事前声明:需要准备一个域名!
事前逼逼叨
家里宽带有公网,之前都是直接把应用使用的端口在路由器上直接端口映射,方便快捷,但是这样暴露端口在公网上,是非常危险的,所以这期来写一篇使用Lucky反代的文章。
有人问了,Nginx不是也能反代么,1Panel不是也能反代么,咳咳,用过的人都知道,这俩反代,需要写一堆的配置,特别是服务一多端口一多,要多麻烦有多麻烦,而Lucky相对来说比较傻瓜操作,对我这种傻瓜刚刚好
正片开始
首先需要在飞牛上安装Lucky,应用商店就有,如果使用的是群晖等设备,可以自行安装
域名解析
进入阿里云域名控制台,添加两条解析记录,记录类型为A,主机记录分别为@和*,记录值为你的公网IP地址,TTL默认10分钟,解析完成状态为“启用”说明配置正确。
创建并获取AccessKey
点击右上角头像-AccessKey,在新打开的页面中点击“创建AccessKey”(注意:AccessKey只能获取一次,请保存到自己电脑本地并妥善保管)。
Lucky基础配置
飞牛的Lucky自带账号密码都是 666
登录lucky面板后,点击左侧“设置”,重新设置账号密码以确保安全,设置完成后重新登录。
配置 DDNS(动态域名解析)
作用:将你的公网 IP 动态绑定到域名,解决家庭宽带 IP 变动问题。
点击左侧“动态域名”,点击“添加任务”。
在弹出的窗口中,任务名称随意;操作模式:简易模式;托管服务商:阿里云;填写前面保存的AccessKey ID和 Secret;类型:ipv4;获取公网IP方式:通过接口获取;域名列表中填写两行:第一行是你的主域名http://yourdomain.com(不要带www),第二行*.http://yourdomain.com(用于二级域名泛解析);填写完毕点击“添加任务”。
添加完成后稍等片刻,面板中同步结果显示为“域名IP与公网IP一致”即表示ddns配置成功。
申请SSL证书
作用:实现https加密访问,保障你的数据安全。
点击左侧 安全管理——“SSL证书”,点击“添加证书”
在弹出的窗口中,证书备注随意;添加方式:ACME;证书机构:Let's Encrypt;验证方式:阿里云;填入AccessKey的ID、Secret、域名列表(和DDNS中设置一样);邮箱:填你自己的;DNS查询强制IPv4:启用;DNS查询仅使用TCP:启用;其他保持默认,点击“添加”。
添加成功后稍等片刻,面板中显示证书信息(有效期、域名、服务商等)即表示证书申请成功;需要注意的是,SSL证书有效期通常是3个月,证书到期时,系统会自动续签,无需手动操作。
配置反向代理
作用:将外部请求通过二级域名和固定端口转发到内网服务(如 NAS、Web 服务器等)。
添加反向代理规则
点击左侧“web服务”,点击“添加web服务规则”。
配置主规则
在弹出的窗口中,Web服务规则名称随意;规则开关:开启;操作模式:简易模式;监听类型:tcp4;监听端口:这里指的是反向代理服务的监听端口,后续你想要在外网用哪个固定端口号访问内网服务就设置什么,默认是16666,以我为例,设置的是8888,后续通过二级域名+端口号8888就可以访问内网指定服务;防火墙自动放行:开启;TLS:开启。
配置子规则
下拉点击“添加子规则”,子规则名称随意,为方便管理建议按对应服务命名,以我为例,这里命名为emby,表示这条子规则是针对我的emby服务配置;子规则开关:启用;web服务类型:反向代理;前端地址:填写访问内网服务的域名地址,以我为例http://emby.yourdoumain.com(无需填写请求头https和端口号);后端地址:填写内网服务实际地址,以我emby服务为例http://192.168.50.100:8096(需填写http://和端口号);其他保持默认,这样一条子规则就配置完成,可以继续向下添加其他子规则,最后点击“添加web服务规则”,反向代理就配置完成了。
端口转发
作用:将反向代理服务通过路由器端口映射到外网,从而实现外网访问。
进入路由器管理后台,找到端口转发,开启端口转发并添加规则;
以我华硕路由器为例,在外部网络-端口转发;
填写服务名称随意,外部端口号8888、本地IP(这里只lucky的内网IP,以我为例是192.168.50.100)本地端口号8888,协议类型TCP/UDP。
和正向代理相比,这里不需要把每个服务单独的内网端口都映射出去,只需要映射反代服务(即lucky)的端口就可以了。
验证与测试
访问域名测试
浏览器输入 https://emby.yourdomain.com:8888,就可以跳转到内网的emby服务。
检查日志
在 Lucky 的日志页面查看 DDNS 更新和反向代理请求记录。
常见问题
DDNS 不更新
检查AccessKey的ID、Secret是否正确,确认域名解析记录类型为 A(IPv4)或 AAAA(IPv6)。
反向代理无法访问
确认内网服务正常,防火墙放行端口,路由器配置了端口转发。
Http无法访问
按照以上配置,我们在使用域名访问服务时,都需要带上https://,否则在某些浏览器中会自动被识别为http://,造成无法访问,这个时候我们需要再配置一条重定向规则,让所有访问地址都自动跳转到https://上。
添加重定向规则
点击左侧“web服务”,点击“添加web服务规则”。
在弹出的窗口中,Web服务规则名称随意;规则开关:开启;操作模式:简易模式;监听类型:tcp4;监听端口:8888;防火墙自动放行:开启;TLS:关闭。展开“默认子规则”,服务类型:重定向;默认目标地址:https://{host}:{port};万事大吉:开启;其他保持默认,最后点击“添加web服务规则”,重定向规则也配置完成了。
至此,外网通过二级域名+固定端口号的方式访问内网服务的配置就全部完成了。
但是!homeassistant需要单独配置一项
编辑configuration.yaml
http:
use_x_forwarded_for: true
trusted_proxies:
- 127.0.0.1
- 192.168.5.0/24 #这行需要改成你局域网的网段或者你反代机器的ip注意,如果你nas有两个网口ip不同,需要都加上(我之前弄AMT-vPro弄得两个网口,需要都加上了)
但是但是!
qb需要在设置-webui中关闭“启用“点击劫持”保护”、“启用跨站请求伪造 (CSRF) 保护”两个选项
至此完结,安全多了!
