前言

今年给自己组装了一台 DIY 的 All in one 服务器，底层系统是Unraid（详情可查看 2024年终总结 ），在此期间，我开始将云服务器的私有化服务，迁移到HomeLab，如何让外网访问更安全，是我一直考虑的问题，现在就完善它。

前提

家庭服务器的私有化服务和nginx proxy manager 部署在同一台服务器。

如私有化服务和nginx proxy manager 在不同服务器也可以，道理也是一样。

实现效果

✅ 域名访问

❌ IP+端口

只有匹配的域名的才会转发请求到服务器端口（只有使用域名才能访问到内网部署的服务），如果别人通过扫描公网IP找到我这个端口是打开的，而且他的不是https请求,会被nginx服务器拒绝。

本文假设

• 域名是example.com，域名服务商在腾讯云
• Nginx Proxy Manager的https的访问端口为11200
• 家庭宽带为动态公网IP

项目的 Docker Compose 端口配置

内网的服务器，我一般通过docker compose 部署 端口要设置成“允许指定局域网 IP 访问”，端口号要这样写：本机IP+端口

假如1panel的本机IP为192.168.10.3，可以这样配置：

ports:
- 192.168.10.3:12900:80 

解读

• 将容器内部的 80 端口映射到宿主机 192.168.10.2 的 12900 端口上
• 只有来自 192.168.10.2 这个 IP 地址的 12900 端口的连接才会被转发到容器

重点回顾

要知道本机的IP，并且将它写到docker compose.yml文件里

顺便了解下

不同的端口配置，这次我们使用的是允许指定局域网 IP 访问

#只允许本机访问 
ports: - 127.0.0.1:12900:80 

# 允许指定局域网 IP 访问
ports: - 192.168.10.2:12900:80 

# 允许所有网络接口访问（包括公网，如果有的话）
ports: - 12900:80

Nginx Proxy Manager反向代理配置

• 域名绑定到内网的服务 —> 192.168.10.12:12900
• 申请SSL证书，并且打开 强制跳转到https

自动获得公网IP

1panel 安装 DDNS-GO，实现自动获取动态的公网 IPv4 或 IPv6 地址（因为家宽公网IP都是动态的），并解析到对应的域名。

此时，已实现效果：一但公网IP发生变动，就会自动地、及时地更新域名解析。

完成

此时，可通过abc.example.com:11200访问服务了！

温馨提示：公网ipv6不需要打开端口，如果是公网ipv4，就需要设置端口转发。

如果此时通过 ipv6+端口 或者ipv4+端口，是访问不了内网的服务的，这大大提高了安全性。