惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

A
About on SuperTechFans
D
DataBreaches.Net
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
V
Visual Studio Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
B
Blog RSS Feed
Recent Announcements
Recent Announcements
The Register - Security
The Register - Security
S
Secure Thoughts
Y
Y Combinator Blog
The Last Watchdog
The Last Watchdog
L
LINUX DO - 最新话题
V2EX - 技术
V2EX - 技术
腾讯CDC
GbyAI
GbyAI
G
Google Developers Blog
博客园 - 司徒正美
博客园 - 三生石上(FineUI控件)
T
The Exploit Database - CXSecurity.com
T
Threat Research - Cisco Blogs
P
Proofpoint News Feed
Schneier on Security
Schneier on Security
Microsoft Security Blog
Microsoft Security Blog
Jina AI
Jina AI
WordPress大学
WordPress大学
aimingoo的专栏
aimingoo的专栏
MyScale Blog
MyScale Blog
Help Net Security
Help Net Security
K
Kaspersky official blog
P
Privacy & Cybersecurity Law Blog
www.infosecurity-magazine.com
www.infosecurity-magazine.com
AI
AI
MongoDB | Blog
MongoDB | Blog
Scott Helme
Scott Helme
J
Java Code Geeks
Engineering at Meta
Engineering at Meta
H
Heimdal Security Blog
H
Help Net Security
D
Darknet – Hacking Tools, Hacker News & Cyber Security
云风的 BLOG
云风的 BLOG
Microsoft Azure Blog
Microsoft Azure Blog
S
Security Affairs
TaoSecurity Blog
TaoSecurity Blog
The GitHub Blog
The GitHub Blog
Hacker News: Ask HN
Hacker News: Ask HN
Martin Fowler
Martin Fowler
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Project Zero
Project Zero
T
The Blog of Author Tim Ferriss
Last Week in AI
Last Week in AI

