[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

2024-03-15 23:31:09 23点赞 183收藏 27评论

ps:折腾雷池 WAF 纯粹是为了折腾而折腾,并不是家庭 AIO 最好的解决方案,希望值友轻喷(最近有点玻璃心)

前言

以下是我的絮絮叨叨,没什么用,不用看。

在上一篇中我为我的 1135G7 小主机安装了 PVE8,在那之后我一直使用的 nginx 反向代理内网的各种服务,总体很稳定。最近看到了雷池 WAF 也能实现反向代理(底层好像也是 NGINX),加之雷池是一款开源的 web 防火墙。这就让我想到了是否能使用雷池来替代 nginx(有歧义)。

至于为什么不用 lucky,这就要提到我前段时间想写一个 nginx+ddns+ssl 的管理系统也就是跟 lucky 差不多,所以我就一直没用 lucky,希望我能写出来吧。话题回到雷池,雷池作为 web 防火墙肯定是会有防护能力的。毕竟大家可能会部署很多服务,保不齐某些服务就有漏洞没被及时修复,但套了雷池 web 防火墙后,能大幅度提高安全性。

介绍

以下为雷池的介绍:

雷池(SafeLine)是长亭科技耗时近 10 年倾情打造的 WAF,核心检测能力由智能语义分析算法驱动。

以下为 WAF 的介绍:

WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。

区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击。

效果

图个心安图个心安非常的美滋滋非常的美滋滋

准备

  • 安装了 PVE8 的小主机

  • 聪明的小脑瓜

  • 爱折腾的你

  • 絮絮叨叨的我

  • Ubuntu 22.04 LTS 镜像 Debian 等镜像也行

开始

1、创建虚拟机

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

这是我虚拟机的配置

创建后安装 Ubuntu 就行,我相信大家都会的,需要注意的是 Ubuntu Server 22.04 LTS 安装时使用 lvm-group 功能,会导致 PVV8 分配的硬盘空间不能被全部使用。

PS:当然你也可以在安装时调整

解决办法:

#设置使用剩余磁盘 sudo lvextend -l +100%FREE /dev/mapper/ubuntu--vg-ubuntu--lv #此时并未生效 #重新计算大小 sudo resize2fs /dev/mapper/ubuntu--vg-ubuntu--lv #使用df -h变能看到已经修改

可以看到硬盘空间已被全部分配可以看到硬盘空间已被全部分配

2、Ubuntu 安装雷池 WAF

1、设置 root 密码

sudo passwd root

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

2、切换为 root 用户

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

3、安装雷池

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)" #使用华为云加速,可使用 CDN=1 bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)" #安装最新版本流式检测模式 STREAM=1 bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

安装路径默认就行,毕竟这台虚拟机也就只跑雷池

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性安装很简单的跟着文字走就行安装很简单的跟着文字走就行

安装完成,记录一下用户名和密码

4、配置雷池

访问虚拟机 IP:9443,进入雷池后台!

输入初始用户密码登录,使用微软的 Authenticator 绑定(当然也可以使用其他的,我是使用的微软的。)

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

绑定后使用动态口令登录

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

安装完成

3、使用雷池

首先导入证书

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

由于家用带宽封 443,80 端口所以不能使用雷池的申请证书的功能,这里我们上传自己的证书,可以为 acme.sh 申请的证书,等下在虚拟机安装 acme.sh 也可以自动更新雷池中的证书,只是有一点不完美那就是雷池管理证书界面的日期不会改变,但实际上已经可以自动续期。

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

导入后我们添加需要反向代理的站点,这里我用群晖做演示。

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

成功访问,这样我们就可以将家里的各种服务通过反向代理代理出去,免去记端口的烦恼。

[该搞机了]篇二:使用雷池WAF反向代理内网各种服务 提高内网服务的安全性

结语

折腾雷池,纯粹是无聊折腾着玩的,不代表是最好的解决方案,但我使用下来,比我手动配置 Nginx 或者使用 NPM 好太多。毕竟雷池是 web 防火墙,给自己加一成安全的 buff。

这是我家庭网络的结构,给大家一点思路!

画的丑,见谅画的丑,见谅

作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

展开 收起
27评论

  • 精彩
  • 最新
  • 假如我的群晖 ip195.168.1.59我再群晖里跑的docker安装的雷池,路由映射外网端口9000对应群晖5000。雷池设置的域名fkddzrw.top。监听端口9000。防护的群晖192.168.1.59:5000 外网电脑使用fkddzrw.top:9000可以访问群晖。为什么雷池没有监听到呢

    校验提示文案

    提交
  • emby怎么走雷池?我开放88端口,通过emby.xx.com:88访问雷池转到内网群晖端口1244,然后群晖设置反代到emby8096端口,无法访问。

    校验提示文案

    提交
  • 也要域名是吧?

    校验提示文案

    提交
    对的,腾讯云xyz数字域名好像几十块十年

    校验提示文案

    提交
    namesilo去申吧 国内实名烦死了

    校验提示文案

    提交
    收起所有回复
  • 我正想研究,刚刚研究出点东西 [邪恶]

    校验提示文案

    提交
    [脸红] 挺好用的

    校验提示文案

    提交
    [邪恶] [邪恶] 要映射的端口有点多,一直懒得搞 [高兴]

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • 群晖设置的没问题,可以正常访问,但是设置ikuai的时候就跳不过去了

    校验提示文案

    提交
    反向代理ikuai么?ikuai好像不能被反向代理,我记得ikuai论坛有解决方法,没试过。

    校验提示文案

    提交
    哦。。。可能就是这个原因吧,反正没成功,我也就没弄了

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • 你这么配置没用吧,流量都没通过雷池

    校验提示文案

    提交
    [亲亲] 你这话把我说懵了,我都不知道咋回答。没经过雷池,我内网反向代理也关了,我现在还能访问,难道是魔法么 [喜极而泣]

    校验提示文案

    提交
    哈哈哈是我设置错了,我开映射的时候得开雷池的地址,我还是设置的源ip,现在好了😁

    校验提示文案

    提交
    收起所有回复
  • 能像lucky一样配置规则让访问http自动转成https 吗

    校验提示文案

    提交
    可以

    校验提示文案

    提交
    收起所有回复
  • 非常赞 [鼓掌] 谢谢你的教程

    校验提示文案

    提交
  • ubnutu的桌面系统是什么样子的?做电视盒子?

    校验提示文案

    提交
  • 不好意思,看成碧池了

    校验提示文案

    提交
  • 不是很香,暂时还没看到有群晖上嫩直接部署的

    校验提示文案

    提交
  • 写的很棒,已经照着部署,感谢大佬分享 [赞]

    校验提示文案

    提交
  • 可以自动给域名申请证书吗?

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
183
扫一下,分享更方便,购买更轻松