2月份飞牛的暴雷，不得不考虑NAS安全防护。上一篇博客文章《NAS，如何做好安全防护！》，只是从原理及理论上讲了Lucky+雷池waf的作用，今天我们再加上一个Tailscale。

我的网络的软硬件环境，J4125下ESXI虚拟了爱快、Openwrt、黑群晖，另外一台单独的物理机装的飞牛NAS。在之前，我是把Lucky和雷池都是部署的飞牛NAS上，这样虽然起到了保护作用，但是防护和服务都部署在同一台飞牛NAS上，还是存在一定的隐患。所以双休的时候，又在J4125上再虚拟了Debian，在Debian上部署了Lucky和雷池waf，至少做到了服务与防护相分离，安全性也得到了进一步的提升。

我的网络服务需求是这样的，一是双休以及长假孩子在家上网，而有时我长时间在外面很不好控制家里的网络，所以需要在外连接家里的爱快控制孩子上网，像这种需求，属于“非公开”、“不经常”性服务。二是飞牛NAS上部署了各项服务比如emby等，在外面经常需要使用到emby等。当然，这项服务还可以提供家亲戚朋友们使用，属于“公开”、“经常”性服务。非公开、不经常的服务，我来用Tailscale来进行防护，公开、经常性的服务，我们用Lucky+雷池waf进行防护。

Tailscale部署与配置

Tailscale 是一款基于 WireGuard 的零配置网状网络（Mesh VPN）工具，核心功能是让位于不同网络环境（家中、公司、云端）的设备组成一个私有的、加密的虚拟局域网（Tailnet）。

直接从飞牛的应用中心安装即可，打开界面后，右侧有详细的安装步骤，网上这类教程也非常的多，不再多述。同一局域网下，只需有安装一个服务端即可，像我这样的网络环境，可以安装在飞牛NAS上，也可以安装在群晖里。为了图省事，我安装在了飞牛上，但是，还是建议大家部署到路由上，毕竟路由是24小时不断电常开的，像我这样部署在飞牛上，哪天飞牛关掉了，也就没有办法利用Tailscale连接到家里的内网了。

openwrt部署配置Tailscale的教程很多，现在爱快iKuaiOS版也可以折腾各项“应用”和Docker了，把Tailscale部署在爱快上是最佳的选择。

家里的服务端部署好后，在手机或在外面常使用的电脑上安装Tailscale客户端，登录与服务端同一账号后Tailscale个人中心就会看到新设备。经过设置后，就可以用家里局域网段IP加端口访问家里网络的所有服务了！比如在外地，用手机浏览器，直接输入192.168.1.1就可以连接到家里的爱快进行设置，来控制孩子上网了。

Tailscale的局限性是需要安装客户端，需要登录自己的账号。如果家里的网络服务只是自己和家人使用的话，Tailscale方案完全可以了，就不需要部署lucky+雷池waf了。

Lucky部署配置

Lucky我是在Debian上用Docker方式部署的，当然你也可以部署在爱快、openwrt上。如果使用了Lucky自带的WAF时，那最好与被防护对方部署在不同的物理机上。Lucky中，我们需要设置动态域名、SSL证书，这两项都可以用泛域名，比较省心。

重点设置在“Web服务”这一项。

划重点：监听端口，自己随便设置一个不容易被扫端口，这里你所设置的端口必须在爱快里进行端口映射到外网，这个端口也是你的网络唯一暴露在外网的端口！TLS开启，因为我们已经申请了SSL证书，CorazaWAF关掉，因为我们后面会部署雷池WAF。

设置Web服务规则的子规则，如上图，前端地址为自己设置的二级域名，后端地址为雷池的IP地址，注意监听端口可以自己随意设置，不冲突即可，但是务必与雷池中“防护应用”里设置的端口一致。

雷池部署及配置

雷池一键部署，非常方便。配置需要在“防护应用”中添加需要重定向的服务。

 

域名项直接使用通配符，不需要修改。特别注意端口，填写在Lucky的WEB规则中子规则设置的端口号，必须相同。上游服务器，也就是最终的访问服务的IP加端口，有端口号的必须要加上。

不同的服务，在Lucky的web规则中添加子规则，在雷池waf中添加防护应用即可。至此，Lcuky+雷池waf设置完毕，在外网就可以使用二级域名加端口号访问家里的服务了，比如：ikuai.XXX.com:15421、emby.XXX.com:15421，二级域名不同，端口号一样，就是在Lucky的webf规则中设置的监听端口。

NND，真的不想写教程，又花了一个半小时时间，写出来的自己都不满意！各位看官将就看吧！

===========================AI总结=====================

 

📝 文章总结：Tailscale+Lucky+ 雷池 WAF 组合防护 NAS

🎯 核心目的

2 月份飞牛 NAS"暴雷"事件后，加强 NAS 安全防护。实现服务与防护分离，提升安全性。

🏗️ 网络架构

硬件环境：

• J4125 主机：ESXI 虚拟化 爱快 + Openwrt + 黑群晖

• 独立物理机：飞牛 NAS

部署方案：

• 之前：Lucky 和雷池都部署在飞牛 NAS 上（❌ 防护和服务同一台，有隐患）

• 现在：在 J4125 上新增 Debian 虚拟机，Lucky 和雷池部署在 Debian 上（✅ 服务与防护分离）

───

🔐 三层防护策略

| 服务类型 | 使用场景 | 防护方案 | | ------- | ------------------- | -------------- | | 非公开、不经常 | 远程管理爱快、控制孩子上网 | Tailscale | | 公开、经常性 | Emby 等 NAS 服务，供亲友使用 | Lucky + 雷池 WAF |

───

📌 各组件作用

1️⃣ Tailscale

• 功能：基于 WireGuard 的零配置 Mesh VPN，组建私有加密虚拟局域网

• 部署：飞牛 NAS 应用中心直接安装（建议部署在爱快/路由上，24 小时常开）

• 使用：手机/电脑安装客户端，登录同一账号，即可用内网 IP+ 端口访问家里所有服务

• 局限：需安装客户端 + 登录账号，适合仅家人使用

2️⃣ Lucky

• 部署：Debian 上 Docker 方式部署

• 核心配置：

• 监听端口：自定义不易被扫的端口（需在爱快做端口映射，这是唯一暴露外网的端口）

• TLS：开启（已申请 SSL 证书）

• CorazaWAF：关闭（由雷池负责）

• Web 服务子规则：前端=二级域名，后端=雷池 IP+ 端口

 

3️⃣ 雷池 WAF

• 部署：一键部署

• 配置：

• 防护应用：添加需重定向的服务

• 域名：通配符

• 端口：与 Lucky Web 规则子规则端口一致

• 上游服务器：最终服务的 IP+ 端口

 

───

🌐 最终效果

外网访问格式：二级域名：端口号

 

• 例：ikuai.XXX.com:15421

• 例：emby.XXX.com:15421

 

不同服务用不同二级域名，端口号相同（Lucky 监听端口）。

───

💡 核心思路

分层防护：私密管理用 Tailscale（零信任内网），公开服务用 Lucky+ 雷池（WAF 防护）

服务分离：防护组件与被保护服务不在同一台机器，避免一锅端