博客园_首页

Plist 二进制格式 Milvus 和 PGVector,哪个更好? OpenClaw 已过时?在 VS Code 中运行 Hermes Agent! 第30篇文章:一个大三计科生的自白 Manim如何在数学公式中完美显示中文? Docker 部署 RocketMQ 5 并发编程核心概念辨析 C#事务处理最佳实践:别再让“主表存了、明细丢了”的破事发生 CLI 是什么?为什么大厂突然集体卷命令行? 【从0到1构建一个ClaudeAgent】协作-自主Agent UIImageView 设置图片不生效的原因排查 最小二乘问题详解20:无先验约束下的增量式SFM自由网平差 痞子衡嵌入式:大话双核i.MXRT1180之XIP应用里借助MU实现可靠Flash IAP的方法 AI Chat 封装, SemanticKerne.AiProvider.Unified 已发布 Windows下右键编辑js文件无法打开记事本——在注册表中使用环境变量 在后台服务中使用 Scoped 服务,为什么总是报错? H200 安装驱动并使用sglang启动模型 wireshark 抓包Trap上报告警内容 我用 AI 辅助开发了一系列小工具(2):图片压缩工具 [A Primer On MC and CC] 2.1 Memory Consistency 1 - 指令重排序和 SC 模型 Oracle数据库SCN推进技术详解与实践指南 玩转控件:封装个带图片的Label控件 Claude Code 4.7 真正该升级的不是模型,而是你的工作流 前端小白一句话,AI 帮我做了个颜值拉满的桌面媒体播放器。当代码不再是门槛,一句话编程就是现实。 5. WorkBuddy: 小龙虾的灵魂三件套,让你的小龙虾不只是工具 SQLite 分片方案实战:三种分片策略的深度对比 告别简陋 UI!一款基于 Fluent Design 和基于 WinUI 的开源免费、现代化的 Avalonia UI 控件库 关于二进制排列组合枚举的总结 AI开发-python-LangGraph框架(3-27-LangGraph从零实现大模型智能决策工作流) ElasticSearch主分片和副本分片概念详解 【002】HTTPS 粗解:证书、TLS 握手与对后端配置的影响 Hermes Agent 一周暴涨五万 Star,但我劝你别急着追 明明连接的是Redis的DB0,为什么能查到DB3的数据? 【从0到1构建一个ClaudeAgent】协作-Agent团队 熟悉电子元器件之后,电子小白下一步该怎么走? MAF快速入门(23)通过C#类定义Skills .NET 高级开发 | 手写一个对象映射框架 FastAPI数据库ORM怎么选?我肝了三个Demo后,终于不再纠结了 mysqldump 参数拾遗:在遗忘与铭记之间 C# .NET 周刊|2026年3月5期 Claude code入门 - 陈彦斌 一文学习入门 ThingsBoard 开源物联网平台 GitHub 热门项目 | 2026年04月16日 如何为GIT设置全局勾子,为每次提交追加信息 Number.isFinite和isFinite与isNaN()和Number.isNaN的区别 PortSwigger SQL注入LAB2 推荐一个测试人必备的Skills,从功能到性能全搞定(附详细实操和安装下载方式) 筑基期:掌握Odoo基础核心知识点02(Odoo XML 开发方式详解) GLM模型这么火,咱们用vllm也咧一个呗! 深入理解 AbortController:从底层原理到跨语言设计哲学 字符串学习笔记 多租户系统框架的基础模块设计和分析设计 Apache SeaTunnel Zeta 为什么能做到“又快又稳”? AI开发-python-LangGraph框架(3-26-LangGraph基本概念及第一个简单样例) Vue 3 组件通信,别只会用 Props 和 Emits 了,这几个狠活儿你得看看 ElasticSearch7.X版本配置密码 用Manim实现动态交点计算--从一个动点问题说起 团结引擎+Addressable+Instant Game打包抖音小游戏 function call 实战:让 LLM 自动判断 pod 异常、调用日志工具并完成故障分析 bubseek —— 让 Agent 的足迹,变成团队的洞察 通过 C# 读取并导出 PDF 书签 如何用 GitHub Actions 实现 Steam 自动化发布 【从0到1构建一个ClaudeAgent】并发-后台任务 .NET 高级开发 | 定制 ASP.NET Core 框架 电子小白:什么是运算放大器(运放) zero2Agent:面向大厂面试的 Agent 工程教程,从概念到生产的完整学习路线 堆上的ORW HC32F460 USB CDC通信异常:非对齐访问异常排查 20260413-Hyperbridge 攻击事件:发生在默克尔山上的验证绕过 那些喊着AI 要淘汰你的人,正在靠你的焦虑赚大钱! 深度学习进阶(八)Swin Transformer 最小二乘问题详解19:带先验约束的增量式SFM优化与实现 SnapTranslate 3.0 正式发布:全局划词翻译 + 完整英语学习闭环,一站式搞定查词、记词、复习 工作的意义、工作的困难认知再思考 .NET + AI 进阶实战:基于类的技能开发 - 打造可治理的 Agent 能力模块 【从0到1构建一个ClaudeAgent】规划与协调-技能 上周热点回顾(4.6-4.12) 电子小白的工具三件套:面包板、杜邦线、万能板 单表五亿数据的查询优化 | Mysql、StarRocks 2. WorkBuddy:从“我是谁”到“帮我干活” C# 如何减少代码运行时间:7 个实战技巧 基于HelixToolkit.SharpDX 渲染3D模型 - 笺上知微 从零开始的双臂具身VLA起源及现阶段发展综述 - SkyXZ 记对 xonsh shell 的使用, 脚本编写, 迁移及调优 - pluvium27 受够了Vibe Coding的失控?换个起点,让AI事半功倍 从开始配置漏洞环境到漏洞复现流程 - 難しい 关于10年工作经验的程序员对OpenClaw的实战经验分享以及看法 - 虚无境 Any metadata 的内存布局 C# .NET 周刊|2026年3月2期 - InCerry 我帮你测过了,测试圈排名第二的 Skill 依然很牛逼 Skill Discovery | 无监督技能发现的经典工作总结 - MoonOut 上下文工程是什么?过时了么?一文讲明白! - 一枫说码 开了 TUN 模式还是直连?90% 的人都踩过这个坑 AScript扩展多种脚本语言 - rockey627 AI 学习笔记:Agent 的记忆机制 你能被装进一个文件里吗?——7 万人把同事"蒸馏"成了 AI - 我没有三颗心脏 Claude Code 通关手册(七):给 AI 装上技能包——Skills 完全指南 - 暮色之狐 在浏览器中快速编辑代码:VSCode Web 集成实践 - Newbe36524 蒸馏自己 skill?基于 Deepseek 的蒸馏器,丐版蒸馏方式,简单便捷 - To_Carpe_Diem Spring AI Aliababa和AgentScope,哪个更好? - 苏三说技术
lighthouse-fw:一个管理腾讯云轻量服务器防火墙的终端工具
曦远Code · 2026-05-05 · via 博客园_首页

