available''': 是否可以通过 API 设置 rDNS 记录'''plan_private_network_available''': 此套餐是否可以使用私有网络功能'''location_private_network_available''': 此位置是否可以使用私有网络功能

'''ptr''': rDNS 记录（二维数组：ip=>value）

'''suspended''': VPS 是否被暂停

'''policy_violation''': 是否有需要注意的活动策略违规（参见 <code>getPolicyViolations</code>）'''suspension_count''': 本日历年内服务被暂停的次数

'''total_abuse_points''': 本日历年内累计的滥用积分总数

'''max_abuse_points''': 套餐在本日历年内允许的最大滥用积分

[ip_nullroutes] => Array

(

[1.2.3.4] => Array

(

[nullroute_timestamp] => 1556678627 // start of attack

[nullroute_duration_s] => 360 // duration of nullroute

[log] => "Packet dump data of the attack (multi-line)" // raw log of attack

)

)
|
|-
|getLiveServiceInfo
|
|此函数返回 <code>getServiceInfo</code> 提供的所有数据。此外，它还提供 VPS 的详细状态。请注意，此调用可能需要长达 15 秒才能完成。
根据虚拟化程序的不同，此调用将返回以下信息：

'''Returns [OVZ hypervisor] (OVZ 虚拟化返回值)'''：

'''vz_status''': 包含 OpenVZ beancounters、系统平均负载、进程数、打开的文件、套接字、内存使用情况等的数组

'''vz_quota''': 包含 OpenVZ 磁盘大小、inode 和使用情况信息的数组

'''is_cpu_throttled''': 0 = CPU 未被限制，1 = 由于高使用率 CPU 被限制。限制每 2 小时自动重置一次。

'''ssh_port''': VPS 的 SSH 端口

'''Returns [KVM hypervisor] (KVM 虚拟化返回值)'''：

'''ve_status''': Starting（启动中）、Running（运行中）或 Stopped（已停止）'''ve_mac1''': 主网络接口的 MAC 地址

'''ve_used_disk_space_b''': 已占用（映射）的磁盘空间（字节）

'''ve_disk_quota_gb''': 磁盘镜像的实际大小（GB）

'''is_cpu_throttled''': 0 = CPU 未被限制，1 = 由于高使用率 CPU 被限制。限制每 2 小时自动重置一次。

'''is_disk_throttled''': 0 = 磁盘 I/O 未被限制，1 = 由于高使用率磁盘 I/O 被限制。限制根据持续存储 I/O 利用率每 15-180 分钟自动重置一次。

'''ssh_port''': VPS 的 SSH 端口（仅当 VPS 运行时返回）

'''live_hostname''': 在 VPS 内部执行 "hostname" 命令的结果

'''load_average''': 原始平均负载字符串

'''mem_available_kb''': 可用内存量（KB）

'''swap_total_kb''': Swap 总量（KB）

'''swap_available_kb''': 可用 Swap 量（KB）

'''screendump_png_base64''': VGA 控制台的 base64 编码 png 截图
|
|-
|getAvailableOS
|
|获取可用操作系统
'''Returns (返回值)'''：

'''installed''': 当前安装的操作系统

'''templates''': 可用操作系统的数组
|
|-
|reinstallOS
|os
|重装操作系统。必须通过 <code>os</code> 变量指定操作系统。使用 <code>getAvailableOS</code> 调用获取可用系统列表。
'''Returns (返回值)'''：

'''rootPassword''': 新的 root 密码

'''sshPort''': SSH 端口

'''sshKeys''': 上传到 <code>/root/.ssh/authorized_keys</code> 的 SSH 密钥

'''sshKeysBrief''': SSH 密钥（视觉展示用的缩短版）

'''notificationEmail''': 完成时发送通知的电子邮件地址
|
|-
|updateSshKeys
|ssh_keys
|更新 Hypervisor 保管库中的每 VM SSH 密钥。这些密钥将在 <code>reinstallOS</code> 调用期间写入 <code>/root/.ssh/authorized_keys</code>。这些密钥将覆盖计费门户中设置的任何密钥。
|
|-
|getSshKeys
|
|获取存储在 Hypervisor 保管库以及计费门户中的 SSH 密钥。
'''Returns (返回值)'''：

'''ssh_keys_veid''': 存储在 Hypervisor 保管库中的每 VM SSH 密钥

'''ssh_keys_user''': 存储在计费门户中的每账户 SSH 密钥

'''ssh_keys_preferred''': 在 <code>reinstallOS</code> 调用期间实际使用的 SSH 密钥（每 VM 密钥将始终覆盖每账户密钥）

'''shortened_ssh_keys_veid''': 视觉缩短后的密钥

'''shortened_ssh_keys_user''': 视觉缩短后的密钥

'''shortened_ssh_keys_preferred''': 视觉缩短后的密钥
|
|-
|resetRootPassword
|
|生成并设置一个新的 root 密码。
'''Returns (返回值)'''：
'''password''': 新的 root 密码
|
|-
|getUsageGraphs
|
|已废弃，请改用 <code>getRawUsageStats</code>。
|
|-
|getRawUsageStats
|
|返回一个二维数组，包含 KiwiVM 中“Detailed Statistics（详细统计）”下显示的详细使用统计数据。
|
|-
|getAuditLog
|
|返回一个数组，包含 KiwiVM 中“Audit Log（审计日志）”下显示的详细审计日志。
|
|-
|setHostname
|newHostname
|设置新的主机名。
|
|-
|setPTR
|<code>ip</code>, <code>ptr</code>
|为 IP 设置新的 PTR (rDNS) 记录。
|
|-
|iso/mount
|iso
|设置要引导的 ISO 镜像。在此 API 调用后，VM 必须完全关机并重新启动。
|
|-
|'''iso/unmount'''
|
|移除 ISO 镜像并配置 VM 从主存储引导。在此 API 调用后，VM 必须完全关机并重新启动。
|
|-
|basicShell/cd
|<code>currentDir</code>, <code>newDir</code>
|模拟 VPS 内部的目录更改。可用于构建类似“Basic shell”的 shell。
'''Returns (返回值)'''：
'''pwd''': 更改后的 "pwd" 命令结果。
|
|-
|basicShell/exec
|command
|在 VPS 上执行 shell 命令（同步）。
'''Returns (返回值)'''：

'''error''': 已执行命令的退出状态代码

'''message''': 已执行命令的控制台输出
|
|-
|shellScript/exec
|script
|在 VPS 上执行 shell 脚本（异步）。
'''Returns (返回值)'''：

'''log''': 输出日志文件的名称。
|
|-
|snapshot/create
|<code>description</code> (可选)
|创建快照
'''Returns (返回值)'''：

'''notificationEmail''': 任务完成后将发送通知的文件中的电子邮件地址。
|
|-
|snapshot/list
|
|获取快照列表。
'''Returns (返回值)'''：

'''snapshots''': 快照数组（fileName, os, description, size, md5, sticky, purgesIn, downloadLink, downloadLinkSSL）。
|
|-
|snapshot/delete
|snapshot
|按文件名删除快照（可通过 <code>snapshot/list</code> 调用检索）。
|
|-
|snapshot/restore
|snapshot
|按文件名还原快照（可通过 <code>snapshot/list</code> 调用检索）。这将覆盖 VPS 上的所有数据。
|
|-
|snapshot/toggleSticky
|<code>snapshot</code>, <code>sticky</code>
|设置或移除 sticky 属性（“sticky”快照永远不会被清除）。快照名称可通过 <code>snapshot/list</code>
调用检索——查找 fileName 变量。设置 sticky = 1 以设置 sticky 属性设置 sticky = 0 以移除 sticky 属性
|
|-
|snapshot/export
|snapshot
|生成一个令牌 (token)，通过该令牌可以将快照传输到另一个实例。
|
|-
|snapshot/import
|<code>sourceVeid</code>, <code>sourceToken</code>
|从由 VEID 和 Token 标识的另一个实例导入快照。VEID 和 Token 必须事先通过 <code>snapshot/export</code> 调用从另一个实例获得。
|
|-
|backup/list
|
|获取自动备份列表。
'''Returns (返回值)'''：

'''backups''': 备份数组（backupToken, size, os, md5, timestamp）。
|
|-
|backup/copyToSnapshot
|backupToken
|将由 <code>backupToken</code>（由 <code>backup/list</code> 返回）标识的备份复制为可还原的快照。
|
|-
|ipv6/add
|
|分配一个新的 IPv6 /64 子网。
'''Returns (返回值)'''：'''assigned_subnet''': 新分配的 IPv6 /64 子网
|
|-
|ipv6/delete
|ip
|释放指定的 IPv6 /64 子网。
|
|-
|migrate/getLocations
|
|返回所有可能的迁移位置。
'''Returns (返回值)'''：'''currentLocation''': 当前位置的 ID

'''locations''': 可迁移到的位置 ID

'''descriptions''': 可用位置的友好描述

'''dataTransferMultipliers''': 某些位置可能提供更昂贵的带宽，其每月限额将更低。此数组包含每个位置的每月数据传输限额倍率。
|
|-
|migrate/start
|location
|启动 VPS 迁移到新位置。输入新位置 ID。请注意，这将导致所有 IPv4 地址被替换。
'''Returns (返回值)'''：

'''notificationEmail''': 任务完成后将发送通知的文件中的电子邮件地址。

'''newIps''': 分配给 VPS 的新 IP 地址数组。
|
|-
|cloneFromExternalServer
|<code>externalServerIP</code>, <code>externalServerSSHport</code>, <code>externalServerRootPassword</code>
|(仅限 OVZ) 克隆远程服务器或 VPS。请参阅“从另一台服务器迁移”以了解其工作原理的示例。
|
|-
|getSuspensionDetails
|
|检索与服务暂停相关的信息。
'''Returns (返回值)'''：'''suspension_count''': 本日历年内服务被暂停的次数

'''total_abuse_points''': 本日历年内累计的滥用积分总数'''max_abuse_points''': 套餐在本日历年内允许的最大滥用积分

'''suspensions''': 所有未解决问题的数组以及滥用的支持证据。参见下方示例。
'''evidence''': 投诉的全文或有关问题的更多详细信息

服务暂停时的示例输出:

[suspensions] => Array

(

[0] => stdClass Object

(

[record_id] => 11851 // Case ID, needed to unsuspend

// the service via "unsuspend" API call

[flag] => copyright // Type of abuse

[is_soft] => 1 // 0 = must contact support to unsuspend

// 1 = can unsuspend via API call

[evidence_record_id] => 2207 // Detailed abuse report ID (see below)

[abuse_points] => 100 // Each abuse incident increases total_abuse_points counter

)

)

[evidence] => stdClass Object

(

[2207] => "Full text of abuse complaint here"

)

[suspension_count] => 2

[total_abuse_points] => 200

[max_abuse_points] => 1500
|
|-
|getPolicyViolations
|
|检索与活动策略违规相关的信息。
'''Returns (返回值)'''：'''total_abuse_points''': 本日历年内累计的滥用积分总数

'''max_abuse_points''': 套餐在本日历年内允许的最大滥用积分'''policy_violations''': 所有未解决问题的数组以及滥用的支持证据。参见下方示例。

当存在活跃的策略违规时，

示例输出如下

[policy_violations] => Array

(

[0] => Array

(

[record_id] => 14 // Case ID, for resolvePolicyViolation

[timestamp] => 1571469818 // Unix timestamp when record was created

[suspend_at] => 1571599418 // Service will be suspended if not resolved by this time

