惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

B
Blog
Know Your Adversary
Know Your Adversary
博客园 - 叶小钗
雷峰网
雷峰网
大猫的无限游戏
大猫的无限游戏
M
MIT News - Artificial intelligence
量子位
A
About on SuperTechFans
The Register - Security
The Register - Security
F
Fortinet All Blogs
Microsoft Azure Blog
Microsoft Azure Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
IT之家
IT之家
博客园 - 聂微东
Blog — PlanetScale
Blog — PlanetScale
Hugging Face - Blog
Hugging Face - Blog
J
Java Code Geeks
有赞技术团队
有赞技术团队
阮一峰的网络日志
阮一峰的网络日志
云风的 BLOG
云风的 BLOG
人人都是产品经理
人人都是产品经理
Hacker News: Ask HN
Hacker News: Ask HN
T
The Exploit Database - CXSecurity.com
Vercel News
Vercel News
Stack Overflow Blog
Stack Overflow Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
博客园 - 司徒正美
NISL@THU
NISL@THU
V2EX - 技术
V2EX - 技术
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Schneier on Security
Schneier on Security
博客园 - 三生石上(FineUI控件)
T
The Blog of Author Tim Ferriss
AWS News Blog
AWS News Blog
The GitHub Blog
The GitHub Blog
C
Cisco Blogs
T
Tenable Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
C
Cyber Attacks, Cyber Crime and Cyber Security
V
Vulnerabilities – Threatpost
美团技术团队
L
LangChain Blog
Google DeepMind News
Google DeepMind News
腾讯CDC
P
Privacy International News Feed
Spread Privacy
Spread Privacy
D
DataBreaches.Net
Engineering at Meta
Engineering at Meta
S
Security @ Cisco Blogs

老张博客

Telegram群抽奖机器人,开源了! – 老张博客 [推广]酷鸭数据端午活动6.16开启!限时4天! – 老张博客 人有多大胆,AI有多大产! – 老张博客 老张博客更换Riven主题了! – 老张博客 wordpress兰空图床插件V2版 – 老张博客 WordPress首页调用typecho教程(1.3.0版) – 老张博客 typecho兰空图床上传插件V2版 – 老张博客 [推广]酷鸭数据 · 520情人节特别活动机来啦! – 老张博客 我只会瞎折腾!暨兰空图床上传图片失败解决方法! – 老张博客 再也不会去的“窑湾古镇” – 老张博客 困扰许久的网络问题终于解决了! – 老张博客 体验不佳的琅琊古城! – 老张博客 WordPress反向代理后,获取不到访客真实IP的解决方法! – 老张博客 回复评论超时未解,老张博客再回酷鸭 目前老张博客服务器搭配方案! NAS,如何做好安全防护!
Tailscale+Lucky+雷池waf,多项组合让NAS更安全!
老张 · 2026-03-17 · via 老张博客

Tailscale+Lucky+雷池waf,多项组合让NAS更安全! - 第1张图片

2月份飞牛的暴雷,不得不考虑NAS安全防护。上一篇博客文章《NAS,如何做好安全防护!》,只是从原理及理论上讲了Lucky+雷池waf的作用,今天我们再加上一个Tailscale。

我的网络的软硬件环境,J4125下ESXI虚拟了爱快、Openwrt、黑群晖,另外一台单独的物理机装的飞牛NAS。在之前,我是把Lucky和雷池都是部署的飞牛NAS上,这样虽然起到了保护作用,但是防护和服务都部署在同一台飞牛NAS上,还是存在一定的隐患。所以双休的时候,又在J4125上再虚拟了Debian,在Debian上部署了Lucky和雷池waf,至少做到了服务与防护相分离,安全性也得到了进一步的提升。

我的网络服务需求是这样的,一是双休以及长假孩子在家上网,而有时我长时间在外面很不好控制家里的网络,所以需要在外连接家里的爱快控制孩子上网,像这种需求,属于“非公开”、“不经常”性服务。二是飞牛NAS上部署了各项服务比如emby等,在外面经常需要使用到emby等。当然,这项服务还可以提供家亲戚朋友们使用,属于“公开”、“经常”性服务。非公开、不经常的服务,我来用Tailscale来进行防护,公开、经常性的服务,我们用Lucky+雷池waf进行防护。

Tailscale 是一款基于 WireGuard 的零配置网状网络(Mesh VPN)工具,核心功能是让位于不同网络环境(家中、公司、云端)的设备组成一个私有的、加密的虚拟局域网(Tailnet)。

Tailscale+Lucky+雷池waf,多项组合让NAS更安全! - 第2张图片

直接从飞牛的应用中心安装即可,打开界面后,右侧有详细的安装步骤,网上这类教程也非常的多,不再多述。同一局域网下,只需有安装一个服务端即可,像我这样的网络环境,可以安装在飞牛NAS上,也可以安装在群晖里。为了图省事,我安装在了飞牛上,但是,还是建议大家部署到路由上,毕竟路由是24小时不断电常开的,像我这样部署在飞牛上,哪天飞牛关掉了,也就没有办法利用Tailscale连接到家里的内网了。

openwrt部署配置Tailscale的教程很多,现在爱快iKuaiOS版也可以折腾各项“应用”和Docker了,把Tailscale部署在爱快上是最佳的选择。