背景:一个反复折磨我的问题

我有几台腾讯云轻量应用服务器(Lighthouse),防火墙规则里白名单写的是当前的公网出口 IP。问题是,家里的宽带每次重新拨号,IP 就会变,从办公室访问服务器,也是不同的IP。一旦 IP 变了,SSH 连不上,只能去腾讯云控制台手动改防火墙规则。

一台服务器还好,多几台就烦了——每台都要登录控制台,找到防火墙,删旧规则,加新规则,填 IP,选协议端口……重复操作既枯燥又容易出错。

我最初写了一个 Python 单文件脚本来自动化这件事。后来功能越加越多,脚本从 200 行涨到 483 行,开始难以维护。于是我把它重构成了一个完整的 Python 包,并开源了出来。

这就是 lighthouse-fw

它能做什么

核心功能一句话:自动获取你的公网 IP,然后批量更新多台 Lighthouse 服务器的防火墙白名单规则。

具体来说:

  • IP 自动探测:从多个源获取当前公网 IPv4,单源故障自动切换
  • 增量更新:只修改需要变更的规则,不动其他规则,减少误删风险
  • 多服务器批量操作:一次命令更新所有服务器,单台失败不影响其他
  • TUI + CLI 双模式:终端图形界面和命令行都能用
  • 密钥安全存储:优先使用系统钥匙串,回退到本地加密文件
  • Dry-run 预览:执行前先看 diff,确认后再写入

快速开始

安装

不需要 clone 仓库,不需要 pip install。用 uv 直接跑:

uvx lighthouse-fw

这会自动下载并运行,第一次运行会进入 TUI 界面。

如果你更喜欢装成命令:

uv tool install lighthouse-fw
lhfw

初始化配置

lhfw init

这会在系统标准目录下创建配置文件和状态目录。

添加凭据

# 设置凭据元信息(region、endpoint 等)
lhfw credential set my-cred --region ap-guangzhou

# 交互式输入 SecretId 和 SecretKey(输入时不可见)
lhfw credential set-secret my-cred

密钥会自动存入系统钥匙串(Windows Credential Manager / macOS Keychain / Linux Secret Service)。如果系统没有安全的钥匙串后端,会回退到 Fernet 加密的本地文件。

添加服务器

lhfw server set my-server \
  --instance-id lhins-xxxxxx \
  --credential my-cred \
  --tag prod \
  --tag cn \
  --enabled

添加防火墙规则

# SSH 白名单,CIDR 填 AUTO 会自动替换为当前公网 IP/32
lhfw server rule-add my-server \
  --protocol TCP \
  --port 22 \
  --cidr AUTO \
  --description "SSH"

# HTTP
lhfw server rule-add my-server \
  --protocol TCP \
  --port 80 \
  --cidr 0.0.0.0/0 \
  --description "HTTP"

预览和执行

# 先预览,看看会改什么
lhfw run

# 确认没问题后,实际写入
lhfw run --apply

run 命令会先做一次 dry-run,展示 diff 预览(红色删除、绿色新增),然后询问确认。只有你输入 y 才会真正调用 API 写入。

TUI:终端里的图形界面

如果你不喜欢敲命令,直接运行 lhfwlighthouse-fw(不带参数)就会进入 TUI:

uvx lighthouse-fw

TUI 基于 Textual 构建,有四个标签页:

Servers — 管理服务器列表,支持新增、编辑、批量选中、按 tag 过滤。编辑服务器时可以内联管理防火墙规则。

Credentials — 管理凭据,密钥字段默认隐藏,需要时可以临时显示。

Run — 执行面板。可以按 tag 批量选中服务器,预览 diff,一键 Apply。底部的 RichLog 实时显示执行日志。

History — 查看最近 20 次执行记录,包括时间、模式(dry-run/apply)、IP、结果摘要。

Apply 之前会弹出确认对话框,展示完整的变更 diff,必须手动确认才会执行。

核心设计:增量 Diff 引擎

lighthouse-fw 最重要的设计决策是增量更新而非全量覆盖

全量覆盖很简单——把现有规则全部删掉,再写入新的。但这样做风险很大:如果中间出错,服务器可能完全失去防火墙保护。

增量更新的逻辑是:

  1. 获取服务器当前的所有防火墙规则
  2. 对比用户定义的 managed_rules 和现有规则
  3. 只计算需要变更的部分(哪些要删、哪些要加)
  4. 执行变更

匹配策略基于 protocol + port + action 三元组。如果一条规则的协议、端口、动作都匹配,但 CIDR 不同(比如 IP 变了),就删除旧的、创建新的。如果完全一致,就跳过。

