群晖HTTPS证书和防火墙安全设置几点心得
创作立场声明:欢迎理性交流,谢谢。
前言
之前写过两篇和外网访问有关的文章,解决了外网如何访问移动大内网的问题,有兴趣的可以移步查阅。
由于涉及到公网IP对外暴露的情况, 安全性是个不得不考虑的问题。上面第一篇文章为了便于访问,实际是关闭了路由器的IPv6防火墙,确实有一些安全隐患。
另外,既然第二篇文章中已经有了自己的免费域名,那么岂能没有HTTPS证书呢?否则很不安全姑且不说,群晖和浏览器三天两头弹出不安全连接的提示也着实受不了。
因此才有了写这篇文章的理由。
文章内容
1、为群晖常用服务开放防火墙端口
2、申请免费HTTPS证书
为群晖常用服务开放防火墙端口
1、增加IPv6防火墙端口
首先是以ROOT用户通过SSH登录路由器(我用的是万元路由器K2P),使用如下命令开放防火墙端口,多个端口号则依次输入。
ip6tables -A FORWARD -p tcp --dport 端口号 -j ACCEPT
大部分端口是tcp,如果是udp,则用下面的命令
ip6tables -A FORWARD -p udp --dport 端口号 -j ACCEPT
2、群晖常用端口号介绍
DSM 5000(HTTP)、5001(HTTPS)
Download Station 5000
Photo Station、Web Station 80(可添加另外的端口)、443(HTTPS)
File Station 5000
Video Station 5000(HTTP)、5001(HTTPS)
Synology Assistant 9999、9998、9997
媒体服务器 1900(UPnP)、50001(内容浏览)、50002(内容串流)
FTP 21、20、55536-55663(被动模式的数据连接)
CIFS smbd:139(netbios-ssn)、445(microsoft-ds)Nmbd:137、138
NFS 111、892、2049
WebDAV、CalDAV 5005、5006(HTTPS)
Cloud Station 6690
iTunes Server 3689
DS photo+ 80、443(HTTPS)
DS audio 5000、5001(HTTPS)
DS file 5005、5006(HTTPS)
DS video 5000(HTTP)、5001(HTTPS)
DS download 5000(HTTP)、5001(HTTPS)
3、设置脚本为自启动
为了每次重启路由器,端口开放能够生效,需要在启动脚本中增加上述命令。padavan的设置路径是:自定义设置-脚本- 在路由器启动后执行。我的路由器上配置如下:
4、查看IPv6防火墙规则
由于padavan没有ipv6的UI设置界面,如果要查看IPv6防火墙设置情况,可以通过以下命令。
ip6tables -vnL --line-numbers
5、删除某个防火墙规则命令
ip6tables -D FORWARD 规则序号(例如1)
申请免费HTTPS证书
目前免费https证书挺多,比较先进的是通过let's encrypt网站申请证书,由于该网站证书有效期仅有三个月,可以使用Certbot自动展期。但是我研究了半天,才发现let's encrypt展期只支持80端口,国内运营商并没有开放80。Certbot需要设置DNS服务器解析类型A指向域名,而我使用的移动内网只有IPv6公网地址,即只能使用AAAA解析类型,无奈只得作罢。
如果有电信IPv4公网IP,则可以考虑利用群晖Docker,构建Certbot,自动申请let's encrypt网站证书并展期。
经过以上分析,只有手动证书可选了,好在DNSPOD证书申请比较方便,完全一键傻瓜式操作,有效期长达12个月,完成够个人使用。那么就开始实操。
1、申请Dnspod证书
登录“https://www.dnspod.cn/”,进入管理控制台-DNS解析,点击要申请的域名,点击SSL标志,就会弹出域名申请按键,点击“免费申请”
进入免费申请页面,左边的SSL证书免费版适合个人用户,有效期1年。土豪用户可选右边的6800元版
。
申请完成后,就会变成待审核状态,一般来说一个工作日后就会通过申请。难得的是,春节期间(初五)申请的,第二天(初六)就已经变成申请通过了。
点击左边的“我的证书”,可以看到已经全部证书的状态,并可以进行下载证书的操作。
点击域名右边的下载按键,就会下载证书至本地,解压缩,得到证书文件,有好几个目录,其中ngnix目录下的两个文件是要导入群晖的证书。
2、在群晖中导入证书
进入控制面板-安全性-证书,选择导入证书。
私钥选择后缀是key的文件,证书选择后缀是crt的文件,中间证书空着就行。确定后即导入完成。
使用浏览器登录一下,输入域名,会自动使用https协议和5001端口,而且会出现小锁,证明HTTPS证书识别成功。
如果使用没有证书的子域名登录,则会提示证书不正确,不安全的红色感叹号很醒目,不过还是可以登录群晖的,只是没有使用https加密传输而已。
总结
通过以上设置,群晖外网访问更加安全了。如有其他好的经验,欢迎大家交流。











janeyre
校验提示文案
头腾
校验提示文案
再按一次退出
校验提示文案
小解2017
校验提示文案
小解2017
校验提示文案
再按一次退出
校验提示文案
头腾
校验提示文案
janeyre
校验提示文案