2月份飞牛的暴雷,不得不考虑NAS安全防护。上一篇博客文章《NAS,如何做好安全防护!》,只是从原理及理论上讲了Lucky+雷池waf的作用,今天我们再加上一个Tailscale。
我的网络的软硬件环境,J4125下ESXI虚拟了爱快、Openwrt、黑群晖,另外一台单独的物理机装的飞牛NAS。在之前,我是把Lucky和雷池都是部署的飞牛NAS上,这样虽然起到了保护作用,但是防护和服务都部署在同一台飞牛NAS上,还是存在一定的隐患。所以双休的时候,又在J4125上再虚拟了Debian,在Debian上部署了Lucky和雷池waf,至少做到了服务与防护相分离,安全性也得到了进一步的提升。
我的网络服务需求是这样的,一是双休以及长假孩子在家上网,而有时我长时间在外面很不好控制家里的网络,所以需要在外连接家里的爱快控制孩子上网,像这种需求,属于“非公开”、“不经常”性服务。二是飞牛NAS上部署了各项服务比如emby等,在外面经常需要使用到emby等。当然,这项服务还可以提供家亲戚朋友们使用,属于“公开”、“经常”性服务。非公开、不经常的服务,我来用Tailscale来进行防护,公开、经常性的服务,我们用Lucky+雷池waf进行防护。
Tailscale部署与配置
Tailscale 是一款基于 WireGuard 的零配置网状网络(Mesh VPN)工具,核心功能是让位于不同网络环境(家中、公司、云端)的设备组成一个私有的、加密的虚拟局域网(Tailnet)。
直接从飞牛的应用中心安装即可,打开界面后,右侧有详细的安装步骤,网上这类教程也非常的多,不再多述。同一局域网下,只需有安装一个服务端即可,像我这样的网络环境,可以安装在飞牛NAS上,也可以安装在群晖里。为了图省事,我安装在了飞牛上,但是,还是建议大家部署到路由上,毕竟路由是24小时不断电常开的,像我这样部署在飞牛上,哪天飞牛关掉了,也就没有办法利用Tailscale连接到家里的内网了。
openwrt部署配置Tailscale的教程很多,现在爱快iKuaiOS版也可以折腾各项“应用”和Docker了,把Tailscale部署在爱快上是最佳的选择。
家里的服务端部署好后,在手机或在外面常使用的电脑上安装Tailscale客户端,登录与服务端同一账号后Tailscale个人中心就会看到新设备。经过设置后,就可以用家里局域网段IP加端口访问家里网络的所有服务了!比如在外地,用手机浏览器,直接输入192.168.1.1就可以连接到家里的爱快进行设置,来控制孩子上网了。
Tailscale的局限性是需要安装客户端,需要登录自己的账号。如果家里的网络服务只是自己和家人使用的话,Tailscale方案完全可以了,就不需要部署lucky+雷池waf了。
Lucky部署配置
Lucky我是在Debian上用Docker方式部署的,当然你也可以部署在爱快、openwrt上。如果使用了Lucky自带的WAF时,那最好与被防护对方部署在不同的物理机上。Lucky中,我们需要设置动态域名、SSL证书,这两项都可以用泛域名,比较省心。
重点设置在“Web服务”这一项。
划重点:监听端口,自己随便设置一个不容易被扫端口,这里你所设置的端口必须在爱快里进行端口映射到外网,这个端口也是你的网络唯一暴露在外网的端口!TLS开启,因为我们已经申请了SSL证书,CorazaWAF关掉,因为我们后面会部署雷池WAF。
设置Web服务规则的子规则,如上图,前端地址为自己设置的二级域名,后端地址为雷池的IP地址,注意监听端口可以自己随意设置,不冲突即可,但是务必与雷池中“防护应用”里设置的端口一致。
雷池部署及配置
雷池一键部署,非常方便。配置需要在“防护应用”中添加需要重定向的服务。
域名项直接使用通配符,不需要修改。特别注意端口,填写在Lucky的WEB规则中子规则设置的端口号,必须相同。上游服务器,也就是最终的访问服务的IP加端口,有端口号的必须要加上。
不同的服务,在Lucky的web规则中添加子规则,在雷池waf中添加防护应用即可。至此,Lcuky+雷池waf设置完毕,在外网就可以使用二级域名加端口号访问家里的服务了,比如:ikuai.XXX.com:15421、emby.XXX.com:15421,二级域名不同,端口号一样,就是在Lucky的webf规则中设置的监听端口。
NND,真的不想写教程,又花了一个半小时时间,写出来的自己都不满意!各位看官将就看吧!