这里有个关键的 AUTO 机制:用户在配置中写 cidr="AUTO",运行时会自动替换为当前公网 IP 的 /32 地址。这意味着你不需要手动写死 IP,工具会自动探测并填充。

def _build_desired_rule(managed_rule, current_ipv4):
    cidr = managed_rule.cidr
    if cidr == "AUTO":
        cidr = f"{current_ipv4}/32"
    return RuleSpec(
        protocol=managed_rule.protocol,
        port=managed_rule.port,
        cidr=cidr,
        action=managed_rule.action,
        description=managed_rule.description,
    )

另一个细节是腾讯云的乐观锁机制。每次修改防火墙规则时需要传入一个 FirewallVersion 版本号。lighthouse-fw 在删除规则后会重新查询最新的版本号,再执行创建操作,避免版本冲突。

安全设计

密钥存储

lighthouse-fw 不会把 API 密钥写在配置文件里。它有三级存储策略:

  1. 系统钥匙串(优先):Windows Credential Manager、macOS Keychain、Linux Secret Service/KWallet
  2. 加密文件(回退):使用 cryptography 库的 Fernet 对称加密,密钥和加密数据分开存储
  3. 环境变量(兼容):支持通过 secret_id_env / secret_key_env 指定环境变量名

程序会自动检测当前系统的钥匙串是否安全。如果检测到是 plaintextfail 后端,会自动切换到加密文件模式。

操作确认

所有写入操作都需要显式确认:

  • CLI 模式下,lhfw run --apply 会先展示 diff,然后调用 typer.confirm() 等待输入
  • TUI 模式下,会弹出 Modal 确认对话框
  • 只有 --yes 标志才能跳过确认(用于自动化脚本场景)

错误隔离

批量执行时,每台服务器独立 try/except。一台服务器的 API 调用失败不会阻塞其他服务器的执行。最终所有结果汇总到一份报告中。

命令行速查

lhfw doctor                  # 健康检查(环境 + 凭据可达性)
lhfw run                     # 预览所有 enabled 服务器的 diff
lhfw run --apply             # 实际写入
lhfw run --tag prod --tag sg # 按 tag 过滤
lhfw run --apply --yes       # 跳过确认(用于脚本)

lhfw config show             # 查看配置
lhfw config history          # 查看执行历史

lhfw credential list         # 列出凭据
lhfw server list             # 列出服务器
lhfw server rule-list my-srv # 查看某台服务器的规则

从旧脚本迁移

如果你之前用的是旧版单文件脚本的 tencent_lighthouse_fw.toml 配置格式,可以一键导入:

lhfw import-legacy ./tencent_lighthouse_fw.toml

会自动迁移 defaults、credentials、servers、managed_rules,包括环境变量名。

技术栈

组件 选型
CLI 框架 Typer
TUI 框架 Textual
终端美化 Rich
配置格式 TOML (tomllib + tomli-w)
密钥加密 cryptography (Fernet)
系统钥匙串 keyring
跨平台路径 platformdirs
腾讯云 SDK tencentcloud-sdk-python
构建系统 Hatchling + hatch-vcs
包管理 uv
发布 PyPI Trusted Publishing (OIDC)

Python >= 3.11,所有模型使用 @dataclass(frozen=True, slots=True) 保证不可变性。

CI/CD

项目使用 GitHub Actions 实现完整的 CI/CD:

  • CI:每次 push 和 PR 触发,跨平台(Ubuntu + Windows)运行单元测试和冒烟测试
  • CD:推送 v*.*.* 格式的 git tag 后自动构建并发布到 PyPI

版本号由 git tag 动态决定(通过 hatch-vcs),pyproject.toml 中不硬编码版本。

发布使用 PyPI Trusted Publishing,通过 GitHub OIDC 令牌认证,无需维护 API Token。详细配置指南见仓库的 docs/pypi-trusted-publisher.md

写在最后

这个工具解决了一个很小但很烦的问题。如果你也在用腾讯云轻量服务器,遇到过 IP 变化导致 SSH 断连的困扰,可以试试看。

仓库地址:https://github.com/star-plan/tencent-lighthouse-fw

欢迎 issue 和 PR。

微信公众号:「程序设计实验室」 专注于互联网热门新技术探索与团队敏捷开发实践,包括架构设计、机器学习与数据分析算法、移动端开发、Linux、Web前后端开发等,欢迎一起探讨技术,分享学习实践经验。