[flag] => copyright // Type of abuse

[is_soft] => 1 // 0 = must contact support to unsuspend

// 1 = can unsuspend via API call

[abuse_points] => 100 // Each abuse incident increases total_abuse_points counter

[evidence_data] => // Details of violation (text)

)

)

[total_abuse_points] => 200

[max_abuse_points] => 1500

[error] => 0
|
|-
|unsuspend
|record_id
|清除由 <code>record_id</code> 标识的滥用问题并解封 VPS。详情请参阅 <code>getSuspensionDetails</code> 调用。
|
|-
|resolvePolicyViolation
|record_id
|将策略违规标记为已解决。这是避免服务暂停所必需的。详情请参阅 <code>getPolicyViolations</code> 调用。
|
|-
|getRateLimitStatus
|
|当您在短时间内执行过多的 API 调用时，KiwiVM API 可能会开始在几分钟内丢弃您的请求。此调用允许监控此事。
'''Returns (返回值)'''：

'''remaining_points_15min''': 当前 15 分钟间隔内可使用的“点数”'''remaining_points_24h''': 当前 24 小时间隔内可使用的“点数”
|
|-
|privateIp/getAvailableIps
|
|返回所有可用的（空闲）IPv4 地址，您可以在 VM 上激活这些地址
'''Returns (返回值)'''：
'''available_ips''': 可用私有 IP 地址的数组。
|
|-
|privateIp/assign
|<code>ip</code> (可选)
|分配私有 IP 地址。如果未指定 IP 地址，将分配一个随机地址。
'''Returns (返回值)'''：
'''assigned_ips''': 成功分配的私有 IP 地址数组
|
|-
|privateIp/delete
|ip
|删除私有 IP 地址。
|
|-
|kiwivm/getNotificationPreferences
|
|返回所有可用的通知设置及其状态
'''Returns (返回值)'''：'''email_preferences''': 可用通知及其状态的数组
'''notificationEmail''': 当前配置的发送通知的电子邮件地址
|
|-
|kiwivm/setNotificationPreferences
|<code>json_notification_preferences</code> (json 格式的数组, preference_id:0/1)
|更改通知首选项
'''Returns (返回值)'''：

'''submitted_email_preferences''': 已提交更改的数组'''updated_email_preferences''': 实际已更改的首选项数组'''friendly_descriptions''': 所有首选项的友好描述
|
|}

搬瓦工 VPS 遭遇 DDoS 攻击深度排障与自救手册

2026-01-25T10:18:18Z

EliToviyah：修复排版

面对搬瓦工 VPS 突然全网失联且无法 <code>Ping</code> 通的情况，需要结合实际运维经验，深入剖析 DDoS 攻击下的空路由（Nullrouted）触发机制，并建立一套从精准判定到彻底自救的实战方案。

== 一、为什么我的搬瓦工服务器会突然“消失”？ ==

搬瓦工绝大多数套餐方案在设计上更偏向于提供高性能的底层架构，而非自带硬件级 DDoS 防御。这意味着当特定 IP 遭遇大规模恶意请求时，机房会采取自动化保护措施以确保整体链路的稳定。

* 空路由（Nullrouted）机制：当流量超过阈值，系统会将指向该 IP 的所有数据包丢弃，形成所谓的“黑洞”。此时网站无法打开、<code>SSH</code> 无法登陆、<code>Ping</code> 测试也会完全失效。
*
* 1800 秒封禁周期：触发空路由后，默认的屏蔽时长通常为 <code>1800 秒</code>（30 分钟）。如果封禁解除后攻击仍在继续，屏蔽时间会循环延长，导致服务器反复失联。

== 二、如何确认自己的服务器正处于 DDoS 攻击中？ ==

在排查网络故障时，首先需要区分是软件配置错误还是受到了流量攻击。通过以下数据特征可以快速锁定故障性质。

'''1. 查看系统邮件通知''' 当 IP 触发空路由时，系统会自动向注册邮箱发送一封包含 <code>is currently under a (D)DoS attack</code> 的邮件，明确告知 IP 已被暂时屏蔽。

'''2. 分析流量特征曲线'''

在排查过程中，通过图形化的数据回馈能最直观地捕捉攻击痕迹。相比于命令行，KiwiVM 后台的统计图表能更清晰地展现出入站流量的异常脉络。

:* 进入路径：登录 <code>KiwiVM</code> 管理后台，在左侧 <code>Security & Records</code> 栏目下点击 <code>Detailed statistics</code> 页面。

:* 观察指标：在右侧详情页中，重点观察 <code>Network I/O (Bits per second)</code> 图表。

:* 黑洞特征判定：
::* 流量尖峰：如果图表中出现如绿色阴影所示的垂直状极高尖峰，说明该时段遭受了大规模入站流量冲击。

::* 断崖式归零：在尖峰之后，如果流量瞬间掉落并呈水平直线（接近 <code>0 bps</code>）持续延伸，说明 <code>IP</code> 已被系统自动放入黑洞（空路由）进行清洗。

[[File:kiwivm-detailed-statistics-ddos-traffic.png|thumb|center|800px|alt=KiwiVM 详细统计页面显示 DDoS 攻击导致的流量断崖|通过 <code>Detailed statistics</code> 中的流量断层判定 <code>IP</code> 是否被封禁]]

'''3. 状态矛盾核对''' 如果控制面板显示服务器状态为 Running 且未执行重装系统或主动关闭服务，但外部一切连接手段均失效，基本可以判定为遭受了 DDoS 攻击。

== 三、应急方案：利用 Cloudflare 建立前端防线 ==

由于搬瓦工普通套餐无法提供高防线路，利用 <code>Cloudflare</code> 的全球节点接住流量是目前成本最低且效果最好的自救方式。

'''1. 接入与隐藏逻辑'''

通过将域名 <code>DNS</code> 托管至 <code>Cloudflare</code> 并点亮橙色云朵图标（代理模式），访客的请求会先打到防护节点而非搬瓦工源站。这种方式能有效隐藏真实 IP，屏蔽掉大量的扫描与流量攻击。

'''2. 防护策略加固'''

* 开启攻击模式：在攻击期间开启 <code>Under Attack Mode</code>，强制访客进行 5 秒安全验证。
*
* 防火墙规则 (WAF)：在后台针对异常频率的请求或特定国家/地区设置拦截规则。
*
* 优化缓存设置：适当提高静态资源的缓存比例，减少回源请求，减轻服务器的 <code>CPU</code> 与网络压力。

== 四、利用快照功能实现数据迁移与 IP 更换 ==

如果攻击方持续对特定 IP 进行攻击，即使配置了 <code>Cloudflare</code>，旧 IP 一旦解封仍可能被再次打进黑洞。此时，利用快照功能进行业务迁移是更为彻底的办法。

'''数据迁移与环境恢复流程：'''

* 制作快照：在 KiwiVM 界面进入 <code>Snapshots</code> 页面，为当前受攻击的服务器做一个全量备份。
*
* 快照还原与迁移：利用'''搬瓦工的快照'''功能，可以新建一台同配置的 VPS 并还原该镜像。或者通过面板功能进行'''更换机房'''来获取全新的 IP 地址。
*
* 解析同步更新：在获取新 IP 后，只需在 <code>Cloudflare</code> 后台修改 <code>A 记录</code>，新 IP 会在几秒钟内生效，从而切断旧 IP 的受攻击链路。

== 五、遇DDoS自动断开网卡5分钟 ==
检测DDoS就自动断网5分钟

'''如果你的服务器只入不出的话..那么这个脚本就不适合你了'''

可修改的参数

<nowiki>#</nowiki> 1.触发检查的起步阈值 (MB/s) 这个可以填写你的最大带宽注意单位是MB

TRIGGER_LIMIT_MB=50

<nowiki>#</nowiki> 2.出站流量比例因子 (0.0 - 1.0)

如果流出的流量比进入的流量*设置的值(默认是0.4)就认为发生了ddos

如果你的服务器只入不出的话..那么这个脚本就不适合你了

如果 (出站 TX) < (入站 RX * 因子)，则判定为攻击。

SAFE_RATIO=0.4

<nowiki>#</nowiki> 3. 连续确认次数防止误报

MAX_RETRIES=3

<nowiki>#</nowiki> 4. 检查间隔 (秒)

CHECK_INTERVAL=2

<nowiki>#</nowiki> 5. 黑洞时长 (秒) - 300秒 = 5分钟断网时长..

BLACKHOLE_TIME=300

<nowiki>#</nowiki> 6. 安全模式 (true=只报警不操作, false=执行断网)

SAFE_MODE=false

<nowiki>#</nowiki> 7. 日志显示阈值 (MB/s) 只有高过这个阈值才有显示出来的文本就是一些流入和流出数据计算的值

LOG_LIMIT_MB=5

Bash脚本版本<syntaxhighlight lang="bash">
#!/bin/bash

# ================= 用户配置区域 =================

# 1. 触发检查的起步阈值 (MB/s)
TRIGGER_LIMIT_MB=50

# 2. 出站流量比例因子 (0.0 - 1.0)
# 如果 (出站 TX) < (入站 RX * 因子)，则判定为攻击。
SAFE_RATIO=0.4

# 3. 连续确认次数
MAX_RETRIES=3

# 4. 检查间隔 (秒)
CHECK_INTERVAL=2

# 5. 黑洞时长 (秒) - 300秒 = 5分钟
BLACKHOLE_TIME=300

# 6. 安全模式 (true=只报警不操作, false=执行断网)
SAFE_MODE=false

# 7. 日志显示阈值 (MB/s)
LOG_LIMIT_MB=5

# ===============================================

# 自动获取默认网卡
IFACE=$(ip route get 8.8.8.8 | awk '{print $5; exit}')
OVERLOAD_COUNT=0

# 颜色定义
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[0;33m'
NC='\033[0m'

echo -e "${GREEN}=== 智能流量保镖 v3.0 (黑洞版) 启动 ===${NC}"
echo "监控网卡: $IFACE"
echo "黑洞时长: $BLACKHOLE_TIME 秒"
echo "安全模式: $SAFE_MODE"
echo "========================================"

get_bytes() {
cat "/sys/class/net/$IFACE/statistics/$1"
}

# 初始化读数
PREV_RX=$(get_bytes "rx_bytes")
PREV_TX=$(get_bytes "tx_bytes")

while true; do
sleep $CHECK_INTERVAL

CURR_RX=$(get_bytes "rx_bytes")
CURR_TX=$(get_bytes "tx_bytes")

# 使用 awk 计算速度和逻辑
read RX_MB TX_MB IS_HIGH IS_ATTACK <<< $(awk -v r1=$PREV_RX -v r2=$CURR_RX \
-v t1=$PREV_TX -v t2=$CURR_TX \
-v time=$CHECK_INTERVAL \
-v limit=$TRIGGER_LIMIT_MB \
-v ratio=$SAFE_RATIO '
BEGIN {
delta_rx = r2 - r1
delta_tx = t2 - t1
# 防止负数 (重启网卡后可能发生)
if (delta_rx < 0) delta_rx = 0
if (delta_tx < 0) delta_tx = 0

rx_speed = delta_rx / 1024 / 1024 / time
tx_speed = delta_tx / 1024 / 1024 / time

is_high = (rx_speed > limit) ? 1 : 0
limit_tx = rx_speed * ratio
is_attack = (tx_speed < limit_tx) ? 1 : 0

printf "%.2f %.2f %d %d", rx_speed, tx_speed, is_high, is_attack
}')

