🏗️ 方案逻辑：为什么它是“降维打击”？

1. 主动出击：你的服务器主动向 Cloudflare 建立加密隧道（Outbound），而不是等待外部访问。

2. 边缘接管：流量访问你的域名（如 node.0rz.li），实际上是在访问 CF 的边缘节点。

3. 内网映射：CF 边缘节点通过隧道将流量“泵”回你的服务器。

核心价值：即便你的服务器 IP 已经进入“黑名单”，只要它能连上 Cloudflare 的 CDN 网络（这通常是正常的），你的服务就能通过域名正常访问。

🛠️ 第一步：云端初始化 (Zero Trust)

1. 访问 Cloudflare Zero Trust 仪表盘。

2. 点击 Networks -> Tunnels -> Create a Tunnel。

3. 选择 Cloudflare 连接器，为你的隧道命名（例如 NAT-Bypass）。

4. 在安装页面，复制对应的 Token（一串以 eyJh... 开头的极长字符）。

🚀 第二步：服务器端部署 (Service Install 模式)

1. 安装 cloudflared 客户端

2. 注册为系统服务

3. 运行状态检查

🛠️ 第三步：安装 3X-UI 面板

⚙️ 第四步：3X-UI 关键配置（避坑指南）

1. 入站 (Inbound) 细节

• 端口 (Port): 设置为你喜欢的内网端口（如 10086）。

• 传输 (Transmission): 必须选择 ws (WebSocket)。

• 路径 (Path): 自定义路径（如 /german-secret-ws）。

• 主机 (Host) 【关键】: 必须留空！
• 原因：如果填写了域名，Xray 会校验请求头。在隧道环境下，Host 校验极易导致 404。

• 安全 (Security): 设置为 none（面板内不需要开启 TLS，CF 会处理）。

2. 本地连通性验证

🌐 第五步：公网域名映射

• 面板管理：
• Hostname: panel.0rz.li
• Service: http://localhost:2053

• 节点流量：
• Hostname: node.0rz.li
• Service: http://localhost:10086

📱 第六步：手机端/客户端设置

📒 结语