自建住宅代理 IP 实战指南

1. 核心概念与场景

住宅代理 (Residential Proxy) 是指使用家庭宽带（ISP）分配的 IP 地址作为代理出口。相比数据中心（Data Center）IP，住宅 IP 具有更高的信任度，不易被目标网站（如 Google, Netflix, 社交媒体注册等）风控或封锁。

适用场景：

• 爬虫采集（绕过反爬）。
• 注册账号/抢购（需要高信任度 IP）。
• 异地访问家庭内网资源。
• 模拟特定地区用户真实环境。

---

2. 硬件与环境准备

2.1 硬件设备

你需要一台在家里 24 小时开机的设备：

• 树莓派 (Raspberry Pi)：功耗低，性能足够（推荐 4B 或 5）。
• 闲置笔记本/Mini PC：安装 Linux (Ubuntu/Debian) 最稳。
• NAS (群晖/威联通)：通过 Docker 部署。
• 软路由 (OpenWrt)：直接集成，但配置稍繁琐。

2.2 网络环境自查

在开始前，必须明确你的宽带情况，这决定了技术方案：

• 有公网 IPv4：直接通过路由器端口映射（Port Forwarding）即可。（现在很少见，通常是电信/联通申请才有）。

2. 只有 IPv6 公网：移动宽带常见，需要客户端也支持 IPv6。

3. 大内网 (CGNAT)：完全无公网 IP，必须使用内网穿透或异地组网技术。（这是本文重点）

---

2.3 Docker 部署 (NAS 用户推荐)

推荐指数：⭐⭐⭐⭐⭐ (NAS 玩家首选)

原理：利用 Docker 容器运行 Gost，通过端口映射暴露服务，即开即用，不污染系统。

Docker Compose 方案 (推荐)

在 NAS 上创建一个目录，放入 docker-compose.yml 文件：

version: '3.8'
services:
  gost:
    image: ginuerzh/gost
    container_name: residential-proxy
    restart: always
    ports:
      - "1080:1080" # SOCKS5/HTTP 端口
    command: "-L admin:MySecretPass123@:1080"

运行命令：docker-compose up -d

群晖/威联通图形化操作

• 拉取镜像：搜索 ginuerzh/gost 并下载。

2. 创建容器：

• 网络：Bridge 模式。
• 端口：主机端口 1080 映射到 容器端口 1080。
• 命令 (Command)：输入 -L admin:MySecretPass123@:1080。

3. 启动：完成后启动容器即可。

---

3. 方案一：个人专用最简方案 —— Tailscale Exit Node

推荐指数：⭐⭐⭐⭐⭐ (个人使用首选)

原理：利用 Tailscale 的异地组网功能，将家里设备设为“出口节点 (Exit Node)”。你在外面的手机/电脑开启 Tailscale 后，所有流量都会经过家里的宽带流出。

优点：

• 无需公网 IP，打洞成功率极高。
• 全加密，安全性最高。
• 配置极其简单，无需维护配置文件。

步骤：

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --advertise-exit-node

2. Tailscale 管理后台：

• 找到该设备，在 "Edit route settings" 中勾选 "Use as exit node"。

3. 客户端 (手机/电脑)：

• 安装 Tailscale。
• 在菜单中选择 "Exit Node"，选中家里的设备。
• 完成：现在的 IP 就是家里的宽带 IP。

---

4. 方案二：对外提供标准协议 —— VPS 中转 (Frp + Gost)

推荐指数：⭐⭐⭐⭐ (适合给爬虫、朋友或不支持 VPN 的软件使用)

原理：家里无公网 IP，需要一台有公网 IP 的云服务器 (VPS) 做跳板。

流量路径：客户端 (SOCKS5) -> VPS -> Frp 隧道 -> 家里设备 -> 互联网

4.1 准备工作

• 一台便宜的云服务器 (VPS)，推荐购买国内访问速度尚可的廉价机（带宽通过即可，计算要求低）。
• 域名（可选，方便记忆）。

4.2 服务端配置 (VPS)

下载 frp。

frps.toml (服务端配置):

bindPort = 7000
auth.token = "ComplexPassword123" # 通信密码

运行：./frps -c frps.toml

4.3 客户端配置 (家里设备)

我们使用 Gost 作为代理服务，Frp 作为穿透管道。

第一步：在家里启动 SOCKS5 代理服务 (使用 Gost)

Gost 是一个极其强大的代理隧道工具。

# 启动一个带认证的 SOCKS5/HTTP 代理，监听本地 1080 端口
# 格式: -L 用户名:密码@端口
./gost -L admin:secret123@:1080

第二步：通过 Frp 将 1080 端口暴露到 VPS

frpc.toml (家里配置):

serverAddr = "x.x.x.x" # VPS IP
serverPort = 7000
auth.token = "ComplexPassword123"

[[proxies]]
name = "home-proxy"
type = "tcp"
localIP = "127.0.0.1"
localPort = 1080      # 对应 Gost 的端口
remotePort = 20080    # 在 VPS 上暴露的端口

运行：./frpc -c frpc.toml

第三步：使用

现在，你可以在任何地方配置代理：

• IP: VPS 的 IP
• 端口: 20080
• 用户: admin
• 密码: secret123

流量将完美通过家里的宽带出去。

---

5. 方案三：Cloudflare Tunnel (零成本穿透)

推荐指数：⭐⭐⭐ (适合 HTTP 服务，SOCKS5 需要客户端也装 cloudflared)

原理：利用 Cloudflare 的边缘节点进行穿透。

局限性：

• 暴露标准 HTTP/SOCKS5 代理时，客户端通常也需要安装 cloudflared 才能连接（除非使用 Cloudflare WARP 组网），不如 VPS 中转通用。
• 违反 Cloudflare TOS 风险（如果跑大流量代理）。

适用：主要用于暴露家里的 Web 服务（如 Home Assistant），而非作为通用代理出口。若必须用作代理，建议结合 WARP 模式。

---

6. 软件工具推荐与对比

7. 安全性强化指南 (必读)

将家庭网络暴露到公网极其危险，必须做好以下防范：

• 强身份认证：
• 绝对不要开启无密码的 SOCKS5/HTTP 代理！
• 密码要足够长（避免被扫描器爆破）。
• Gost 示例：gost -L user:VeryLongRandomPassword@:1080

2. 白名单机制 (Whitelist)：

• 如果使用 VPS 中转，在 VPS 的防火墙 (iptables/UFW) 上限制 remotePort (如 20080) 仅允许特定 IP 访问。
• Frp 支持 src_ip 限制（但在 TCP 模式下可能不准，建议系统层限制）。

3. 容器化隔离：

• 建议使用 Docker 运行 Gost 和 Frp。
• 限制容器的网络访问权限，避免代理服务被攻破后黑客横向扫描家庭内网。
• Docker 启动参数添加 --network isolated_net 哪怕是 Host 模式也要注意权限。

4. 避免滥用：

• 不要将代理公开分享。家庭宽带的上行带宽通常有限（30Mbps 左右），且并发连接数过高会导致光猫死机或被运营商断网。

8. 总结建议

• 想省心，自己用 👉 Tailscale Exit Node (无需公网 IP，无需 VPS，免费)。
• 给爬虫用，或者给没装软件的朋友用 👉 VPS + Frp + Gost (兼容性最好，是标准的 SOCKS5 代理)。
• 有公网 IPv6 👉 DDNS + Gost (监听 IPv6) (速度最快，直连，但客户端网络环境有门槛)。