# 更新上一轮数据
PREV_RX=$CURR_RX
PREV_TX=$CURR_TX

# 打印日志
RX_INT=${RX_MB%.*}
RX_INT=${RX_INT:-0}
if [ "$RX_INT" -ge "$LOG_LIMIT_MB" ]; then
echo "[$(date +%T)] RX: $RX_MB MB/s | TX: $TX_MB MB/s"
fi

# 核心判断逻辑
if [ "$IS_HIGH" -eq 1 ] && [ "$IS_ATTACK" -eq 1 ]; then
((OVERLOAD_COUNT++))
echo -e "${RED}[警报 $OVERLOAD_COUNT/$MAX_RETRIES] 流量异常 (RX高 TX低) 疑似攻击！${NC}"

if [ "$OVERLOAD_COUNT" -ge "$MAX_RETRIES" ]; then
echo -e "${RED}!!! 确认攻击，触发黑洞防御 !!!${NC}"

if [ "$SAFE_MODE" = true ]; then
echo -e "${YELLOW}[测试] 安全模式开启，不执行断网。${NC}"
OVERLOAD_COUNT=0
else
# === 执行黑洞 ===
echo -e "${RED}正在关闭网卡 [$IFACE]...${NC}"
ip link set dev "$IFACE" down

echo -e "${YELLOW}网卡已关闭，进入 $BLACKHOLE_TIME 秒静默期...${NC}"
sleep "$BLACKHOLE_TIME"

echo -e "${GREEN}黑洞结束，正在恢复网卡...${NC}"
ip link set dev "$IFACE" up

# 等待网络恢复
sleep 5

# === 关键：重置状态 ===
# 网卡重启后计数器会清零，必须重新获取基准值，否则下次计算会出错
PREV_RX=$(get_bytes "rx_bytes")
PREV_TX=$(get_bytes "tx_bytes")
OVERLOAD_COUNT=0
echo -e "${GREEN}监控已恢复。${NC}"
fi
fi
else
# 流量正常或恢复
if [ "$OVERLOAD_COUNT" -gt 0 ]; then
echo -e "${GREEN}流量特征恢复正常，警报解除。${NC}"
fi
OVERLOAD_COUNT=0
fi
done
</syntaxhighlight>'''bash版本使用'''

一、前置要求

* '''权限'''：必须以 '''Root''' 用户身份运行（脚本需要控制网卡开关）。
* '''依赖'''：脚本依赖 <code>ip</code> 和 <code>awk</code> 命令（BandwagonHost 的绝大多数系统已内置，无需额外安装）。

二、安装脚本

# '''创建存放目录（推荐）'''

<code>mkdir -p /root/scripts</code>

<code>nano /root/scripts/traffic_guard.sh</code>

# '''粘贴代码''' 将上方的脚本完整复制并粘贴进去，按 <code>Ctrl+O</code> 保存，<code>Ctrl+X</code> 退出。
# '''赋予执行权限''' <code>chmod +x /root/scripts/traffic_guard.sh</code>

三、运行方式

方式 A：Systemd 托管运行（推荐，生产环境标准）

这种方式可以实现'''开机自启'''，后台静默运行，且脚本意外退出会自动重启。

# '''创建服务文件''' <code>nano /etc/systemd/system/traffic_guard.service</code>
# '''填入以下内容'''<syntaxhighlight lang="bash">
[Unit]
Description=BandwagonHost Traffic Guard Service
After=network.target
[Service]
Type=simple
# 确保此处的路径与你实际保存的路径一致
ExecStart=/root/scripts/traffic_guard.sh
Restart=always
User=root

[Install]
WantedBy=multi-user.target
</syntaxhighlight>
# '''启动并设置开机自启'''
<nowiki>#</nowiki>重载配置文件

<code>systemctl daemon-reload</code>

<nowiki>#</nowiki>设置开机自动启动

<code>systemctl enable traffic_guard</code>

<nowiki>#</nowiki>运行此服务

<code>systemctl start traffic_guard</code>

'''4.查看运行日志'''

<nowiki/>#查看实时日志

<code>journalctl -u traffic_guard -f</code>

'''方式 B：临时运行（测试用）'''

如果你不想配置 Systemd，或者想在 SSH 窗口看着它 <code>/root/scripts/traffic_guard.sh</code>
go版本<syntaxhighlight lang="go">
package main

import (
"fmt"
"io/ioutil"
"log"
"os/exec"
"strconv"
"strings"
"time"
)

// ================= 配置区域 =================
const (
TriggerLimitMB = 50.0 // 入站流量触发阈值 (MB/s)
SafeRatio = 0.4 // 出站/入站最小安全比例
MaxRetries = 3 // 连续确认次数
CheckInterval = 2 // 检查间隔 (秒)
BlackholeTime = 300 // 黑洞时长 (秒)
LogLimitMB = 5.0 // 日志打印阈值
SafeMode = false // true=仅打印, false=执行操作
)

// ===========================================

var overloadCount = 0

func main() {
// 自动获取默认网卡
iface, err := getDefaultInterface()
if err != nil {
log.Fatalf("无法获取网卡: %v", err)
}

fmt.Printf("=== Go流量保镖启动 | 网卡: %s | 阈值: %.0fMB/s ===\n", iface, TriggerLimitMB)

// 初始化读取
prevRx, prevTx := getBytes(iface)

for {
time.Sleep(time.Duration(CheckInterval) * time.Second)

currRx, currTx := getBytes(iface)

// 计算速度 (MB/s)
rxSpeed := float64(currRx-prevRx) / 1024 / 1024 / float64(CheckInterval)
txSpeed := float64(currTx-prevTx) / 1024 / 1024 / float64(CheckInterval)

// 防止负数（网卡重置后可能出现）
if rxSpeed < 0 { rxSpeed = 0 }
if txSpeed < 0 { txSpeed = 0 }

// 更新基准
prevRx = currRx
prevTx = currTx

// 日志输出
if rxSpeed > LogLimitMB {
log.Printf("[流量] RX: %.2f MB/s | TX: %.2f MB/s\n", rxSpeed, txSpeed)
}

// 判断逻辑
isHighTraffic := rxSpeed > TriggerLimitMB
isAttackPattern := txSpeed < (rxSpeed * SafeRatio)

if isHighTraffic && isAttackPattern {
overloadCount++
fmt.Printf("\033[31m[警报 %d/%d] 异常流量检测! RX: %.2f, TX: %.2f\033[0m\n", overloadCount, MaxRetries, rxSpeed, txSpeed)

if overloadCount >= MaxRetries {
triggerBlackhole(iface)
// 黑洞结束后，重置计数器和基准值
overloadCount = 0
prevRx, prevTx = getBytes(iface)
}
} else {
if overloadCount > 0 {
fmt.Println("\033[32m流量恢复正常，警报解除。\033[0m")
}
overloadCount = 0
}
}
}

// 执行黑洞逻辑
func triggerBlackhole(iface string) {
fmt.Println("\033[31m!!! 确认攻击，正在执行黑洞防御 !!!\033[0m")

if SafeMode {
fmt.Println("[安全模式] 模拟执行：关闭网卡...")
time.Sleep(2 * time.Second)
fmt.Println("[安全模式] 模拟执行：开启网卡...")
return
}

// 关闭网卡
log.Printf("正在关闭网卡 %s ...", iface)
if err := exec.Command("ip", "link", "set", "dev", iface, "down").Run(); err != nil {
log.Printf("关闭网卡失败: %v", err)
return
}

log.Printf("网卡已关闭，等待 %d 秒...", BlackholeTime)
time.Sleep(time.Duration(BlackholeTime) * time.Second)

// 开启网卡
log.Printf("正在恢复网卡 %s ...", iface)
if err := exec.Command("ip", "link", "set", "dev", iface, "up").Run(); err != nil {
log.Printf("CRITICAL: 恢复网卡失败，请手动处理! Error: %v", err)
return
}

// 给一点时间让网络重新协商
time.Sleep(5 * time.Second)
log.Println("网络已恢复，重新开始监控。")
}

// 读取系统文件获取流量字节
func getBytes(iface string) (uint64, uint64) {
rxPath := fmt.Sprintf("/sys/class/net/%s/statistics/rx_bytes", iface)
txPath := fmt.Sprintf("/sys/class/net/%s/statistics/tx_bytes", iface)

rx, _ := readUint64(rxPath)
tx, _ := readUint64(txPath)
return rx, tx
}

func readUint64(path string) (uint64, error) {
data, err := ioutil.ReadFile(path)
if err != nil {
return 0, err
}
return strconv.ParseUint(strings.TrimSpace(string(data)), 10, 64)
}

// 简单的获取默认网卡方法
func getDefaultInterface() (string, error) {
out, err := exec.Command("sh", "-c", "ip route get 8.8.8.8 | awk '{print $5; exit}'").Output()
if err != nil {
return "", err
}
return strings.TrimSpace(string(out)), nil
}
</syntaxhighlight>'''一、环境准备'''
在编译运行之前，你需要先在 VPS 上安装 Go 语言环境。
'''Debian / Ubuntu:'''

<code>apt update && apt install golang -y</code>

'''CentOS / AlmaLinux:'''

<code>yum install golang -y</code>

验证安装是否成功：

go version

输出类似 go version go1.x.x linux/amd64 即为成功

'''二、编译与安装'''

# '''创建文件''' 创建一个名为 <code>traffic_guard.go</code> 的文件，并将上方的代码完整粘贴进去。Bash <code>nano traffic_guard.go</code> ''(粘贴代码后，按 <code>Ctrl+O</code> 保存，<code>Ctrl+X</code> 退出)''
# '''修改配置（可选）''' 代码顶部的 <code>const</code> 区域是配置项。
#* <code>TriggerLimitMB</code>: 触发阈值（默认 50MB/s）。
#* <code>SafeMode</code>: 如果设为 <code>true</code>，只会报警不会真断网（适合测试）。
# '''编译生成可执行文件''' <code>go build -o traffic_guard traffic_guard.go</code> ''此时你会发现当前目录下多了一个名为 <code>traffic_guard</code> 的可执行文件。''
# '''赋予权限并移动''' <code>chmod +x traffic_guard mv traffic_guard /root/traffic_guard</code>

'''三、运行方式'''

'''方式 A：Systemd 托管运行（强烈推荐）'''

这是最稳健的方式，支持开机自启和进程守护。

# '''创建服务文件''' <code>nano /etc/systemd/system/traffic_guard.service</code>
# '''填入以下内容'''
<syntaxhighlight lang="bash">
[Unit]
Description=BandwagonHost Traffic Guard (Go Version)
After=network.target

[Service]
Type=simple
# 确保这里的路径是你实际存放二进制文件的路径
ExecStart=/root/traffic_guard
Restart=always
User=root

[Install]
WantedBy=multi-user.target
</syntaxhighlight>3.'''启动并设置开机自启'''

<nowiki>#</nowiki>重载配置文件

<code>systemctl daemon-reload</code>

<nowiki>#</nowiki>设置开机自动启动

<code>systemctl enable traffic_guard</code>

<nowiki>#</nowiki>运行此服务

<code>systemctl start traffic_guard</code>

'''4.查看状态与日志'''

<nowiki>#</nowiki>查看运行状态

<code>systemctl status traffic_guard</code>

<nowiki>#</nowiki>查看实时日志

<code>journalctl -u traffic_guard -f</code>

'''方式 B：临时测试运行'''

如果你只是想看看它能不能正常工作：

<code>./traffic_guard</code>

''(注意：必须以 Root 身份运行，否则无法控制网卡)''

