一、目的
该教程主要解决两个问题:
1.小米路由器如何在开启ipv6防火墙的情况下,开启固定的ipv6端口,方便外网访问。
2.lucky+雷池WAF如何一起使用(虽然感觉有点脱裤子**,直接用雷池WAF反代就行,不用lucky反代)。
二、小米路由器开放固定ipv6端口
打开小米路由器管理页面,找到上网设置。
下滑找到ipv6防火墙并开启。
由于ipv6相当于一个公网地址,不开启防火墙可以使得任何人都可以访问这个地址的所有端口(导致部署的服务全部暴露在外面,并且不止nas还有电脑、智能家具等)。然而打开防火墙会导致我们无法外网访问我们的NAS服务。我们目的的是,将需要外网访问的服务暴露出来,其它的服务的禁止外网访问。
打开小米路由器的ssh功能
访问https://github.com/openwrt-xiaomi/xmir-patcher并下载该项目。
双击运行run.bat
查看1选项的ip地址是否是小米路由器的控制面板ip,如果是直接输入2,不是输入1进行修改。
输入2利用漏洞打开ssh,期间会让输入路由器管理密码。
等待一会完成后使用工具连接ssh:
账号:root
密码:root(默认,或者路由器管理密码)
出现这个界面表示ssh链接成功。
开放ipv6端口
输入以下命令:
ip6tables -I forwarding_rule -p tcp --dport 这里填写要开放的端口号 -j ACCEPT
正常情况下输入后防火墙会将端口打开,但是如果路由器重启就会失效。
所有我们需要开机自动执行该命令:
输入:vim /etc/rc.local
将下面内容粘贴进去,并保存。
#Put your custom commands here that should be executed once
#the system init finished. By default this file does nothing.
ip6tables -I forwarding_rule -p tcp --dport 这里填写要开放的端口号 -j ACCEPT
exit 0
至此,小米路由器ipv6开启端口成功,可以使用lucky反代飞牛服务到外网。
三、雷池waf反代lucky
我们可以实现公网访问上面开启的端口,通过雷池waf反代到lucky,lucky反代nas服务。
首先lucky,web服务监听端口写一个没有占用的,子规则自己按需求填写。
效果如图:
然后打开雷池WAF,选择应用防护,添加应用。
第一个填写子域名,例如域名是abc.com,我要把bit服务代理出来。
就填写bit.abc.com。
端口号填写路由器开放的端口号。
选择代理到已有应用。
上游服务器填写lucky反代的地址。
至此完成,访问后就会记录下来。
其实,将上游服务器直接填写成为内网ip加端口例如:http://192.168.31.140:5666效果也是一样的,只是不走lucky反代里。
雷池WAF应用防护高级设置
安装下面打勾的选择
