作者:wintsa123
引言
1. 简介
在上一篇文章中,我们介绍了如何安装雷池,但在配置过程中还有许多细节需要注意。我在这个过程中踩了不少坑,通过总结,将这些经验分享给大家。
如果你拥有公网 IP 和 80 端口,你可以直接通过群晖的反向代理将 80 端口指向雷池的监听端口,这样就可以直接使用了。或者,你也可以进入 root 权限,将 Nginx 监听的 80 端口改为其他端口。关于这一部分,在网上有很多教程,这里就不再赘述。
2. DDNS 和 FRP
2.1 环境说明
首先,让我们来看看 DDNS 和 FRP 的配置。我先说明一下我的环境:我在群晖上分配到了独立的 IPv6 地址,而不是通过 NAT 获取的 IPv6 地址。然后,我在群晖上使用 Lucky 进行 DDNS,直接将域名指向群晖。
2.2 SSL 证书申请
首先,在 Lucky 上进行 DDNS 和 SSL 证书申请。证书申请我们使用 ACME,颁发机构使用 FreeSSL。请不要使用其他的,因为其他的 DDNS 无法验证。只有 FreeSSL 的 CNAME 或者 Certbot 的 DNS 可以验证。
2.3 导入证书到雷池 WAF
然后,将申请到的证书下载到本地,进入雷池 WAF,导入证书。你可能会问我为什么不直接使用雷池 WAF 的免费证书申请?因为雷池的这个申请不支持泛域名。除非你的网站很少,否则我相信没有人会愿意申请这么多证书。
3. 代理设置
进入代理设置全勾上,一开始忘记勾选监听ipv6,结果折腾半天,还以为是因为bridge的原因,端口监听错了。
3.1 反向代理配置
我以群晖为例,进行设置反代
尝试打开网站,已经是可以打开了。
4. 修改防火墙
4.1 查找 Bridge 网桥的 IP 地址
接下来,就是修改防火墙,关闭端口,为了外来的流量只通过雷池WAF监听的端口,再进入服务,这样才安全。
先进入docker,查看bridge网桥的ip地址,记录下来
4.2 防火墙设置
按我这里填写,优先放行局域网和网桥的地址,不然你布置bridge网络的服务走api请求时可能无法成功,然后直接把所有端口关闭。当然你也可以只关闭对应服务的端口,我这里存粹是偷懒~
现在可以测试,用公网域名加原端口访问,已经无法连接了,手机app服务也需要使用新的在雷池WAF的端口访问才可以~
5.雷池WAF的高频访问设置
这个功能如果启用,建议把阈值调高一些,不然一些公司共用同一个公网ip的有可能会误判为攻击,一些接口可能会失效。
6.身份验证
使用场景就是一些服务,没有默认密码的,比如Transmission的,放在公网上就很不安全。谁都能直接打开然后删除你的种子,小姐姐真的会很没安全感的。
在这里添加认证,匹配规则使用host,然后填写域名+端口
打开效果如图
爽了
~
以上便是本期的全部内容了,如果你觉得还算有趣或者对你有所帮助,不妨点赞收藏,最后也希望能得到你的关注,哥们下期见!