💡 '''常见问题 (FAQ)'''
* '''Q: 编译时报错 <code>command not found</code> 怎么办？'''
** '''A:''' 说明 Go 环境没装好，请重新执行 <code>apt install golang</code>。如果 VPS 系统太老源里没有 Go，建议使用 Bash 版本脚本。
* '''Q: 程序报错 <code>panic: 无法获取网卡</code>？'''
** '''A:''' 程序会自动尝试检测默认网卡。如果检测失败，请检查你的 VPS 是否有特殊的网络配置，或者尝试手动修改代码中的 <code>getDefaultInterface</code> 函数，直接返回字符串 <code>"eth0"</code>。
**

'''关键配置说明'''

* '''如何测试脚本是否有效？''' 建议将脚本中的 <code>SAFE_MODE=false</code> 改为 <code>SAFE_MODE=true</code>。这样当流量超标时，脚本只会输出红色警报文字，而不会真的断网。确认触发逻辑正常后，再改回 <code>false</code> 。
* '''触发黑洞断网后，我会彻底失联吗？''' 不会。黑洞防御只是暂时关闭网卡，您可以通过以下三种方式恢复：
** '''方法 1：等待自动恢复''' 耐心等待 <code>BLACKHOLE_TIME</code>（默认 300秒/5分钟）结束，脚本会自动重新开启网卡，无需任何操作。
** '''方法 2：通过 KiwiVM VNC 恢复''' 登录 KiwiVM 面板，打开 '''VNC Console'''（类似于物理显示器，不受网卡关闭影响）。在 VNC 窗口中按 <code>Ctrl+C</code> 终止脚本，然后输入 <code>ip link set dev eth0 up</code> 手动恢复网络。
** '''方法 3：重启服务器''' 如果以上方法您都不会操作，可以直接在 KiwiVM 面板点击 '''Reset''' 或 '''Force Stop''' 后再 '''Start''' 重启服务器。重启后网卡会默认恢复连通状态。（注意：这会导致您未保存的数据丢失或服务短暂中断）。

== 六、长期预案：建立高可用的 VPS 使用环境 ==

防御 DDoS 攻击是一项长期工作。通过完善的预案体系和日常的加固措施，可以将潜在的停机风险降到最低。

'''安全预防建议：'''

* 双机备份方案：建议准备一台速度快的线路（如香港CN2 GIA 或日本东京CN2 GIA）作为直连主力机，同时准备一台便宜的KVM常规套餐作为备份服务器。一旦主力机被黑洞，立即切换解析到备份机并开启 <code>Cloudflare</code> 防御。
*
* 系统加固与监控：日常运维中应当修改SSH端口，定期通过 <code>Audit Log</code> 观察异常操作，并确保开启了'''搬瓦工自动备份'''功能以应对极端情况。
*
* 资源合理分配：若业务量增长明显，建议及时'''升级套餐'''。如果 IP 已被打残无法解封，可咨询'''搬瓦工客服'''关于'''购买IP'''的具体事宜或申请退款。

'''注意事项'''

* 当 IP 处于空路由状态时，所有的 <code>SSH</code> 工具（如 <code>Xshell</code>、<code>Xftp</code>）均无法连接，请耐心等待 1800 秒解封。
*
* 若服务器因 CPU 占用过高被暂停（Suspended），处理流程会有所不同。请务必确认失联原因属于流量攻击而非资源超载。

[[index.php?title=Category:400 常见问题与故障排查 — Troubleshooting]]

搬瓦工 VPS 遭遇 DDoS 攻击深度排障与自救手册

2026-01-25T10:13:06Z

EliToviyah：增加一个自动黑洞5分钟的脚本

面对搬瓦工 VPS 突然全网失联且无法 <code>Ping</code> 通的情况，需要结合实际运维经验，深入剖析 DDoS 攻击下的空路由（Nullrouted）触发机制，并建立一套从精准判定到彻底自救的实战方案。

== 一、为什么我的搬瓦工服务器会突然“消失”？ ==

搬瓦工绝大多数套餐方案在设计上更偏向于提供高性能的底层架构，而非自带硬件级 DDoS 防御。这意味着当特定 IP 遭遇大规模恶意请求时，机房会采取自动化保护措施以确保整体链路的稳定。

* 空路由（Nullrouted）机制：当流量超过阈值，系统会将指向该 IP 的所有数据包丢弃，形成所谓的“黑洞”。此时网站无法打开、<code>SSH</code> 无法登陆、<code>Ping</code> 测试也会完全失效。
*
* 1800 秒封禁周期：触发空路由后，默认的屏蔽时长通常为 <code>1800 秒</code>（30 分钟）。如果封禁解除后攻击仍在继续，屏蔽时间会循环延长，导致服务器反复失联。

== 二、如何确认自己的服务器正处于 DDoS 攻击中？ ==

在排查网络故障时，首先需要区分是软件配置错误还是受到了流量攻击。通过以下数据特征可以快速锁定故障性质。

'''1. 查看系统邮件通知''' 当 IP 触发空路由时，系统会自动向注册邮箱发送一封包含 <code>is currently under a (D)DoS attack</code> 的邮件，明确告知 IP 已被暂时屏蔽。

'''2. 分析流量特征曲线'''

在排查过程中，通过图形化的数据回馈能最直观地捕捉攻击痕迹。相比于命令行，KiwiVM 后台的统计图表能更清晰地展现出入站流量的异常脉络。

:* 进入路径：登录 <code>KiwiVM</code> 管理后台，在左侧 <code>Security & Records</code> 栏目下点击 <code>Detailed statistics</code> 页面。

:* 观察指标：在右侧详情页中，重点观察 <code>Network I/O (Bits per second)</code> 图表。

:* 黑洞特征判定：
::* 流量尖峰：如果图表中出现如绿色阴影所示的垂直状极高尖峰，说明该时段遭受了大规模入站流量冲击。

::* 断崖式归零：在尖峰之后，如果流量瞬间掉落并呈水平直线（接近 <code>0 bps</code>）持续延伸，说明 <code>IP</code> 已被系统自动放入黑洞（空路由）进行清洗。

[[File:kiwivm-detailed-statistics-ddos-traffic.png|thumb|center|800px|alt=KiwiVM 详细统计页面显示 DDoS 攻击导致的流量断崖|通过 <code>Detailed statistics</code> 中的流量断层判定 <code>IP</code> 是否被封禁]]

'''3. 状态矛盾核对''' 如果控制面板显示服务器状态为 Running 且未执行重装系统或主动关闭服务，但外部一切连接手段均失效，基本可以判定为遭受了 DDoS 攻击。

== 三、应急方案：利用 Cloudflare 建立前端防线 ==

由于搬瓦工普通套餐无法提供高防线路，利用 <code>Cloudflare</code> 的全球节点接住流量是目前成本最低且效果最好的自救方式。

'''1. 接入与隐藏逻辑'''

通过将域名 <code>DNS</code> 托管至 <code>Cloudflare</code> 并点亮橙色云朵图标（代理模式），访客的请求会先打到防护节点而非搬瓦工源站。这种方式能有效隐藏真实 IP，屏蔽掉大量的扫描与流量攻击。

'''2. 防护策略加固'''

* 开启攻击模式：在攻击期间开启 <code>Under Attack Mode</code>，强制访客进行 5 秒安全验证。
*
* 防火墙规则 (WAF)：在后台针对异常频率的请求或特定国家/地区设置拦截规则。
*
* 优化缓存设置：适当提高静态资源的缓存比例，减少回源请求，减轻服务器的 <code>CPU</code> 与网络压力。

== 四、利用快照功能实现数据迁移与 IP 更换 ==

如果攻击方持续对特定 IP 进行攻击，即使配置了 <code>Cloudflare</code>，旧 IP 一旦解封仍可能被再次打进黑洞。此时，利用快照功能进行业务迁移是更为彻底的办法。

'''数据迁移与环境恢复流程：'''

* 制作快照：在 KiwiVM 界面进入 <code>Snapshots</code> 页面，为当前受攻击的服务器做一个全量备份。
*
* 快照还原与迁移：利用'''搬瓦工的快照'''功能，可以新建一台同配置的 VPS 并还原该镜像。或者通过面板功能进行'''更换机房'''来获取全新的 IP 地址。
*
* 解析同步更新：在获取新 IP 后，只需在 <code>Cloudflare</code> 后台修改 <code>A 记录</code>，新 IP 会在几秒钟内生效，从而切断旧 IP 的受攻击链路。

== 五、遇DDoS自动断开网卡5分钟 ==
检测DDoS就自动断网5分钟

'''如果你的服务器只入不出的话..那么这个脚本就不适合你了'''

可修改的参数

<nowiki>#</nowiki> 1.触发检查的起步阈值 (MB/s) 这个可以填写你的最大带宽注意单位是MB

TRIGGER_LIMIT_MB=50

<nowiki>#</nowiki> 2.出站流量比例因子 (0.0 - 1.0)

如果流出的流量比进入的流量*设置的值(默认是0.4)就认为发生了ddos

如果你的服务器只入不出的话..那么这个脚本就不适合你了

如果 (出站 TX) < (入站 RX * 因子)，则判定为攻击。

SAFE_RATIO=0.4

<nowiki>#</nowiki> 3. 连续确认次数防止误报

MAX_RETRIES=3

<nowiki>#</nowiki> 4. 检查间隔 (秒)

CHECK_INTERVAL=2

<nowiki>#</nowiki> 5. 黑洞时长 (秒) - 300秒 = 5分钟断网时长..

BLACKHOLE_TIME=300

<nowiki>#</nowiki> 6. 安全模式 (true=只报警不操作, false=执行断网)

SAFE_MODE=false

<nowiki>#</nowiki> 7. 日志显示阈值 (MB/s) 只有高过这个阈值才有显示出来的文本就是一些流入和流出数据计算的值

LOG_LIMIT_MB=5

Bash脚本版本<syntaxhighlight lang="bash">
#!/bin/bash

# ================= 用户配置区域 =================

# 1. 触发检查的起步阈值 (MB/s)
TRIGGER_LIMIT_MB=50

# 2. 出站流量比例因子 (0.0 - 1.0)
# 如果 (出站 TX) < (入站 RX * 因子)，则判定为攻击。
SAFE_RATIO=0.4

# 3. 连续确认次数
MAX_RETRIES=3

# 4. 检查间隔 (秒)
CHECK_INTERVAL=2

# 5. 黑洞时长 (秒) - 300秒 = 5分钟
BLACKHOLE_TIME=300

# 6. 安全模式 (true=只报警不操作, false=执行断网)
SAFE_MODE=false

# 7. 日志显示阈值 (MB/s)
LOG_LIMIT_MB=5

# ===============================================

# 自动获取默认网卡
IFACE=$(ip route get 8.8.8.8 | awk '{print $5; exit}')
OVERLOAD_COUNT=0

# 颜色定义
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[0;33m'
NC='\033[0m'

echo -e "${GREEN}=== 智能流量保镖 v3.0 (黑洞版) 启动 ===${NC}"
echo "监控网卡: $IFACE"
echo "黑洞时长: $BLACKHOLE_TIME 秒"
echo "安全模式: $SAFE_MODE"
echo "========================================"

get_bytes() {
cat "/sys/class/net/$IFACE/statistics/$1"
}

# 初始化读数
PREV_RX=$(get_bytes "rx_bytes")
PREV_TX=$(get_bytes "tx_bytes")

while true; do
sleep $CHECK_INTERVAL

CURR_RX=$(get_bytes "rx_bytes")
CURR_TX=$(get_bytes "tx_bytes")

