自建 Bangumi API 和图片反代

最近 Bangumi 被墙了，我站上有些内容靠它的接口和图片撑着，干脆自己搭个反代。

不想自己搭的，直接用我的也行：

API 反代：https://bgmapi.anibt.net
图片反代：https://bgmimg.anibt.net

配置都在仓库里。

Yuri-NagaSaki

bangumi-proxy

Waiting for api.github.com...

00K

Waiting...

方案一：nginx 部署#

1
Client
2
  -> Cloudflare
3
  -> nginx origin
4
  -> api.bgm.tv / lain.bgm.tv

安装 nginx#

我用的是 N.WTF 打的 nginx 包，模块全，sub_filter、realip 这些直接就有：

1
apt install -y lsb-release ca-certificates apt-transport-https curl gnupg dpkg
2
curl -fsSL https://n.wtf/public.key | gpg --dearmor -o /usr/share/keyrings/n.wtf.gpg
3
cat > /etc/apt/sources.list.d/n.wtf.sources <<'EOF_NWTF'
4
Components: main
5
Types: deb
6
Uris: https://mirror-cdn.xtom.com/sb/nginx/
7
Suites: trixie
8
Architectures: amd64
9
Signed-By: /usr/share/keyrings/n.wtf.gpg
10
EOF_NWTF
11
apt update
12
apt install -y nginx-extras certbot python3-certbot-nginx nftables

申请证书#

先建个 webroot 目录：

1
mkdir -p /var/www/letsencrypt
2
chown -R www-data:www-data /var/www/letsencrypt

再签证书：

1
certbot certonly --webroot -w /var/www/letsencrypt \
2
  -d api.example.com -d img.example.com \
3
  --agree-tos --register-unsafely-without-email --no-eff-email

我这边一张证书同时盖住两个域名，省事，以后 Cloudflare 想切 Full strict 也不用再动证书。

nginx 配置#

完整模板在仓库的 bangumi-proxy.nginx.conf，部署时把里面的占位域名换掉：

1
api.example.com -> 你的 API 域名
2
img.example.com -> 你的图片域名

1
proxy_pass https://api.bgm.tv;
2
proxy_set_header Host api.bgm.tv;
3
proxy_ssl_server_name on;
4
proxy_ssl_name api.bgm.tv;
5

6
proxy_set_header Accept-Encoding "";
7
sub_filter_once off;
8
sub_filter_types application/json text/plain;
9
sub_filter "https://lain.bgm.tv" "https://img.example.com";
10
sub_filter "http://lain.bgm.tv" "https://img.example.com";
11
sub_filter "lain.bgm.tv" "img.example.com";

图片代理这边尽量不落盘：

1
proxy_pass https://lain.bgm.tv;
2
proxy_set_header Host lain.bgm.tv;
3
proxy_ssl_server_name on;
4
proxy_ssl_name lain.bgm.tv;
5

6
proxy_buffering off;
7
proxy_request_buffering off;
8
proxy_max_temp_file_size 0;
9
add_header Cache-Control "public, max-age=2592000, s-maxage=2592000, immutable" always;

这里我没写 proxy_cache_path，也没开 proxy_cache。图片的缓存交给 Cloudflare 按 Cache-Control 处理，本机只管转发，硬盘上不留东西，小盘机器也不怕被塞满。

只允许 Cloudflare 访问 443#

nginx 这层可以做一道校验，只放行来自 Cloudflare IP 段的连接。不过这只能算兜底，真正该拦的地方是网络层——nftables 或者云厂商的防火墙。

nftables 大概长这样：

1
chain input {
2
    type filter hook input priority filter; policy accept;
3
    iif "lo" accept
4
    tcp dport 443 ip saddr @cf4 accept
5
    tcp dport 443 ip6 saddr @cf6 accept
6
    tcp dport 443 drop
7
}

cf4 和 cf6 这两个集合从 Cloudflare 官方 IP 列表生成：

这些段偶尔会变，最好挂个定时任务每天拉一次，更新完顺手 reload nftables 和 nginx 的 realip 配置。

真实 IP#

套了 Cloudflare 之后，nginx 直接看到的来源全是 Cloudflare 边缘节点的 IP，日志里没法用。想拿到真实客户端 IP，得先信任 Cloudflare 的 IP 段，再让它读 CF-Connecting-IP：

1
real_ip_header CF-Connecting-IP;
2
real_ip_recursive on;
3
set_real_ip_from 103.21.244.0/22;
4
# 这里继续写完整 Cloudflare IPv4 / IPv6 段

完整的 IP 段仓库模板里已经写好了，照抄就行。

验证#

配置弄完，如何测试：

1
nginx -t
2
systemctl reload nginx
3

4
curl -I https://api.example.com/__health
5
curl -I https://img.example.com/__health
6
curl https://api.example.com/v0/subjects/1 | grep img.example.com

最后那条 grep 能匹配到自己的图片域名，就说明 sub_filter 改写生效了。

图片缓存这样测：

1
IMG="https://img.example.com/r/200/pic/cover/l/c4/ca/1_d2tF2.jpg?cache-test=1"
2
curl -I "$IMG"
3
curl -I "$IMG"

连请求两次，第二次返回头里出现 cf-cache-status: HIT，边缘缓存就正常了。

方案二：Cloudflare Worker 部署#

不想碰 VPS 的话，直接上 Cloudflare Worker。

用仓库里的 worker.js，先把开头两个域名改成自己的：

1
const API_HOST = "api.example.com"
2
const IMG_HOST = "img.example.com"

Cloudflare Dashboard 新建 Worker
把 worker.js 整个粘进去
改掉 API_HOST 和 IMG_HOST
Deploy
在 Worker 的 Domains & Routes 里绑上两个自定义域名

要提醒一句：Worker 比较适合个人小流量用，不建议公开。

小结#

我的公开地址就放这了：

API：https://bgmapi.anibt.net
IMG：https://bgmimg.anibt.net

CORS 开成了 Access-Control-Allow-Origin: *，谁都能直接调。