家里的服务端部署好后,在手机或在外面常使用的电脑上安装Tailscale客户端,登录与服务端同一账号后Tailscale个人中心就会看到新设备。经过设置后,就可以用家里局域网段IP加端口访问家里网络的所有服务了!比如在外地,用手机浏览器,直接输入192.168.1.1就可以连接到家里的爱快进行设置,来控制孩子上网了。

Tailscale的局限性是需要安装客户端,需要登录自己的账号。如果家里的网络服务只是自己和家人使用的话,Tailscale方案完全可以了,就不需要部署lucky+雷池waf了。

Lucky部署配置

Lucky我是在Debian上用Docker方式部署的,当然你也可以部署在爱快、openwrt上。如果使用了Lucky自带的WAF时,那最好与被防护对方部署在不同的物理机上。Lucky中,我们需要设置动态域名、SSL证书,这两项都可以用泛域名,比较省心。

重点设置在“Web服务”这一项。

Tailscale+Lucky+雷池waf,多项组合让NAS更安全! - 第3张图片

划重点:监听端口,自己随便设置一个不容易被扫端口,这里你所设置的端口必须在爱快里进行端口映射到外网,这个端口也是你的网络唯一暴露在外网的端口!TLS开启,因为我们已经申请了SSL证书,CorazaWAF关掉,因为我们后面会部署雷池WAF。

Tailscale+Lucky+雷池waf,多项组合让NAS更安全! - 第4张图片

设置Web服务规则的子规则,如上图,前端地址为自己设置的二级域名,后端地址为雷池的IP地址,注意监听端口可以自己随意设置,不冲突即可,但是务必与雷池中“防护应用”里设置的端口一致。

雷池部署及配置

雷池一键部署,非常方便。配置需要在“防护应用”中添加需要重定向的服务。

Tailscale+Lucky+雷池waf,多项组合让NAS更安全! - 第5张图片

域名项直接使用通配符,不需要修改。特别注意端口,填写在Lucky的WEB规则中子规则设置的端口号,必须相同。上游服务器,也就是最终的访问服务的IP加端口,有端口号的必须要加上。

不同的服务,在Lucky的web规则中添加子规则,在雷池waf中添加防护应用即可。至此,Lcuky+雷池waf设置完毕,在外网就可以使用二级域名加端口号访问家里的服务了,比如:ikuai.XXX.com:15421、emby.XXX.com:15421,二级域名不同,端口号一样,就是在Lucky的webf规则中设置的监听端口。

NND,真的不想写教程,又花了一个半小时时间,写出来的自己都不满意!各位看官将就看吧!

===========================AI总结=====================

📝 文章总结:Tailscale+Lucky+ 雷池 WAF 组合防护 NAS

🎯 核心目的

2 月份飞牛 NAS"暴雷"事件后,加强 NAS 安全防护。实现服务与防护分离,提升安全性。

🏗️ 网络架构

硬件环境:

• J4125 主机:ESXI 虚拟化 爱快 + Openwrt + 黑群晖

• 独立物理机:飞牛 NAS

部署方案:

• 之前:Lucky 和雷池都部署在飞牛 NAS 上(❌ 防护和服务同一台,有隐患)

• 现在:在 J4125 上新增 Debian 虚拟机,Lucky 和雷池部署在 Debian 上(✅ 服务与防护分离)

───

🔐 三层防护策略

| 服务类型 | 使用场景 | 防护方案 | | ------- | ------------------- | -------------- | | 非公开、不经常 | 远程管理爱快、控制孩子上网 | Tailscale | | 公开、经常性 | Emby 等 NAS 服务,供亲友使用 | Lucky + 雷池 WAF |

───

📌 各组件作用

1️⃣ Tailscale

• 功能:基于 WireGuard 的零配置 Mesh VPN,组建私有加密虚拟局域网

• 部署:飞牛 NAS 应用中心直接安装(建议部署在爱快/路由上,24 小时常开)

• 使用:手机/电脑安装客户端,登录同一账号,即可用内网 IP+ 端口访问家里所有服务

• 局限:需安装客户端 + 登录账号,适合仅家人使用

2️⃣ Lucky

• 部署:Debian 上 Docker 方式部署

• 核心配置:

• 监听端口:自定义不易被扫的端口(需在爱快做端口映射,这是唯一暴露外网的端口)

• TLS:开启(已申请 SSL 证书)

• CorazaWAF:关闭(由雷池负责)

• Web 服务子规则:前端=二级域名,后端=雷池 IP+ 端口

3️⃣ 雷池 WAF

• 部署:一键部署

• 配置:

• 防护应用:添加需重定向的服务

• 域名:通配符

• 端口:与 Lucky Web 规则子规则端口一致

• 上游服务器:最终服务的 IP+ 端口

───

🌐 最终效果

外网访问格式:二级域名:端口号

• 例:ikuai.XXX.com:15421

• 例:emby.XXX.com:15421

不同服务用不同二级域名,端口号相同(Lucky 监听端口)。

───

💡 核心思路

分层防护:私密管理用 Tailscale(零信任内网),公开服务用 Lucky+ 雷池(WAF 防护)

服务分离:防护组件与被保护服务不在同一台机器,避免一锅端