# 使用 awk 计算速度和逻辑
read RX_MB TX_MB IS_HIGH IS_ATTACK <<< $(awk -v r1=$PREV_RX -v r2=$CURR_RX \
-v t1=$PREV_TX -v t2=$CURR_TX \
-v time=$CHECK_INTERVAL \
-v limit=$TRIGGER_LIMIT_MB \
-v ratio=$SAFE_RATIO '
BEGIN {
delta_rx = r2 - r1
delta_tx = t2 - t1
# 防止负数 (重启网卡后可能发生)
if (delta_rx < 0) delta_rx = 0
if (delta_tx < 0) delta_tx = 0

rx_speed = delta_rx / 1024 / 1024 / time
tx_speed = delta_tx / 1024 / 1024 / time

is_high = (rx_speed > limit) ? 1 : 0
limit_tx = rx_speed * ratio
is_attack = (tx_speed < limit_tx) ? 1 : 0

printf "%.2f %.2f %d %d", rx_speed, tx_speed, is_high, is_attack
}')

# 更新上一轮数据
PREV_RX=$CURR_RX
PREV_TX=$CURR_TX

# 打印日志
RX_INT=${RX_MB%.*}
RX_INT=${RX_INT:-0}
if [ "$RX_INT" -ge "$LOG_LIMIT_MB" ]; then
echo "[$(date +%T)] RX: $RX_MB MB/s | TX: $TX_MB MB/s"
fi

# 核心判断逻辑
if [ "$IS_HIGH" -eq 1 ] && [ "$IS_ATTACK" -eq 1 ]; then
((OVERLOAD_COUNT++))
echo -e "${RED}[警报 $OVERLOAD_COUNT/$MAX_RETRIES] 流量异常 (RX高 TX低) 疑似攻击！${NC}"

if [ "$OVERLOAD_COUNT" -ge "$MAX_RETRIES" ]; then
echo -e "${RED}!!! 确认攻击，触发黑洞防御 !!!${NC}"

if [ "$SAFE_MODE" = true ]; then
echo -e "${YELLOW}[测试] 安全模式开启，不执行断网。${NC}"
OVERLOAD_COUNT=0
else
# === 执行黑洞 ===
echo -e "${RED}正在关闭网卡 [$IFACE]...${NC}"
ip link set dev "$IFACE" down

echo -e "${YELLOW}网卡已关闭，进入 $BLACKHOLE_TIME 秒静默期...${NC}"
sleep "$BLACKHOLE_TIME"

echo -e "${GREEN}黑洞结束，正在恢复网卡...${NC}"
ip link set dev "$IFACE" up

# 等待网络恢复
sleep 5

# === 关键：重置状态 ===
# 网卡重启后计数器会清零，必须重新获取基准值，否则下次计算会出错
PREV_RX=$(get_bytes "rx_bytes")
PREV_TX=$(get_bytes "tx_bytes")
OVERLOAD_COUNT=0
echo -e "${GREEN}监控已恢复。${NC}"
fi
fi
else
# 流量正常或恢复
if [ "$OVERLOAD_COUNT" -gt 0 ]; then
echo -e "${GREEN}流量特征恢复正常，警报解除。${NC}"
fi
OVERLOAD_COUNT=0
fi
done
</syntaxhighlight>'''bash版本使用'''

一、前置要求

* '''权限'''：必须以 '''Root''' 用户身份运行（脚本需要控制网卡开关）。
* '''依赖'''：脚本依赖 <code>ip</code> 和 <code>awk</code> 命令（BandwagonHost 的绝大多数系统已内置，无需额外安装）。

二、安装脚本

# '''创建存放目录（推荐）'''

<code>mkdir -p /root/scripts</code>

<code>nano /root/scripts/traffic_guard.sh</code>

# '''粘贴代码''' 将上方的脚本完整复制并粘贴进去，按 <code>Ctrl+O</code> 保存，<code>Ctrl+X</code> 退出。
# '''赋予执行权限''' <code>chmod +x /root/scripts/traffic_guard.sh</code>

三、运行方式

方式 A：Systemd 托管运行（推荐，生产环境标准）

这种方式可以实现'''开机自启'''，后台静默运行，且脚本意外退出会自动重启。

# '''创建服务文件''' <code>nano /etc/systemd/system/traffic_guard.service</code>
# '''填入以下内容'''<syntaxhighlight lang="bash">
[Unit] Description=BandwagonHost Traffic Guard Service After=network.target

[Service] Type=simple

# 确保此处的路径与你实际保存的路径一致

ExecStart=/root/scripts/traffic_guard.sh Restart=always User=root

[Install] WantedBy=multi-user.target
</syntaxhighlight>
# '''启动并设置开机自启''' #重载配置文件

<code>systemctl daemon-reload</code>

<nowiki>#</nowiki>设置开机自动启动 <code>systemctl enable traffic_guard</code>

<nowiki>#</nowiki>运行此服务 <code>systemctl start traffic_guard</code>

'''查看运行日志'''

<code># 查看实时日志</code>

<code>journalctl -u traffic_guard -f</code>

方式 B：临时运行（测试用）

如果你不想配置 Systemd，或者想在 SSH 窗口看着它 <code>/root/scripts/traffic_guard.sh</code>

go版本<syntaxhighlight lang="go">
package main

import (
"fmt"
"io/ioutil"
"log"
"os/exec"
"strconv"
"strings"
"time"
)

// ================= 配置区域 =================
const (
TriggerLimitMB = 50.0 // 入站流量触发阈值 (MB/s)
SafeRatio = 0.4 // 出站/入站最小安全比例
MaxRetries = 3 // 连续确认次数
CheckInterval = 2 // 检查间隔 (秒)
BlackholeTime = 300 // 黑洞时长 (秒)
LogLimitMB = 5.0 // 日志打印阈值
SafeMode = false // true=仅打印, false=执行操作
)

// ===========================================

var overloadCount = 0

func main() {
// 自动获取默认网卡
iface, err := getDefaultInterface()
if err != nil {
log.Fatalf("无法获取网卡: %v", err)
}

fmt.Printf("=== Go流量保镖启动 | 网卡: %s | 阈值: %.0fMB/s ===\n", iface, TriggerLimitMB)

// 初始化读取
prevRx, prevTx := getBytes(iface)

for {
time.Sleep(time.Duration(CheckInterval) * time.Second)

currRx, currTx := getBytes(iface)

// 计算速度 (MB/s)
rxSpeed := float64(currRx-prevRx) / 1024 / 1024 / float64(CheckInterval)
txSpeed := float64(currTx-prevTx) / 1024 / 1024 / float64(CheckInterval)

// 防止负数（网卡重置后可能出现）
if rxSpeed < 0 { rxSpeed = 0 }
if txSpeed < 0 { txSpeed = 0 }

// 更新基准
prevRx = currRx
prevTx = currTx

// 日志输出
if rxSpeed > LogLimitMB {
log.Printf("[流量] RX: %.2f MB/s | TX: %.2f MB/s\n", rxSpeed, txSpeed)
}

// 判断逻辑
isHighTraffic := rxSpeed > TriggerLimitMB
isAttackPattern := txSpeed < (rxSpeed * SafeRatio)

if isHighTraffic && isAttackPattern {
overloadCount++
fmt.Printf("\033[31m[警报 %d/%d] 异常流量检测! RX: %.2f, TX: %.2f\033[0m\n", overloadCount, MaxRetries, rxSpeed, txSpeed)

if overloadCount >= MaxRetries {
triggerBlackhole(iface)
// 黑洞结束后，重置计数器和基准值
overloadCount = 0
prevRx, prevTx = getBytes(iface)
}
} else {
if overloadCount > 0 {
fmt.Println("\033[32m流量恢复正常，警报解除。\033[0m")
}
overloadCount = 0
}
}
}

// 执行黑洞逻辑
func triggerBlackhole(iface string) {
fmt.Println("\033[31m!!! 确认攻击，正在执行黑洞防御 !!!\033[0m")

if SafeMode {
fmt.Println("[安全模式] 模拟执行：关闭网卡...")
time.Sleep(2 * time.Second)
fmt.Println("[安全模式] 模拟执行：开启网卡...")
return
}

// 关闭网卡
log.Printf("正在关闭网卡 %s ...", iface)
if err := exec.Command("ip", "link", "set", "dev", iface, "down").Run(); err != nil {
log.Printf("关闭网卡失败: %v", err)
return
}

log.Printf("网卡已关闭，等待 %d 秒...", BlackholeTime)
time.Sleep(time.Duration(BlackholeTime) * time.Second)

// 开启网卡
log.Printf("正在恢复网卡 %s ...", iface)
if err := exec.Command("ip", "link", "set", "dev", iface, "up").Run(); err != nil {
log.Printf("CRITICAL: 恢复网卡失败，请手动处理! Error: %v", err)
return
}

// 给一点时间让网络重新协商
time.Sleep(5 * time.Second)
log.Println("网络已恢复，重新开始监控。")
}

// 读取系统文件获取流量字节
func getBytes(iface string) (uint64, uint64) {
rxPath := fmt.Sprintf("/sys/class/net/%s/statistics/rx_bytes", iface)
txPath := fmt.Sprintf("/sys/class/net/%s/statistics/tx_bytes", iface)

rx, _ := readUint64(rxPath)
tx, _ := readUint64(txPath)
return rx, tx
}

func readUint64(path string) (uint64, error) {
data, err := ioutil.ReadFile(path)
if err != nil {
return 0, err
}
return strconv.ParseUint(strings.TrimSpace(string(data)), 10, 64)
}

// 简单的获取默认网卡方法
func getDefaultInterface() (string, error) {
out, err := exec.Command("sh", "-c", "ip route get 8.8.8.8 | awk '{print $5; exit}'").Output()
if err != nil {
return "", err
}
return strings.TrimSpace(string(out)), nil
}
</syntaxhighlight>'''一、环境准备'''
在编译运行之前，你需要先在 VPS 上安装 Go 语言环境。
'''Debian / Ubuntu:'''

<code>apt update && apt install golang -y</code>

'''CentOS / AlmaLinux:'''

<code>yum install golang -y</code>

验证安装是否成功：

go version

输出类似 go version go1.x.x linux/amd64 即为成功

'''二、编译与安装'''

# '''创建文件''' 创建一个名为 <code>traffic_guard.go</code> 的文件，并将上方的代码完整粘贴进去。Bash <code>nano traffic_guard.go</code> ''(粘贴代码后，按 <code>Ctrl+O</code> 保存，<code>Ctrl+X</code> 退出)''
# '''修改配置（可选）''' 代码顶部的 <code>const</code> 区域是配置项。
#* <code>TriggerLimitMB</code>: 触发阈值（默认 50MB/s）。
#* <code>SafeMode</code>: 如果设为 <code>true</code>，只会报警不会真断网（适合测试）。
# '''编译生成可执行文件''' <code>go build -o traffic_guard traffic_guard.go</code> ''此时你会发现当前目录下多了一个名为 <code>traffic_guard</code> 的可执行文件。''
# '''赋予权限并移动''' <code>chmod +x traffic_guard mv traffic_guard /root/traffic_guard</code>

'''三、运行方式'''

方式 A：Systemd 托管运行（强烈推荐）

这是最稳健的方式，支持开机自启和进程守护。

# '''创建服务文件''' <code>nano /etc/systemd/system/traffic_guard.service</code>
# '''填入以下内容'''
<syntaxhighlight lang="bash">
[Unit]
Description=BandwagonHost Traffic Guard (Go Version)
After=network.target

[Service]
Type=simple
# 确保这里的路径是你实际存放二进制文件的路径
ExecStart=/root/traffic_guard
Restart=always
User=root

