语法通过 核心同步正常 策略差异需确认
nginx -t 成功,仅有既存 protocol options redefined 警告。nginx -t 成功,无语法失败。/s/ 与 /backup/ 五个 location 白名单完全一致,且与 AR 主私有白名单一致。worker.loveason.com /v1/ 同时 include 主私有名单与 Worker-Hermes 专用名单,实际会按并集放行,可能不是“更严格”。| 文件 | 用途 | 状态 | 覆盖 |
|---|---|---|---|
loveason-private-allowlist.conf | 主私有路径白名单 | 正常 | AR/JP/DE/KR/US/HKA/HKY/SG/JPA/JPB/KRB;无库存外 IP。 |
komari-probe-allowlist.conf | nz.loveason.com 探针专用 | 正常 | 主名单 + USB/UK/AU;无库存外 IP。 |
worker-hermes-vps-allowlist.conf | worker.loveason.com Hermes VPS API 专用 | 正常 | AR/DE/US/HKA/SG/JPA;与 Hermes installed 预期一致。 |
cliproxy-managed-vps-allowlist.conf | 兼容 wrapper | 正常 | 仅 include 主私有白名单。 |
抽样结果均有 allowlist 保护:/v1/、/usage、/ray/、/backup/、/sub/、/panel/、/image/、/upload/、nz.loveason.com /。
DE 没有独立 /etc/nginx/snippets/*allowlist*.conf;订阅路径在 /etc/nginx/conf.d/www.88665577.xyz.conf 每个 location 内显式维护 allow/deny。
| location | 状态 | 与 AR 主私有名单对比 |
|---|---|---|
^~ /s/shadowrocket/ | deny all 存在 | 一致 |
^~ /s/clashMetaProfiles/ | deny all 存在 | 一致 |
^~ /s/clashMeta/ | deny all 存在 | 一致 |
^~ /backup/ | deny all 存在 | 一致 |
^~ /backup-api/ | deny all 存在 | 一致 |
当前事实:USB/UK/AU 在 AR Komari 探针白名单中,但不在 AR 主私有名单,也不在 DE /s///backup/ 白名单中。
worker.loveason.com 的 /v1/ 同时 include:
Nginx allow/deny 在同一层级下是“任一 allow 命中即可放行”,因此这里不是取交集,而是接近并集。若目标是只允许 Hermes-installed VPS,应移除主私有名单 include;若目标是兼容更宽泛私有来源,则保持现状。
/tmp/nginx-allowlist-audit-ar-20260608T030532Z/tmp/nginx-allowlist-audit-de-20260608T030535Z/tmp/nginx-allowlist-compare-20260608T030608Z本次为只读核查,未修改 Nginx 配置。