终于放假了,来给大家更新详细的部署教程,废话不多说,教程分享开始
前置条件
设备需要有ipv6公网地址、飞牛部署好Luvky、雷池WAF、拥有一个域名并对域名配置有基本的了解、最好会设置局域网路由器的ipv6防火墙(只开放一个端口),不会的话至少要设置好飞牛的防火墙
上述前置条件基本在在网上有详细教程,不了解的朋友还是先学习满足了前置条件再进行防护方案部署,不然就算跟着教程部署成功了也不知所以然,以后根本不懂维护,出了问题也不会排查,反而风险更大。
还有一点,如果家里宽带是YD的,可能会遭遇同网访问通畅,跨网访问限速的问题。比如家里飞牛连接的是YD宽带,在外面手机用的也是YD流量,那通过公网访问没问题,速度能跑满宽带上行;但如果在外面手机用的是DX或者LT流量,那通过公网访问基本没速度,只有几k没法用,这个问题是我自己遇到的,目前我从YD换到LT宽带后,暂时就没遇到这种跨网访问限速的问题了。
一、Lucky设置动态域名解析、SSL证书、外网流量一次反代
lucky先设置动态域名解析,让域名绑定设备ipv6地址,这样外网设备访问域名时才能被解析到你的内网设备ip,这里需要你有dns服务商,一般阿里云买的域名可以用阿里云dns、如果是免费域名可以用CloudflareDNS,没了解过的网友自行了解,这里只做简要步骤引导。
然后申请免费的SSL证书,lucky可以自动自动续签,基本设置好一次就不用管了
然后设置外网流量一次反代,即将所有的防护流量转发给雷池WAF清洗识别(核心防护)
此处要设置一个外网唯一暴露端口,建议自己想一个五位数端口,这里用11111举例
下面这一步,将外网访问的所有流量默认转到雷池监听端口22222(自己想一个五位数端口),内网IP地址一般是192.168.x.x,可以在路由器后台管理页面找到,也可以在飞牛-系统设置-设备信息处找到。雷池监听端口自己想一个哈,建议也是五位数的。
设置密码,所有外网访问必须先通过账号密码验证(和前台对暗号),如果密码不对,流量压根到不了雷池。
我们刚刚设置的所有访问流量都要输密码,假如有些服务不想设置密码,如飞牛主页访问(设密码的话飞牛App用不了,就要添加条子规则,只有不符合子规则条件的流量才会走刚刚的默认规则
这个前端地址解释一下,就是假如你的域名是aaa.com,你可以分配一个子域名是特定访问到飞牛主页的,比如a.aaa.com,前面的字符你可以自行设置,比如home.aaa.com
www.aaa.com都行。
后端地址跟默认规则一样是http://飞牛内网IP:22222(雷池监听端口)
总之这一步的思路就是外网访问的所有流量都转给雷池,其中默认规则开了基本认证,需要账户密码的,但假如不需要账户密码或者有些服务要设置不同的账户密码,就自己再添加子规则就行了,不管是默认规则还是子规则,后端地址都是一样的。
好的到目前为止,lucky的设置告一段落,此时外网访问你域名aaa.com的流量全都会被转到雷池,接下来就是雷池的设置。
二、雷池设置流量清洗后给回lucky
域名填之前申请SSL证书那个*.aaa.com,http端口填上一步的雷池监听端口,https端口删掉不要,上游服务器填http://飞牛内网ip:33333,注意这个33333也是举例用的,这里实际是自己想的一个Lucky内网监听端口,这一步的思路就是从22222端口接到lucky转发过来的流量,雷池清洗完后通过33333端口发回给lucky。
下图是添加成功的状态,你们如果是按顺序做到这一步的,可能应用名称是空的,而且有个**感叹号提示上游服务器无法访问,即33333端口没人,那是因为我们要做的下一步还没做,把整个方案部署完,这里应该就没问题了。另外下面红框内那几个防护就不展开讲了,自己研究,默认防护在大部分时候应该够用了。
三、lucky承接清洗后的干净流量并进行最终反代
再新增一条web服务规则