[Install]
WantedBy=multi-user.target
</syntaxhighlight>3.'''启动并设置开机自启'''

<nowiki>#</nowiki>重载配置文件

<code>systemctl daemon-reload</code>

<nowiki>#</nowiki>设置开机自动启动

<code>systemctl enable traffic_guard</code>

<nowiki>#</nowiki>运行此服务

<code>systemctl start traffic_guard</code>

'''4.查看状态与日志'''

<nowiki>#</nowiki>查看运行状态

<code>systemctl status traffic_guard</code>

<nowiki>#</nowiki>查看实时日志

<code>journalctl -u traffic_guard -f</code>

=== 方式 B：临时测试运行 ===
如果你只是想看看它能不能正常工作：

<code>./traffic_guard</code>

''(注意：必须以 Root 身份运行，否则无法控制网卡)''

=== 💡 常见问题 (FAQ) ===

* '''Q: 编译时报错 <code>command not found</code> 怎么办？'''
** '''A:''' 说明 Go 环境没装好，请重新执行 <code>apt install golang</code>。如果 VPS 系统太老源里没有 Go，建议使用 Bash 版本脚本。
* '''Q: 程序报错 <code>panic: 无法获取网卡</code>？'''
** '''A:''' 程序会自动尝试检测默认网卡。如果检测失败，请检查你的 VPS 是否有特殊的网络配置，或者尝试手动修改代码中的 <code>getDefaultInterface</code> 函数，直接返回字符串 <code>"eth0"</code>。
**

'''关键配置说明'''

* '''如何测试脚本是否有效？''' 建议将脚本中的 <code>SAFE_MODE=false</code> 改为 <code>SAFE_MODE=true</code>。这样当流量超标时，脚本只会输出红色警报文字，而不会真的断网。确认触发逻辑正常后，再改回 <code>false</code> 。
* '''触发黑洞断网后，我会彻底失联吗？''' 不会。黑洞防御只是暂时关闭网卡，您可以通过以下三种方式恢复：
** '''方法 1：等待自动恢复''' 耐心等待 <code>BLACKHOLE_TIME</code>（默认 300秒/5分钟）结束，脚本会自动重新开启网卡，无需任何操作。
** '''方法 2：通过 KiwiVM VNC 恢复''' 登录 KiwiVM 面板，打开 '''VNC Console'''（类似于物理显示器，不受网卡关闭影响）。在 VNC 窗口中按 <code>Ctrl+C</code> 终止脚本，然后输入 <code>ip link set dev eth0 up</code> 手动恢复网络。
** '''方法 3：重启服务器''' 如果以上方法您都不会操作，可以直接在 KiwiVM 面板点击 '''Reset''' 或 '''Force Stop''' 后再 '''Start''' 重启服务器。重启后网卡会默认恢复连通状态。（注意：这会导致您未保存的数据丢失或服务短暂中断）。

== 六、长期预案：建立高可用的 VPS 使用环境 ==

防御 DDoS 攻击是一项长期工作。通过完善的预案体系和日常的加固措施，可以将潜在的停机风险降到最低。

'''安全预防建议：'''

* 双机备份方案：建议准备一台速度快的线路（如香港CN2 GIA 或日本东京CN2 GIA）作为直连主力机，同时准备一台便宜的KVM常规套餐作为备份服务器。一旦主力机被黑洞，立即切换解析到备份机并开启 <code>Cloudflare</code> 防御。
*
* 系统加固与监控：日常运维中应当修改SSH端口，定期通过 <code>Audit Log</code> 观察异常操作，并确保开启了'''搬瓦工自动备份'''功能以应对极端情况。
*
* 资源合理分配：若业务量增长明显，建议及时'''升级套餐'''。如果 IP 已被打残无法解封，可咨询'''搬瓦工客服'''关于'''购买IP'''的具体事宜或申请退款。

'''注意事项'''

* 当 IP 处于空路由状态时，所有的 <code>SSH</code> 工具（如 <code>Xshell</code>、<code>Xftp</code>）均无法连接，请耐心等待 1800 秒解封。
*
* 若服务器因 CPU 占用过高被暂停（Suspended），处理流程会有所不同。请务必确认失联原因属于流量攻击而非资源超载。

[[index.php?title=Category:400 常见问题与故障排查 — Troubleshooting]]

使用搬瓦工api操作nftables实现更新白名单ip

2026-01-25T08:26:10Z

EliToviyah：创建使用bash 调用api 操作nftables 刷新白名单ip

== '''<big>请注意不要泄漏API_Key 任何时候都不要泄露防止服务器和API被盗用应当在安全的设备上使用API 防止API_Key被盗取</big>''' ==

<big>'''根据可实时知晓ip变化的办法不同您需要的工具也不相同..最多需要多一台本地的Linux服务器(不是防火墙所在的那个服务器哦)'''</big>

== 使用前准备 ==

=== 切换到root或有高权限的用户 ===
输入<code>whoami</code>(蓝色输出)或者查看 @之前的名字(绿色框)就是使用的用户

[[File:Whoami2.png|border]]

如果是root就是root就可以了

如果不是

[[File:Suroot.png|border]]

你输入 <code>nft list ruleset</code> 或者 <code>sudo nft list ruleset</code> 输入你的密码和上图一样说明没权限….

尝试切换到root账户

输入 <code>su -</code> 然后输入 '''root 用户'''的密码。输入的密码不会显示输入好后按回车就行变成root就说明成功了

[[File:Suroot2.png|border]]

=== 防火墙部分 ===
输入 <code>sudo nft list ruleset</code>

[[File:Nftlist.png|border]]

你的防火墙中应该有一个空白的链专用户白名单然后在含有粉色框框(主要是含有hook input就行)代码的链中 jump这个链另外先不要改成policy drop;

如果没有链的话如何创建链

<code>sudo nft add chain inet my_firewall allowed_ip</code>

请根据自己的表的类型inet 表的名字 my_firewall 自行修改哦

allowed_ip可以改成自己想要的名字比如sudo <code>nft add chain inet my_firewall whiteip</code>

要先有链才能jump 链的名字

如何添加一条jump allowed_ip 规则呢

<code>sudo nft add rule inet my_firewall my_input jump allowed_ip</code>

还是一样要修改成自己的表的类型表的名字刚刚创建的链的名字

要把这个jump allowed_ip 添加到含有粉色代码的chain里面也就是(my_input)

=== 服务器部分 ===
'''创建一个脚本用 API 调用这个脚本就好了免去了 API中过多的指令'''

'''如果你是从 [[服务器安全-防火墙 nftables]] 那文章一步一步没有修改防火墙的表链的话直接复制代码框的全部内容粘贴到ssh里面按回车文件就创建好了'''

如果你修改了防火墙的表和链的名字或不是根据那篇文章来的

请修改下面代码中的内容根据自身情况修改只需要修改=后面 “” 双引号里面的内容

[[File:Nftlist3.png|border]]

* TABLE_NAME="my_firewall"
** 这个是表的名字蓝色框框
* CHAIN_NAME="allowed_ip"
** 这个是链的名字绿色框框这个链的名字一定不是你包含 hook input 粉色这一行的那个链..因为会被清空..然后就会可能导致防火墙规则混乱…一定要是另外一个专门的链
* FAMILY="inet"
** 这个是表类型红色框框

'''示例'''

[[File:Nftlist3-1.png|border]]

如示例中的图就要改成这样的

CHAIN_NAME="allowed_mobile" TABLE_NAME="filter"

FAMILY="inet" 不变

如果是table ip filter就把FAMILY="inet" 改成 FAMILY="ip"

在下面的代码框里的对应位置改可以先复制到记事本上改完再全选重新复制粘贴到ssh里面回车

[[File:Apiconfig.png|border]]

'''代码框的脚本如下:'''<syntaxhighlight lang="bash">
cat << 'EOF' > /root/update_fw.sh
#!/bin/bash

# --- 用户配置区 ---
TABLE_NAME="my_firewall"
CHAIN_NAME="allowed_ip"
FAMILY="inet"

# --- 获取参数并剔除所有空格 ---
IP1=$(echo "$1" | tr -d '[:space:]')
IP2=$(echo "$2" | tr -d '[:space:]')

VALID_IPS=()
NFT_TYPES=()
SUCCESS_LIST=""
FAILED_LIST=""

# --- IP 校验函数 ---
check_ip() {
local input=$1
[[ -z "$input" ]] && return 1

local raw_ip="${input%/*}"
local mask="${input#*/}"

# 自动识别默认掩码
if [[ "$input" != */* ]]; then
if [[ "$raw_ip" =~ : ]]; then mask=128; else mask=32; fi
fi

# 1. IPv4 校验
# 原来的 2[0-4][0-5] 改为了 2[0-4][0-9]
if [[ "$raw_ip" =~ ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 32 ]] && return 1
echo "ip|$raw_ip/$mask"
return 0
fi

# 2. IPv6 校验 (简化版正则，兼容性更好)
if [[ "$raw_ip" =~ ^(([0-9a-fA-F]{1,4}:){1,7}[0-9a-fA-F]{1,4}|([0-9a-fA-F]{1,4}:){1,7}:|:(:[0-9a-fA-F]{1,4}){1,7}|::|([0-9a-fA-F]{1,4}:){1,7}:[0-9a-fA-F]{1,4})$ ]]; then
[[ "$mask" -lt 1 || "$mask" -gt 128 ]] && return 1
echo "ip6|$raw_ip/$mask"
return 0
fi

return 1
}

process_arg() {
local arg=$1
[ -z "$arg" ] && return
local res
res=$(check_ip "$arg")
if [ $? -eq 0 ]; then
local full_ip="${res#*|}"
VALID_IPS+=("$full_ip")
NFT_TYPES+=("${res%|*}")
SUCCESS_LIST+="$full_ip "
else
FAILED_LIST+="$arg "
fi
}

process_arg "$IP1"
process_arg "$IP2"

# --- 极简反馈逻辑 ---
if [ ${#VALID_IPS[@]} -eq 0 ]; then
echo "Error: No valid IP provided ($FAILED_LIST)"
exit 1
fi

# 执行 Nftables 操作
nft flush chain $FAMILY $TABLE_NAME $CHAIN_NAME || { echo "Error: NFT chain not found"; exit 1; }

for i in "${!VALID_IPS[@]}"; do
nft add rule $FAMILY $TABLE_NAME $CHAIN_NAME ${NFT_TYPES[$i]} saddr ${VALID_IPS[$i]} accept
done

# 成功返回
echo "OK: Allowed $SUCCESS_LIST"
EOF
</syntaxhighlight>解释一下代码框里面指令的意思

* '''<code>cat</code> (Concatenate)'''：原本是用来“查看”或“拼接”内容的，但在这种组合中，它负责接收你输入的一大段文字。
* '''<code><<</code> (输入重定向)'''：这叫“在此处开始读取”。它告诉系统：“别去翻别的文件了，接下来的内容就是我要给你的，直到我遇到结束标记为止。”
* '''<code>'EOF'</code> (End Of File)'''：
** '''开始标志'''：它是你自定义的一个“暗号”。
** '''为什么要加单引号 <code>' '</code>？'''：加了单引号，系统就会“原样搬运”中间的内容，不会去解析里面的 <code>$变量</code>。这对于写入包含变量的脚本至关重要，否则这些变量在写入文件前就会被当前系统搞乱。
* '''<code>></code> (覆盖写入)'''：它的意思是“清空目标文件并把内容倒进去”。
* '''<code>/root/update_fw.sh</code>'''：这是目的地。系统会在指定路径创建或覆盖这个脚本文件。
* 中间的内容就是要写入文件的内容是我们的核心代码
* '''最后的 <code>EOF</code>'''：这是“结束暗号”。系统看到它，就知道“打包”结束了，正式保存文件。

