群晖HTTPS证书和防火墙安全设置几点心得

2021-02-24 22:22:12 32点赞 265收藏 13评论

创作立场声明:欢迎理性交流,谢谢。

前言

之前写过两篇和外网访问有关的文章,解决了外网如何访问移动大内网的问题,有兴趣的可以移步查阅。

移动宽带之私有云解决方案——光猫桥接及IPV6拨号是返乡过年?还是就地过年?最新一届#双面过节指南#开始啦!本次征稿活动分为A面返乡和B面就地,大家可以根据自己的情况,分享自己的春节攻略,优秀的投稿文章还有可能能获得优厚的大奖哦,快点击查看活动详情风之章| 148 评论150 收藏1k查看详情群晖IPv6动态域名解析保姆级教程是返乡过年?还是就地过年?最新一届#双面过节指南#开始啦!本次征稿活动分为A面返乡和B面就地,大家可以根据自己的情况,分享自己的春节攻略,优秀的投稿文章还有可能能获得优厚的大奖哦,快点击查看活动详情风之章| 86 评论60 收藏1k查看详情


由于涉及到公网IP对外暴露的情况, 安全性是个不得不考虑的问题。上面第一篇文章为了便于访问,实际是关闭了路由器的IPv6防火墙,确实有一些安全隐患。

另外,既然第二篇文章中已经有了自己的免费域名,那么岂能没有HTTPS证书呢?否则很不安全姑且不说,群晖和浏览器三天两头弹出不安全连接的提示也着实受不了。

因此才有了写这篇文章的理由。

文章内容

1、为群晖常用服务开放防火墙端口

2、申请免费HTTPS证书

为群晖常用服务开放防火墙端口

1、增加IPv6防火墙端口

首先是以ROOT用户通过SSH登录路由器(我用的是万元路由器K2P),使用如下命令开放防火墙端口,多个端口号则依次输入。

ip6tables -A FORWARD -p tcp --dport 端口号 -j ACCEPT

大部分端口是tcp,如果是udp,则用下面的命令

ip6tables -A FORWARD -p udp --dport 端口号 -j ACCEPT

2、群晖常用端口号介绍

DSM 5000(HTTP)、5001(HTTPS)

Download Station 5000

Photo Station、Web Station 80(可添加另外的端口)、443(HTTPS)

File Station 5000

Video Station 5000(HTTP)、5001(HTTPS)

Synology Assistant 9999、9998、9997

媒体服务器 1900(UPnP)、50001(内容浏览)、50002(内容串流)

FTP 21、20、55536-55663(被动模式的数据连接)

CIFS smbd:139(netbios-ssn)、445(microsoft-ds)Nmbd:137、138

NFS 111、892、2049

WebDAV、CalDAV 5005、5006(HTTPS)

Cloud Station 6690

iTunes Server 3689

DS photo+ 80、443(HTTPS)

DS audio 5000、5001(HTTPS)

DS file 5005、5006(HTTPS)

DS video 5000(HTTP)、5001(HTTPS)

DS download 5000(HTTP)、5001(HTTPS)

3、设置脚本为自启动

为了每次重启路由器,端口开放能够生效,需要在启动脚本中增加上述命令。padavan的设置路径是:自定义设置-脚本- 在路由器启动后执行。我的路由器上配置如下:

群晖HTTPS证书和防火墙安全设置几点心得

4、查看IPv6防火墙规则

由于padavan没有ipv6的UI设置界面,如果要查看IPv6防火墙设置情况,可以通过以下命令。

ip6tables -vnL --line-numbers

5、删除某个防火墙规则命令

ip6tables -D FORWARD 规则序号(例如1)

申请免费HTTPS证书

目前免费https证书挺多,比较先进的是通过let's encrypt网站申请证书,由于该网站证书有效期仅有三个月,可以使用Certbot自动展期。但是我研究了半天,才发现let's encrypt展期只支持80端口,国内运营商并没有开放80。Certbot需要设置DNS服务器解析类型A指向域名,而我使用的移动内网只有IPv6公网地址,即只能使用AAAA解析类型,无奈只得作罢。

如果有电信IPv4公网IP,则可以考虑利用群晖Docker,构建Certbot,自动申请let's encrypt网站证书并展期。

经过以上分析,只有手动证书可选了,好在DNSPOD证书申请比较方便,完全一键傻瓜式操作,有效期长达12个月,完成够个人使用。那么就开始实操。

1、申请Dnspod证书

登录“https://www.dnspod.cn/”,进入管理控制台-DNS解析,点击要申请的域名,点击SSL标志,就会弹出域名申请按键,点击“免费申请”

群晖HTTPS证书和防火墙安全设置几点心得

进入免费申请页面,左边的SSL证书免费版适合个人用户,有效期1年。土豪用户可选右边的6800元版群晖HTTPS证书和防火墙安全设置几点心得

群晖HTTPS证书和防火墙安全设置几点心得

申请完成后,就会变成待审核状态,一般来说一个工作日后就会通过申请。难得的是,春节期间(初五)申请的,第二天(初六)就已经变成申请通过了。

群晖HTTPS证书和防火墙安全设置几点心得

点击左边的“我的证书”,可以看到已经全部证书的状态,并可以进行下载证书的操作。

群晖HTTPS证书和防火墙安全设置几点心得

点击域名右边的下载按键,就会下载证书至本地,解压缩,得到证书文件,有好几个目录,其中ngnix目录下的两个文件是要导入群晖的证书。

2、在群晖中导入证书

进入控制面板-安全性-证书,选择导入证书。

私钥选择后缀是key的文件,证书选择后缀是crt的文件,中间证书空着就行。确定后即导入完成。

可以看到证书导入成功可以看到证书导入成功

使用浏览器登录一下,输入域名,会自动使用https协议和5001端口,而且会出现小锁,证明HTTPS证书识别成功。

群晖HTTPS证书和防火墙安全设置几点心得

如果使用没有证书的子域名登录,则会提示证书不正确,不安全的红色感叹号很醒目,不过还是可以登录群晖的,只是没有使用https加密传输而已。

群晖HTTPS证书和防火墙安全设置几点心得

总结

通过以上设置,群晖外网访问更加安全了。如有其他好的经验,欢迎大家交流。


展开 收起
13评论

  • 精彩
  • 最新
  • 我选择路由器打开openvpn,电脑连上vpn后用内网地址登录😎

    校验提示文案

    提交
    openvpn要外网地址吧

    校验提示文案

    提交
    用群晖的ddns解析之后openvpn连接就可以了,这样动态ip也可以连接,我基本这样。不过我用的是asus的路由器内的ddns歌路由器内建的oenvpn。

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • 用万网域名➕阿里云ssl证书,申请耗时更短,只要三五分钟就签发了

    校验提示文案

    提交
    dnspod的这个证书,1天时间也可以接受,关键是免费

    校验提示文案

    提交
    阿里云也是免费呀 [大吃一惊]

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • 学习收藏一下,谢谢

    校验提示文案

    提交
  • 证书上传为腾讯证书的3-2-1,就可以了

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
265
扫一下,分享更方便,购买更轻松