这一步就是最终的反代了,就是不同的子域名指向你不同的内网服务端口,飞牛主页及自带的影视等是共用默认的http端口5666的,但是你安装的Transmission、Frigate等应用及docker镜像,会有自己独立唯一的端口号,这里就是用作指向的,比如我设置a.aaa.com给飞牛主页用,指向5666端口;b.aaa.com给Transmission用,指向9091端口,这一步如果看不懂的同学,跟着把下面步骤做了,可以从公网访问飞牛自带的各项基本服务,其他的就自己再研究吧,展开讲的话篇幅太长了。
如有需求自行添加其他子规则,添加完后如下图所示,不要把lucky、雷池这种应用添加上去,这类应用在内网访问就好了,没有必要从公网访问,不安全。有需求的话通过异地组网等加密隧道访问,这里不展开。
四、设置路由器及飞牛的ipv6防火墙(重要)
做完了上述步骤,我们应该就可以通过公网访问nas的各项服务了,但还有很重要的一点是,一定要设置好局域网的ipv6防火墙,首先是路由器的防火墙,这部分根据自家路由器品牌自己研究,总之就是只暴露飞牛ipv6公网ipv6地址的11111这一个端口(根据自己设置的来),外网设备除了这个之外,无法直接触碰到你飞牛的其他服务和其他端口。二是设置飞牛自带的防火墙,也是只放行11111这一个端口,其他端口全部拒绝(不用担心局域网,内网环境是自动允许访问的,假如你内网都不安全了,那这套防护方案完全失效),具体如下图所示
假如你暂时不会设置路由器的防火墙,那至少应该先把飞牛的防火墙设置好,才能让这套方案完整生效。不然飞牛所有端**露在外,设置这套方案只能是自己骗自己。另外,如果你们的路由器是自动开启ipv6防火墙的,把所有外来访问都挡住了,或者设备只有内网ipv6地址,那外网都是无法访问的,要自己寻求解决方案。
整个方案最终设置完,实现的效果是,在外网ipv6环境下,在浏览器输入https://a.aaa.com:11111就能访问飞牛主页,飞牛App上输入a.aaa.com:11111,勾选HTTPS安全访问,输入账号密码,能通过公网连接(安全连接)飞牛,飞牛TV输入a.aaa.com,端口号输入11111,勾选https访问,输入影视账号秘密,能畅快看影视,加载速度就是你的上行带宽(在没有硬件性能限制的情况下),上述所有的连接流量都会通过雷池的清洗防护,并且在公网上不会直接暴露飞牛的各个服务和端口,具备一定防护能力。
结语
以上是我给防护方案组合,可能不是很成熟,还希望大家多交流共同完善。如果有跟着这套方案学习的朋友,希望大家能在操作的同时理解整个操作的逻辑和思路,整个操作流程可以多看几遍,同时看一些其他人给的方案,核心是要理解防护思路和工具的用法,等理解之后你自己也可以设计自己用着顺手的方案。有什么疑问可以留言,我看到会解释回复,大家也可回复交流。
我之所以用这种看起来比较绕的路径(lucky到雷池再到lucky再到内网服务)纯属我个人偏好,我觉得lucky自动申请ssl证书,设置网页认证密码等功能比较方便,所以我安排外网流量到的第一站是lucky,你们可以直接让外网流量直接先到雷池,清洗后再到lucky也行,效果是一样的。甚至其实除了ddns功能,雷池可以替代上述方案中所有用到的lucky功能,直接不要lucky也行,这个就给大家自行研究了。
另外建议大家在研究的时候可以善用ai工具。在我研究的过程中,豆包帮了我大忙,我觉得豆包最牛的地方是他的语言理解能力,他可以精准理解我表达的意思(我是小白,很多方面表达得并不专业),并且帮我搜索到我想要的资料,我不依赖豆包来帮我完成任务,但我把豆包当作一个强大的搜索工具,可以节省我很多找资料的时间。
提升方案
另外,这个方案还有提升的思路,专业的安防领域,一般会把防护和核心服务放在不同设备来运行,如果你家里还有其他的X86设备或者符合要求的旁路由之类的,可以将雷池和lucky部署在旁路由上更安全,nas只开放内网访问,这样即使旁路由被攻破了,对方也不能马上得到你的核心服务数据。
下集预告
这里挖个坑吧,最近在研究通过阿里云esa免费版实现家里只有ipv6公网的情况下,在外网ipv4自动转代理访问、ipv6自动解析直连访问,现在已经有点思路了,路也走通过了,但是整个方案还要完善打磨一下,测试一下稳定性、网速之类的,年前实在太忙,春节期间估计也没啥空了,年后看情况更新吧,还是希望与大家多交流多学习,与大家共勉!