[[File:Apinftedit1.png|border]]

我们可以看到最后蓝色框的时候有点混乱没事的直接按回车就行了

然后我们可以输入 <code>cat /root/update_fw.sh</code> 查看一下文件内容确认有写入内容就好了

[[File:Catupdateip.png|border]]

创建好后

[[File:Apinftquanxian.png|border]]

你可以先输入 <code>ls -l /root/update_fw.sh</code>

这个意思是以长格式查看/root/update_fw.sh 文件的信息

* 第一位 - 代表是文件的意思 d是目录
* 第二位到第四位 rw- 就是拥有这个文件的人的权限第一个代表的是读取如果有这个权限显示r如果没有就是-第二个是写入(编辑)的权限有这个权限就显示w没有就是-第三位是执行(运行)这个文件的权限有就显示x没有就显示- 这里显示-证明在chmod之前是没有执行权限的
* <code>r--</code> 这个文件所属组的权限同上第一位是读取r说明有第二位是-说明没有写入权限第三位是-说明没有执行权限
* <code>r--</code> 这个是其他人也是一样的有读取权限没有写入和执行权限
* 1 代表这个文件在磁盘上只有这一个‘
* root root 第一个root 代表拥有这个文件的人第二个 root 代表这个文件属于root组
* 2675 文件大小Byte
* Jan 22 01:07 修改时间
* /root/update_fw.sh 文件信息的文件

为了安全取消掉其他的权限我们输入

<code>chmod 700 /root/update_fw.sh</code>

这个指令的意思是设置这个文件的权限是700 700的意思就是只有这个文件的拥有人(root ls -l看到的)才可以读取写入和执行其他的两个0代表所属组没有任何权限和其他所有人没有任何权限。

这样，只有 root 用户能看到这个脚本的内容，也只有 root 能运行它。

=== 调用API部分 ===
获取搬瓦工服务器的API_Key和veid

请参考 [[搬瓦工api使用]]

== 使用搬瓦工API触发服务器上的脚本变更防火墙nftables的chain 从而实现动态更新白名单ip ==

=== ipv6的网段 V6_MASK ===
这个..如果你想同时更新ipv6的白名单有一个问题

就是ipv6 每个设备都有一个ipv6地址(各不相同) ipv4的时候你用电脑手机连接到同一个路由器的话一般都是走的同一个ipv4地址而ipv6不同…所以如果你只是更新了你这个设备的ipv6地址的话…别的设备仍然不在白名单中…这就需要网段

==== 请登录路由器 ====
[[File:Router1.png|border]]

找到这个前缀长度…把V6_MASK改成60就行了这样就是说连接路由器的都可以进白名单了

所有的代码中都有一个可以修改的变量.. V6_MASK="/64" 单个设备请改为 /128 一些地区可能是48 但48有点危险范围太大你的邻居可能也在这之中那为什么是64呢因为我的是64……哦我记错了我是60….

== 可实时更新ip变化的办法 ==

=== Linux系 ===

==== OpenWrt类 ====

===== 检查是否安装了curl =====
输入 <code>curl</code> 如果显示 -ash: curl not found

安装curl和证书为了访问https网站

<code>opkg update && opkg install curl ca-bundle</code>

[[File:Openwrtcurl.png|border]]

curl 8.12.1有这样的版本号有IPv6 有ssl 确保有他们就可以啦

===== 检查获取ip 的url是否有效 =====
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在后续的代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

==== 开始 ====
在 OpenWrt 中，每当接口（WAN）状态发生变化（比如重连、获取到新 IP、掉线）时，系统会自动触发对应的脚本。 OpenWrt 的网络热插拔脚本存放在： <code>/etc/hotplug.d/iface/</code>

'''进入目录：'''<code>cd /etc/hotplug.d/iface/</code>

[[File:Openwrtcd.png|border]]

'''创建脚本：'''

修改下面代码你可以先复制到记事本或者别的文本编辑工具里面最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

最后要检查的输入 <code>ls /etc/hotplug.d/iface/99-sync-vps-firewall</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Testfileis.png|border]]

下图就是有那么你就要换一个名字

/etc/hotplug.d/iface/99-这里改成你想要的名字

比如 /etc/hotplug.d/iface/99-sync-vps-firewall1

[[File:Testfileno.png|border]]

修改后…复制粘贴到ssh里面回车就创建好脚本了

代码块如下:<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/hotplug.d/iface/99-sync-vps-firewall
#!/bin/sh

# 只要是接口启动(ifup)就触发
[ "$ACTION" = "ifup" ] || exit 0

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 用户可以分别设置获取地址（可以相同，也可以不同）
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/tmp/vps_sync.log"
MAX_LINES=100

# --- 文件初始化与清理函数 ---
init_files() {
sleep 10
# 1. 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
echo "$(date): [系统] 初始日志文件已创建" >> "$LOG_FILE"
else
# 日志滚动清理逻辑
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 50 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成" >> "$LOG_FILE"
fi
fi

# 2. 处理缓存文件及其目录
local cache_dir=$(dirname "$CACHE_FILE")
if [ ! -d "$cache_dir" ]; then
mkdir -p "$cache_dir"
echo "$(date): [系统] 创建缓存目录: $cache_dir" >> "$LOG_FILE"
fi

if [ ! -f "$CACHE_FILE" ]; then
touch "$CACHE_FILE"
# 初始化空变量，防止脚本第一次读取时报错
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
echo "$(date): [系统] 初始缓存文件已创建" >> "$LOG_FILE"
fi
}

# --- IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 1
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi
return 1
}

# 1. 初始化
init_files

# 2. 执行双栈并行/独立获取
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 3. 基础校验：至少得有一个 IP 吧
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
exit 1
fi

# 4. 缓存对比 (防重复刷 API)
[ -f "$CACHE_FILE" ] && . "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
exit 0
fi

# 5. 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 6. 解析结果
HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"
RESPONSE_CLEAN=$(echo "$RESPONSE_JSON" | tr -d '\n\r ')
ERROR_CODE=$(echo "$RESPONSE_CLEAN" | grep -o '"error":[0-9]*' | cut -d: -f2)
MESSAGE=$(echo "$RESPONSE_CLEAN" | grep -o '"message":"[^"]*"' | sed 's/"message":"//;s/"$//')

# 7. 写入中文日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] IP变更同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
echo "同步成功: $MESSAGE"
else
[ -z "$MESSAGE" ] && MESSAGE="请求异常: $RESPONSE_JSON"
echo "$(date): [失败] 同步失败。详细原因: $MESSAGE" >> "$LOG_FILE"
echo "同步失败: $MESSAGE"
fi
EOF
</syntaxhighlight>[[File:Catcmd1.png|border]]就像这样粘贴后回车就行

输入<code>chmod 755 /etc/hotplug.d/iface/99-sync-vps-firewall</code>赋予执行权限

输入 <code>ls -l /etc/hotplug.d/iface/99-sync-vps-firewall</code> 查看赋予权限是否成功

[[File:Openwrtisok.png|border]]这样你可以重启试试看… 可以输入

<code>cat /tmp/vps_sync_error.log</code>

查看是否成功

[[File:Openwrtlastok.png|border]]

前面的蓝色框框说成功指的是API成功了里面的ip是本地上传给服务器更新的ip 后面红色框框 OK才是防火墙成功的意思后面的ip就是更新的ip 如果有一个ip无效或者…就不会显示了

==== 常见错误 [[File:Openwrterror.png|border]] ====
身份验证失败意思就是说 veid 或者 api_key 的内容错误

[[File:Openwrterror1.png|border]]

没有找到链

你可以看到蓝色框的是防火墙指令..红色框是表

可能是表(inet my_firewall) 或者链(allowed_ip) 的名字和服务器防火墙的对不上你可以去服务器<code>nft list ruleset</code>看一下

==== 华硕路由器官方固件 ====
因为官方固件没有提供重新连接网络后执行脚本的功能所以我们需要一台本地的Linux服务器了(不是防火墙所在的那个服务器哦)…

===== 查看Linux服务器的ip (本地的局域网内的) =====
ssh连接的那个ip就是了…

如果你忘记了输入 <code>ip addr</code> 找个eth0或者 ens18 这样一般都是默认网络接口里面的ip地址蓝色框框

[[File:Seeserverip.png|border]]

===== 借助监听远程日志触发API更新防火墙白名单IP =====
用浏览器登陆你的路由器后台输入用户名和密码一般的地址是 192.168.1.1 如果不是可以打开 <nowiki>http://www.asusrouter.com/</nowiki> 试试

[[File:Loginrouter.png|border]]
找到系统记录单击

[[File:Syslog.png|border]]

[[File:Logre.png|border]]

远程记录服务器输入你的本地局域网linux服务器的ip

远程记录服务器端口默认514 '''如果你的linux服务器占用'''514的话就改一下

====== 如何查看是否占用 ======
ssh连接那台服务器
'''切换root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]
输入 <code>sudo ss -tunlp | grep :514</code>

如果你没有安装sudo就会提示

[[File:Errorsudo.png|border]]

那就不需要输入sudo 了直接

<code>ss -tunlp | grep :514</code>

[[File:Ss.png|border]]

这样有输出就是被占用了占用的话换一个就行了

这样没有输出就是没占用

[[File:Noss.png|border]]

然后点击应用本页面设置

===== 另外一台Linux服务器部分不是防火墙所在的那个服务器哦 =====
ssh连接后
'''切换到root账户'''

* 输入命令：<code>su -</code>''(注意：su 后面有个空格和减号，这很重要，代表同时切换环境变量)''
* 输入 Root 密码（输入时看不见）。
* 此时你的提示符会变成 <code>#</code>，代表你又是 Root 了。

[[File:Su-.png|border]]

====== 安装socat ======
socat的功能很强大是一个多功能的网络工具我们这里用于接收路由器发过来的日志…

'''Debian / Ubuntu / PVE / Armbian 系：'''

<code>apt update && apt install socat -y</code>

'''Red Hat / CentOS / Rocky Linux 系：'''

<code>yum install socat -y</code>

新一些Red Hat/CentOS/Rocky Linux希的系统可以使用<code>dnf install socat -y</code>

安装后输入 <code>socat -V</code> 确认安装成功

[[File:Socatok.png|border]]

====== 检查获取ip 的url是否有效 ======
在使用前先在ssh里面输入

<code>curl -s --max-time 5 <nowiki>https://ifconfig.me</nowiki></code> 进行测试

[[File:Curltestgetmyip.png|border]]

看看能不能获取ip地址红色方块里面的就是ip地址如果不能….

