群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!

2024-04-21 12:35:10 18点赞 195收藏 45评论

引言

1. 简介

在上一篇文章中,我们介绍了如何安装雷池,但在配置过程中还有许多细节需要注意。我在这个过程中踩了不少坑,通过总结,将这些经验分享给大家。

如果你拥有公网 IP 和 80 端口,你可以直接通过群晖的反向代理将 80 端口指向雷池的监听端口,这样就可以直接使用了。或者,你也可以进入 root 权限,将 Nginx 监听的 80 端口改为其他端口。关于这一部分,在网上有很多教程,这里就不再赘述。

2. DDNS 和 FRP

  • 2.1 环境说明

首先,让我们来看看 DDNS 和 FRP 的配置。我先说明一下我的环境:我在群晖上分配到了独立的 IPv6 地址,而不是通过 NAT 获取的 IPv6 地址。然后,我在群晖上使用 Lucky 进行 DDNS,直接将域名指向群晖。

  • 2.2 SSL 证书申请

首先,在 Lucky 上进行 DDNS 和 SSL 证书申请。证书申请我们使用 ACME,颁发机构使用 FreeSSL。请不要使用其他的,因为其他的 DDNS 无法验证。只有 FreeSSL 的 CNAME 或者 Certbot 的 DNS 可以验证。

群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!
  • 2.3 导入证书到雷池 WAF

然后,将申请到的证书下载到本地,进入雷池 WAF,导入证书。你可能会问我为什么不直接使用雷池 WAF 的免费证书申请?因为雷池的这个申请不支持泛域名。除非你的网站很少,否则我相信没有人会愿意申请这么多证书。

群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!

3. 代理设置

进入代理设置全勾上,一开始忘记勾选监听ipv6,结果折腾半天,还以为是因为bridge的原因,端口监听错了。

群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!
  • 3.1 反向代理配置

我以群晖为例,进行设置反代

群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!

尝试打开网站,已经是可以打开了。

群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!

4. 修改防火墙

  • 4.1 查找 Bridge 网桥的 IP 地址

接下来,就是修改防火墙,关闭端口,为了外来的流量只通过雷池WAF监听的端口,再进入服务,这样才安全。

先进入docker,查看bridge网桥的ip地址,记录下来

群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!
  • 4.2 防火墙设置

按我这里填写,优先放行局域网和网桥的地址,不然你布置bridge网络的服务走api请求时可能无法成功,然后直接把所有端口关闭。当然你也可以只关闭对应服务的端口,我这里存粹是偷懒~

群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!

现在可以测试,用公网域名加原端口访问,已经无法连接了,手机app服务也需要使用新的在雷池WAF的端口访问才可以~

5.雷池WAF的高频访问设置

这个功能如果启用,建议把阈值调高一些,不然一些公司共用同一个公网ip的有可能会误判为攻击,一些接口可能会失效。

群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!

6.身份验证

使用场景就是一些服务,没有默认密码的,比如Transmission的,放在公网上就很不安全。谁都能直接打开然后删除你的种子,小姐姐真的会很没安全感的。

群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!

在这里添加认证,匹配规则使用host,然后填写域名+端口

打开效果如图

群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!

爽了群晖Lucky+雷池WAF优化设置,轻松搞定网络安全!~

以上便是本期的全部内容了,如果你觉得还算有趣或者对你有所帮助,不妨点赞收藏,最后也希望能得到你的关注,哥们下期见!

作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

展开 收起
45评论

  • 精彩
  • 最新
  • 能跑起来,我个人意见,可能在群晖上起虚拟机,虚拟机上装雷池,路由DMZ雷池虚拟机出去,所有流量先过雷池,这样会比较好

    校验提示文案

    提交
    是会比较好。但我的情况是万兆网卡直通给群晖,入口直接在群晖这。

    校验提示文案

    提交
    可以直接在群晖上安装,不用虚拟机,我在群晖上安装好了雷池WAF。

    校验提示文案

    提交
    还有15条回复
    收起所有回复
  • 没公网可以反向访问吗

    校验提示文案

    提交
    可以,需要frp/ddns。

    校验提示文案

    提交
    唉就是得有frp服务器

    校验提示文案

    提交
    还有5条回复
    收起所有回复
  • lucky的作用就是申请证书吗,那为什么不直接用acme.sh呢

    校验提示文案

    提交
    lucky主功能是ddns。你要是用acme也可以,只不过lucky已经内置了这个功能

    校验提示文案

    提交
    收起所有回复
  • github上说脚本能自动添加let's encrypt证书,大佬出个教程?毕竟没人喜欢绑手机

    校验提示文案

    提交
    其实我已经给他们提过这种需求了

    校验提示文案

    提交
    好吧,感谢大佬的努力

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 好东西,但是我设置了反代,有1000多条……换这个就得逐条修改端口什么 [喜极而泣]

    校验提示文案

    提交
    是,我也反馈了这个问题。 [高兴] 你如果没有太容易触发拦截的请求的话,可以通过waf再到nginx反代 [高兴]

    校验提示文案

    提交
    什么意思?举个例子,我现在影射了12345端口作为反代,剩下的就是域名+12345访问,我怎么把waf设置在前呢?我刚才试了下,映射23456,然后域名+23456,跳转到域名+12345,然后在到最终的内网+端口号,可以失败了

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 怎么让雷池在lucky后面或者前面保护呢?

    校验提示文案

    提交
    lucky相当于ddns,雷池相当于nginx

    校验提示文案

    提交
    请问有个问题,爱快端口里dmz到雷池的ip端口,就是直接把雷池作为下级服务器了吗?我的几个lxc包括halo,还有个主机,都通过雷池反代,现在流量是通过网络到爱快,再到雷池,再到服务端口吗?

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • "哈哈,看来你的网络安全感知度比病毒还高呢!不过,别忘了给防火墙也来点'幸运符'哦~"

    校验提示文案

    提交
  • 感谢文章,非常好,让我的私有服务安全性又上了个台阶

    校验提示文案

    提交
  • [亲亲]

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
目录
195
扫一下,分享更方便,购买更轻松