From d6045ace0c73c806b2556491be6f7422a12d589a Mon Sep 17 00:00:00 2001 From: anten-ka Date: Tue, 7 Apr 2026 00:10:13 +0300 Subject: [PATCH] fix: stealth mode bind_to 127.0.0.1 + clarify internal port 8443 comments telemt in stealth mode now binds to 127.0.0.1 instead of 0.0.0.0. External port 8443 is not exposed - only nginx on 443 is public. --- install.sh | 8 +++++--- lib/telemt_config.sh | 8 +++++++- 2 files changed, 12 insertions(+), 4 deletions(-) diff --git a/install.sh b/install.sh index efb59d9..c373d64 100644 --- a/install.sh +++ b/install.sh @@ -192,11 +192,13 @@ install_stealth_mode() { template_dir=$(interactive_template_selection) [ $? -ne 0 ] && return - # Выбор порта для telemt (внутренний) + # Внутренний порт для telemt (только localhost, не открыт наружу) + # nginx принимает весь трафик на внешнем 443 и проксирует MTProxy-соединения на localhost:8443 + # Внешний порт 8443 НЕ затрагивается и НЕ открывается — telemt слушает только 127.0.0.1 local telemt_port=8443 echo "" - echo -e " ${DIM}telemt будет слушать на порту $telemt_port (внутренний)${NC}" - echo -e " ${DIM}nginx будет на 443 (внешний) и проксировать трафик${NC}" + echo -e " ${DIM}telemt будет слушать на localhost:$telemt_port (только внутренний, не открыт наружу)${NC}" + echo -e " ${DIM}nginx принимает трафик на 443 (внешний) и проксирует к telemt${NC}" # Генерация секрета local secret diff --git a/lib/telemt_config.sh b/lib/telemt_config.sh index 1b7f203..f56fa27 100644 --- a/lib/telemt_config.sh +++ b/lib/telemt_config.sh @@ -36,6 +36,11 @@ generate_telemt_toml() { mkdir -p "$(dirname "$output")" + # В stealth-режиме telemt слушает только localhost (трафик идёт через nginx) + # В quick-режиме — на всех интерфейсах (клиенты подключаются напрямую) + local bind_addr="0.0.0.0" + [ "$mask_mode" = "stealth" ] && bind_addr="127.0.0.1" + cat > "$output" << EOTOML # GoTelegram v${GOTELEGRAM_VERSION} — telemt configuration # Сгенерировано: $(date -Iseconds) @@ -52,7 +57,8 @@ generate_telemt_toml() { # ── Привязка ───────────────────────────────────────────────────────────────── [listen] - bind_to = "0.0.0.0:${port}" + # quick: 0.0.0.0 (клиенты напрямую) | stealth: 127.0.0.1 (только через nginx) + bind_to = "${bind_addr}:${port}" # ── TLS маскировка ─────────────────────────────────────────────────────────── [security]