核心内容摘要
歪歪漫画书:那些年,我们一起追的“歪”与“萌”
最近国产NAS系统飞牛被爆出严重安全漏洞路径穿越跳过权限验证直接访问系统内部资料一度冲上知乎热榜不少用户都在担忧数据安全今天一篇教程教你拯救自己的NAS。
你以为开了 IPv6 就能愉快外网访问 NAS现实是全网扫描器会比你家人更先发现它。
尤其是 NAS 后台、相册这种服务——爆破、撞库、弱口令都是日常。
我这篇教程带你一步到位✅ 相册、后台走 Cloudflare免费 WAF HTTPS 隐藏真实 IP✅ 影视不走 Cloudflare避免大流量/限制但仍保持可控访问✅ 飞牛系统通过Nginx 统一入口外网只开 443一个洞都不多01最终架构长什么样一图看懂谁该走 WAF谁不该走。
家人手机/电脑/电视Cloudflare: WAF HTTPS Bot防护Nginx 反代: 443 统一入口相册服务: 内网端口飞牛后台: 内网端口影视域名 DNS only: 直连 IPv6核心原则对外暴露的入口越少越安全公网只开 443必要时加 80 用于跳转后台、相册这种“高价值目标”必须过 WAF影视走直连更稳大流量不要走 Cloudflare 免费代理02准备清单别跳过你只需要准备 3 件东西一个域名比如xxx.com公网 IPv6 地址从路由器 WAN/拨号信息里查到最好是稳定的前缀飞牛 NAS 内网信息NAS 内网 IP例如
192.
168.
10飞牛后台端口例如5666相册端口例如5000影视端口例如809603Cloudflare 具体配置可照着点下面步骤我按“点哪、选啥、填啥”写尽量不讲流程概念。
Step 1添加站点 接入域名注册Cloudflare自动防DDoS攻击。
打开 Cloudflare 控制台Add a site添加站点输入你的主域名xxx.com套餐选FreeCloudflare 会给你两条NSNameserver去你的域名注册商后台把 NS 改成 Cloudflare 给的两条回来等状态变成Active这一段做完你的域名 DNS 才算“交给 Cloudflare 托管”。
Step 2DNS 解析三件套photo / admin / movie进入DNS → Records → Add record
1 相册域名走 WAF橙云TypeAAAANamephotoContent你的公网 IPv6ProxyProxied橙云 ☁️Save
2 后台域名走 WAF橙云TypeAAAANameadminContent你的公网 IPv6ProxyProxied橙云 ☁️Save
3 影视域名不走 WAF灰云TypeAAAANamemovieContent你的公网 IPv6ProxyDNS only灰云Save你最终会得到photo.xxx.com相册安全优先admin.xxx.com后台安全最高movie.xxx.com影视稳定优先Step 3SSL/TLS 必须这样选别选错进入SSL/TLS → OverviewEncryption mode选择Full (strict)✅再进入SSL/TLS → Edge Certificates打开✅ Always Use HTTPSHTTP 自动跳 HTTPSStep 4打开 Bot 防护挡扫描器进入Security安全→ Bots打开✅ Bot Fight Mode设置安全规则拦截非中国ip的请求这一步对 NAS 很关键90% 扫描器会被挡在外面。
Step 5限速防爆破/撞库进入Security → WAF → Rate Limiting不同面板位置可能略有差异推荐你直接照抄两条规则 1后台更严格URLadmin.xxx.com/*频率10 次 / 10 秒 / IP动作Block阻断规则 2相册适中URLphoto.xxx.com/*频率30 次 / 10 秒 / IP动作Managed Challenge 或 Block04飞牛里部署 Nginx统一入口
4
1 Docker 方式启动示例dockerrun -d\--name nginx\--restartalways\-p80:80\-p443:443\-v /data/nginx/conf.d:/etc/nginx/conf.d\-v /data/nginx/certs:/etc/nginx/certs\nginx路径/data/nginx/...按飞牛实际目录改成你自己的挂载路径。
2 反代配置可复制在/data/nginx/conf.d/下创建A相册photo.xxx.comserver { listen 443 ssl; server_name photo.xxx.com; # 证书可用 Cloudflare Origin Cert 或你自己的 ssl_certificate /etc/nginx/certs/fullchain.pem; ssl_certificate_key /etc/nginx/certs/privkey.pem; location / { proxy_pass http://
192.
168.
10:5000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }B飞牛后台admin.xxx.comserver { listen 443 ssl; server_name admin.xxx.com; ssl_certificate /etc/nginx/certs/fullchain.pem; ssl_certificate_key /etc/nginx/certs/privkey.pem; location / { proxy_pass http://
192.
168.
10:5666; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }C影视movie.xxx.com直连但走 Nginx 更统一server { listen 443 ssl; server_name movie.xxx.com; ssl_certificate /etc/nginx/certs/fullchain.pem; ssl_certificate_key /etc/nginx/certs/privkey.pem; location / { proxy_pass http://
192.
168.
10:8096; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } }重载 Nginxdockerexec-it nginx nginx -s reload05路由器只做一件事只放行 443必要时 80✅ 允许443 → 转发到飞牛Nginx 容器80 → 可选用于跳转 https❌ 禁止5666后台端口直出公网5000相册端口直出公网8096/32400 等影视端口直出公网以及UPnP务必关闭外网只能看到 Nginx真实端口全部藏在内网这是这套方案的精髓。
063 分钟验收你是否真的“上线成功”拿手机关 Wi-Fi走流量打开https://photo.xxx.com能打开 是 HTTPS ✅打开https://admin.xxx.com能打开后台登录页 ✅打开https://movie.xxx.com影视可播放且不卡 ✅07必踩的 6 个坑我替你踩过了坑 1影视也开橙云现象播放卡、加载慢、甚至被限制解决movie.xxx.com用灰云DNS only坑 2SSL 选了 Flexible现象后台各种重定向异常、登录不稳定解决必须Full (strict)坑 3路由器开了 UPnP现象你以为没映射结果自动开了一堆端口解决UPnP 关掉坑 4把后台端口直接映射出去了现象扫描器直接打到后台解决后台只能反代不准直出公网坑 5限速太狠误伤家人现象家人说“怎么老验证/打不开”解决相册限速放宽后台严格就行坑 6IPv6 会变现象今天能用明天域名解析就失效解决用 DDNS支持 IPv6 的定期更新 AAAA08我现在的“家庭 NAS 最佳实践”组合直接抄相册Cloudflare 橙云 WAF 限速后台Cloudflare 橙云 更严格限速最好再加登录验证影视灰云直连稳定优先公网只开 443内网所有真实端口不出网这套跑起来基本就是家庭版准企业级。
如果这篇对你有用别忘了点个赞 收藏后面我会把“飞牛 NAS 外网安全”做成一个系列直接抄作业就行。