（Ai评价达到轻量企业级）我的NAS安全&易用配置归档-飞牛+IStoreos+lucky+南墙

Alix

我的家庭网络情况简述

1. 软硬件情况

1.1 核心硬件

• N100 小主机：运行飞牛OS底层，虚拟化 iStoreOS
  • 网口分配：3 个2.5g直通给 iStoreOS，1 个2.5g用于飞牛OS自身
• 路由器：纯 AP，发射 5GHz WiFi，不参与DHCP
• 光猫：仅桥接

1.2 网络环境

• 联通千兆，IPv4 + IPv6 动态双公网，上行70，各时段网速及延迟稳定性优秀、DNS健康度优秀
• iStoreOS 拨号获取公网 IPv4+6

1.3 iStoreOS 特性

• PPPOE拨号，开启IPv6完整支持
• OpenClash 自动优选外网节点（支持 IPv4/IPv6 双栈）新加坡专线延迟 50-70ms ，解锁AI及流媒体服务，自动分流，大陆链接不经过内核，局域网内设备默认即用
• 广告拦截：纳入常见规则，达到十万级，延迟支出几乎忽略不计，测试拦截率达到85-98%（adblock.turtlecute.org），局域网内设备默认即用
• 优化配置：硬件流量分载、UPnP、FullCone NAT、KMS等
• DNS：通过运营商自动获取

1.4 流量方向

• 内网设备访问公网：LAN → iStoreOS → OpenClash（大陆链接不经过内核） → 公网
• 公网访问内网服务： iStoreOS 防火墙 → Lucky万吉（Corzwaf） → 南墙 WAF → 内网服务

2. 安全访问配置

2.1 iStoreOS 防火墙（第一道防线）

• WAN口：丢弃除 16060 端口外所有入站/转发，禁Ping
• LAN口：内网流量分发
• 流量顺序1：仅16060端口允许 WAN-设备 ，速率限制 100 PPS 突发 20
• 自动化：
  • 每日自动更新OpenClash各项内容
  • 每日早自动重新拨号获取新公网地址
  • 每 12,18 时自动监测路由情况，包括IPv4+6墙内外连通性、公网地址、内网设备清单（筛选可信设备及未授权设备）、OpenClash及lucky服务是否正常允许等， PushPlus 推送报告到微信
  • 当SSH登录、网页后台登录等动作发生时，PushPlus 推送报告到微信

2.2 Lucky 万吉版本（第二道防线）

• 功能：端口监控16060、流量清洗（HTTP→HTTPS、TLS验证）、非标访问丢弃、DDNS解析自动更新（腾讯云）、域名证书维护（自动续签）、IP地址库、IP过滤等
• 流量顺序2：全局黑名单机制：纳入雷池恶意 IP **、常见共享黑名单清单（Blocklist.de、FireHOL IP Lists Level3）等，实现 10万级 IPv4+6 网段过滤，每日更新IP清单
• 流量顺序3：白名单机制：在黑名单过滤后，白名单仅允许国内IPv4+6访问，每日更新IP清单
• 流量顺序4：CorzWaf：进行 恶意流量清洗拦截 等
• 流量顺序5：泛域名解析 指向 下一级 南墙 WAF
• WEB终端：通过公钥&私钥 SSH 访问iStoreOS、飞牛OS
• 自动化：
  • DDNS自动更新域名解析到腾讯云
  • 域名证书自动管理与续签
  • 计划任务每日更新各项黑名单、白名单 IP网段清单信息

2.3 南墙 WAF（第三道防线）

• 功能：Web攻击防护（CC、SQL注入、漏洞扫描、异常访问等规则记录与拦截）、缓存等
• 流量顺序6：流量安全清洗，各类攻击识别监测，视情况拦截并报告，IP威胁**拦截，自动拉黑攻击IP
• 流量顺序7：依照URL前缀，HTTP分流指向至不同内网服务，缓存加速
• 自动化：
  • 通过安全插件实时清洗日志为JSON格式并映射到本地
  • 每5分钟分析 JSON 日志，若存在告警，PushPlus 推送可读告警到微信

2.4 其他安全措施

• 管理后台：IStoreOS后台、Lucky后台、南墙后台均仅内网访问
• 密码安全：IStoreOS后台、Lucky后台、南墙后台、飞牛OS后台均配置高复杂性密码，后三者启用OTP双因子认证校验
• SSH安全：IStoreOS、飞牛OS 的SSH均由内网Lucky后台统一连接，并配置了公钥&私钥校验
• 运维使用：内网访问通过堡垒机（内网PC）进行，在外则通过UU远程进入堡垒机再访问各内网后台，堡垒机日常休眠关闭网卡，需要时则通过开机卡唤醒、密码登录
• 其他要点：upnp启用安全配置、飞牛OS定时杀毒（官方安全中心、卡巴斯基等）、保持良好使用习惯
• 应急备份：IStoreOS配置文件、Lucky配置文件均周期性导出，所有Docker服务尽量使用compose部署，并进行数据持久化，同步备份到云盘，IStoreOS虚拟机导出备份，若发生设备故障，纯AP路由器可随时切换配置进行拨号，承担主路由。

3 服务层

• 文件存储及管理、外链分享
• 影视站：对接夸克网盘空间，半自动纳入资源，刮削并播放
• 相册：自动同步设备照片，并AI识别，线上展示
• 标签页：应用服务，个人主页
• Drawnix ：应用服务，思维导图
• 自动化
  • 文件归档备份：每周通过飞牛备份自动传输至阿里云盘归档
  • 日志归档：每日飞牛自动归档系统日志
  • 自动备份设备照片
  • 自动同步工作电脑材料库