甲骨文云服务器安装 3X-UI 面板踩坑记录

## 环境信息

- **服务器**: Oracle Cloud（甲骨文云）免费实例
- **面板**: 3X-UI v2.8.11
- **本地网络**: 梅林路由器 + Clash 代理

---

## 安装命令

```bash
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
```

---

## 踩坑过程

### 坑一：SSL 证书签发失败

报错信息：

```
Invalid status. Verification error details:
Fetching http://你的IP/.well-known/acme-challenge/xxx:
Error getting validation data
Failed to issue IP certificate
```

原因： Let's Encrypt 通过 80 端口验证服务器时访问不通。

解决：甲骨文云有双层防火墙，都需要开放。

第一层 — 云平台安全列表（Security List）：

进入 Oracle Cloud 控制台 → VCN → 子网 → 安全列表 → 添加入站规则：

| 项目 | 值 |
|------|-----|
| 源 CIDR | 0.0.0.0/0 |
| IP 协议 | TCP |
| 目标端口 | 80, 443 |

> 也可以直接开放所有协议所有端口（适合测试环境，生产环境不建议）。

第二层 — 系统内部 iptables：

```bash
sudo iptables -I INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -I INPUT -p tcp --dport 443 -j ACCEPT

# 持久化保存
sudo apt install iptables-persistent -y
sudo netfilter-persistent save
```

---

### 坑二：面板后台无法访问（HTTPS 连接失败）

报错信息：

```
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection
```

原因： 日志显示面板实际运行的是 HTTP 而非 HTTPS，证书虽然签发了但没有应用到面板上。

解决： 用 HTTP 访问：

```
http://你的IP:面板端口/你的随机路径/
```

登录后台后在面板设置中配置证书路径，开启 HTTPS。证书文件一般在：

```
/root/.acme.sh/你的IP_ecc/
```

---

### 坑三：HTTP 也无法打开（ERR_EMPTY_RESPONSE）

原因： iptables 没有放行面板端口。之前只开放了 80 和 443，漏了面板本身的端口。

解决：

```bash
sudo iptables -I INPUT 1 -p tcp --dport 你的面板端口 -j ACCEPT
sudo netfilter-persistent save
```

---

### 坑四：本地代理导致无法访问

现象： 服务器端一切正常，但本地电脑通过浏览器访问不了。

原因： 梅林路由器上的 Clash 代理拦截或转发了访问请求。

解决方案（任选其一）：

1. 临时切换直连模式 — 在 Clash 面板把模式改为 Direct，用完切回
2. 添加直连规则（推荐） — 在 Clash 配置文件的 rules 最前面加：

```yaml
rules:
- IP-CIDR,你的IP/32,DIRECT
```

3. 浏览器绕过 — 用 SwitchyOmega 插件设置该 IP 直连
4. 手机热点 — 临时用手机热点绕过路由器代理

---

## 总结：甲骨文云开放端口的完整步骤

| 层级 | 操作 | 说明 |
|------|------|------|
| 云平台 | 安全列表添加入站规则 | 开放所需端口 |
| 系统 | iptables 放行端口 | Ubuntu 镜像默认会拦截 |
| 系统 | netfilter-persistent save | 持久化，重启不丢失 |