在代码块中修改这两个=后面的内容

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V4=”<nowiki>https://ident.me”</nowiki>

CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

改成

CHECK_URL_V6=” <nowiki>http://v6.ipip.net”</nowiki>

====== 创建脚本 ======
修改下面代码块的代码你可以复制到记事本或者其他文本编辑器里面修改

最前面的

export VEID="你的VEID" export API_KEY="你的API_KEY"

改成类似这样的格式

export VEID="10202" export API_KEY="private_xxxxx"

请根据你实际的veid和API_Key修改

这两个如果你知道干嘛的也可以改 CACHE_FILE="/etc/config/vps_last_ip" 保存上传的ip防止重复调用API LOG_FILE="/tmp/vps_sync_error.log" 把执行过程和结果保存到这个文件里

根据刚才测试的结果来决定要不要替换

CHECK_URL_V4="<nowiki>https://ifconfig.me</nowiki>" CHECK_URL_V6="<nowiki>https://ifconfig.me</nowiki>"

V6_MASK="/64" 也可以修改详情看上方的 '''ipv6的网段 V6_MASK'''

最后要检查的输入 <code>ls /root/checkip.sh</code> 检查一下有没有同名的其他脚本

下图就是没有就不需要修改

[[File:Nocheckip.png|border]]

下图这样就是有就需要修改/root/checkip.sh 比如修改成 /root/checkip1.sh

[[File:Havecheckip.png|border]]

修改后

全部选择复制粘贴到ssh里面按回车

代码块:<syntaxhighlight lang="bash">
cat << 'EOF' > /root/checkip.sh
#!/bin/bash

# --- 用户配置区 ---
export VEID="你的VEID"
export API_KEY="你的API_KEY"

# 获取 IP 的地址
CHECK_URL_V4="https://ifconfig.me"
CHECK_URL_V6="https://ifconfig.me"

V6_MASK="/64" # IPv6 掩码
CACHE_FILE="/etc/config/vps_last_ip"
LOG_FILE="/var/log/vps_sync.log"
MAX_LINES=100 # 日志保留行数

# --- 1. 初始化文件与目录 ---
init_files() {
# 处理日志文件
if [ ! -f "$LOG_FILE" ]; then
touch "$LOG_FILE"
chmod 644 "$LOG_FILE"
else
# 日志滚动清理
local current_lines=$(wc -l < "$LOG_FILE")
if [ "$current_lines" -gt "$MAX_LINES" ]; then
echo "$(tail -n 100 "$LOG_FILE")" > "$LOG_FILE"
echo "$(date): [系统] 日志滚动清理完成 (保留末尾100行)" >> "$LOG_FILE"
fi
fi

# 处理缓存目录及文件
local cache_dir=$(dirname "$CACHE_FILE")
[ ! -d "$cache_dir" ] && mkdir -p "$cache_dir"

if [ ! -f "$CACHE_FILE" ]; then
echo "LAST_IP4=\"\"" > "$CACHE_FILE"
echo "LAST_IP6=\"\"" >> "$CACHE_FILE"
fi
}

# --- 2. IPv4 暴力获取函数 ---
get_v4() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s4 --max-time 5 "$CHECK_URL_V4" 2>/dev/null)
if echo "$res" | grep -Eq "^([0-9]{1,3}\.){3}[0-9]{1,3}$"; then
echo "$res" && return 0
fi
count=$((count + 1))
sleep 2
done
return 1
}

# --- 3. IPv6 暴力获取函数 ---
get_v6() {
local count=0
while [ $count -lt 10 ]; do
local res=$(curl -s6 --max-time 5 "$CHECK_URL_V6" 2>/dev/null)
if echo "$res" | grep -q ":"; then
echo "${res}${V6_MASK}"
return 0
fi
count=$((count + 1))
sleep 4
done

ip6=$(ip -6 addr show scope global | grep inet6 | awk '{print $2}' | cut -d/ -f1 | grep -E '^(2|3)' | head -n 1)
if [ -n "$ip6" ]; then
echo "${ip6}${V6_MASK}"
return 0
fi

return 1
}

# --- 4. 核心同步逻辑 ---
sync_ip() {

# 刚收到日志时，给网络层 5-10 秒的初始化时间
sleep 10

# 获取当前 IP
CURRENT_IP4=$(get_v4)
CURRENT_IP6=$(get_v6)

# 基础校验
if [ -z "$CURRENT_IP4" ] && [ -z "$CURRENT_IP6" ]; then
echo "$(date): [错误] 尝试10次后仍无法获取到任何有效IP" >> "$LOG_FILE"
return 1
fi

# 读取缓存并对比
. "$CACHE_FILE"
if [ "$CURRENT_IP4" = "$LAST_IP4" ] && [ "$CURRENT_IP6" = "$LAST_IP6" ]; then
echo "$(date): [跳过] IP 未发生变化，取消同步" >> "$LOG_FILE"
return 0
fi

# 调用 API
CMD="bash /root/update_fw.sh $CURRENT_IP4 $CURRENT_IP6"
local RESPONSE_FULL=$(curl -s -w "%{http_code}" -X POST \
--data "veid=${VEID}&api_key=${API_KEY}" \
--data-urlencode "command=${CMD}" \
"https://api.64clouds.com/v1/basicShell/exec")

# 解析结果
local HTTP_CODE="${RESPONSE_FULL:${#RESPONSE_FULL}-3}"
local RESPONSE_JSON="${RESPONSE_FULL:0:${#RESPONSE_FULL}-3}"

# 核心解析：压缩 JSON 并提取字段
local CLEAN_JSON=$(echo "$RESPONSE_JSON" | tr -d '\n\r' | tr -s ' ')
local ERROR_CODE=$(echo "$CLEAN_JSON" | sed -n 's/.*"error":[ ]*$[0-9]*$.*/\1/p')
local MESSAGE=$(echo "$CLEAN_JSON" | sed -n 's/.*"message":[ ]*"$.*$"[ ]*}.*/\1/p' | sed 's/\\//g')

# 写入日志
if [ "$HTTP_CODE" = "200" ] && [ "$ERROR_CODE" = "0" ]; then
echo "LAST_IP4=\"$CURRENT_IP4\"" > "$CACHE_FILE"
echo "LAST_IP6=\"$CURRENT_IP6\"" >> "$CACHE_FILE"
echo "$(date): [成功] 同步成功。IPv4: $CURRENT_IP4, IPv6: $CURRENT_IP6. VPS反馈: $MESSAGE" >> "$LOG_FILE"
else
[ -z "$MESSAGE" ] && MESSAGE="$CLEAN_JSON"
echo "$(date): [失败] 同步失败。HTTP: $HTTP_CODE, ERROR: $ERROR_CODE, 原因: $MESSAGE" >> "$LOG_FILE"
fi
}

# --- 5. 监听入口 ---
init_files

# 如果直接运行脚本（无管道输入），执行一次同步
if [ -t 0 ]; then
sync_ip
else
# 如果有管道输入（来自 socat），则监听日志触发
while IFS= read -r line; do
if echo "$line" | grep -qi 'local *IP address'; then
echo "$(date): [触发] 检测到路由器拨号日志" >> "$LOG_FILE"
sync_ip
fi
done
fi
EOF
</syntaxhighlight>[[File:Cathuashuo.png|border]]

粘贴之后有点混乱不用管直接回车就行了

然后

检查一下输入 <code>cat /root/checkip.sh</code> 有内容就好了

[[File:Catcheckip.png|border]]

授予运行权限 <code>chmod +x /root/checkip.sh</code>

然后输入 <code>ls -l /root/checkip.sh</code> 查看多了三个x 就对了如果像红色框框没有x 就不对请重试 <code>chmod +x /root/checkip.sh</code>

[[File:Lslcheckip.png|border]]

然后你就可以输入

<code>/root/checkip.sh</code>

如果第一次测试成功了以后想测试的话运行这个 <code>rm /etc/config/vps_last_ip && /root/checkip.sh</code>

需要<code>rm /etc/config/vps_last_ip</code>删除本地保留的ip记录就是说如果这个ip记录和获取到的一样是不会运行api执行脚本的

测试一下相当于是手动更新..不是自动更新

[[File:Testcheckip.png|border]]

不会有内容输出

需要查看日志 <code>cat /var/log/vps_sync.log</code>

如果是下图那样就是成功了要看红色的红色框是vps服务器返回的OK 就是真的成功了 Allowed:后面是成功添加的ip 一个是ipv4 一个是ipv6的

蓝色框的成功说的是API使用成功提交的IP是哪些

在此再次提醒您使用时保管好Veid和API_Key 你看我打码服务器名字然而还是在这里漏了...以前的打码就没意义了

[[File:Checkipok.png|border]]

====== 常见错误 ======
[[File:Errorapi.png|border]]

身份验证错误一般代表 api_key 或 veid 的内容填写错误就是= 后面的 "" 里面的内容比如VEID="就这里错了" API_KEY="这里"

====== 配置开机启动和自动更新 ======
使用systemctl配置开机启动和自动根据日志更新

修改以下代码中的

UDP-RECV:514 把514换成你的路由器那里设置的远程记录服务器端口比如 515 就改成 UDP-RECV:515

[[File:Logre.png|border]]

<code>ExecStart=/bin/sh -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"</code>

这里面的 <code>/root/checkip.sh</code>

如果你的文件名改了的话就需要修改… 没改就不用改..

修改好全部选择复制粘贴到ssh里面然后按回车<syntaxhighlight lang="bash">
cat << 'EOF' > /etc/systemd/system/router-log-watcher.service
[Unit]
Description=Router Log Watcher
After=network.target

[Service]
Type=simple
# 管道命令：socat 接收 UDP 514，然后传给脚本
ExecStart=/bin/bash -c "/usr/bin/socat -u UDP-RECV:514 STDOUT | /root/checkip.sh"
Restart=always
RestartSec=5
# 如果脚本需要 root 权限，确保 User=root
User=root

[Install]
WantedBy=multi-user.target
EOF
</syntaxhighlight>这个不怎么混乱直接回车就行

然后 <code>cat /etc/systemd/system/router-log-watcher.service</code> 如果你的文件名字如果不是这个的话请修改

[[File:Catsystemctl.png|border]]

输入这个意思是识别新服务

<code>systemctl daemon-reload</code>

在输入这个意思是启动并设置开机自启

<code>systemctl enable --now router-log-watcher.service</code>

[[File:Startsystemctl.png|border]]

最后输入

<code>systemctl status router-log-watcher.service</code>

[[File:Staratok.png|border]]

蓝色的框是已经运行了绿色的是enabled 是设置了开机自动启动

现在可以重启路由器获取新的ip试试了

输入 <code>cat /var/log/vps_sync.log</code> 这样就是成功了

[[File:Apinftisok.png|border]]

如果ipv6获取的速度慢可能出现防火墙没有允许ipv6的情况

[[File:Apinftiserror.png|border]]

遇到极端情况下可以手动更新

<code>rm -f /etc/config/vps_last_ip && /root/checkip.sh</code>

删除存储的ip然后执行脚本 ip一直相同的话是不会调用api的

另外如果你修改了/root/checkip.sh 那么还要输入 <code>systemctl restart router-log-watcher.service</code> 重启这个服务才生效

如果成功更新ip了就可以把允许ssh的端口删掉了就真正变成白名单模式了

File:Apinftiserror.png

2026-01-25T08:23:29Z

EliToviyah：

apinftiserror

File:Apinftisok.png

2026-01-25T08:22:14Z

EliToviyah：

apinftisok

File:Staratok.png

2026-01-25T08:20:44Z

EliToviyah：

staratok

File:Startsystemctl.png

2026-01-25T08:20:22Z

EliToviyah：

startsystemctl

File:Catsystemctl.png

2026-01-25T08:20:00Z

EliToviyah：

catsystemctl

File:Errorapi.png

2026-01-25T08:16:34Z

EliToviyah：

errorapi

File:Checkipok.png

2026-01-25T08:12:47Z

EliToviyah：

checkipok

File:Testcheckip.png

2026-01-25T08:12:21Z

EliToviyah：

testcheckip

File:Lslcheckip.png

2026-01-25T08:09:58Z

EliToviyah：

lslcheckip

File:Catcheckip.png

2026-01-25T08:09:30Z

EliToviyah：

catcheckip