惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Simon Willison's Weblog
Simon Willison's Weblog
P
Privacy International News Feed
www.infosecurity-magazine.com
www.infosecurity-magazine.com
T
Troy Hunt's Blog
Hacker News - Newest:
Hacker News - Newest: "LLM"
Attack and Defense Labs
Attack and Defense Labs
S
Secure Thoughts
V2EX - 技术
V2EX - 技术
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
O
OpenAI News
Cloudbric
Cloudbric
Google Online Security Blog
Google Online Security Blog
Schneier on Security
Schneier on Security
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Help Net Security
Help Net Security
Cyberwarzone
Cyberwarzone
G
GRAHAM CLULEY
L
Lohrmann on Cybersecurity
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Spread Privacy
Spread Privacy
NISL@THU
NISL@THU
N
News and Events Feed by Topic
T
Tenable Blog
S
Security @ Cisco Blogs
N
News and Events Feed by Topic
The Hacker News
The Hacker News
C
CXSECURITY Database RSS Feed - CXSecurity.com
宝玉的分享
宝玉的分享
月光博客
月光博客
酷 壳 – CoolShell
酷 壳 – CoolShell
美团技术团队
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Google DeepMind News
Google DeepMind News
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
T
Tailwind CSS Blog
V
Visual Studio Blog
P
Proofpoint News Feed
Webroot Blog
Webroot Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
博客园 - 三生石上(FineUI控件)
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Jina AI
Jina AI
雷峰网
雷峰网
T
The Blog of Author Tim Ferriss
Hugging Face - Blog
Hugging Face - Blog
腾讯CDC
L
LangChain Blog
The Register - Security
The Register - Security
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
博客园 - 聂微东

老张博客

Telegram群抽奖机器人,开源了! – 老张博客 [推广]酷鸭数据端午活动6.16开启!限时4天! – 老张博客 人有多大胆,AI有多大产! – 老张博客 老张博客更换Riven主题了! – 老张博客 wordpress兰空图床插件V2版 – 老张博客 WordPress首页调用typecho教程(1.3.0版) – 老张博客 typecho兰空图床上传插件V2版 – 老张博客 [推广]酷鸭数据 · 520情人节特别活动机来啦! – 老张博客 我只会瞎折腾!暨兰空图床上传图片失败解决方法! – 老张博客 再也不会去的“窑湾古镇” – 老张博客 困扰许久的网络问题终于解决了! – 老张博客 体验不佳的琅琊古城! – 老张博客 WordPress反向代理后,获取不到访客真实IP的解决方法! – 老张博客 回复评论超时未解,老张博客再回酷鸭 目前老张博客服务器搭配方案! NAS,如何做好安全防护!
Tailscale+Lucky+雷池waf,多项组合让NAS更安全!
老张 · 2026-03-17 · via 老张博客

Tailscale+Lucky+雷池waf,多项组合让NAS更安全! - 第1张图片

2月份飞牛的暴雷,不得不考虑NAS安全防护。上一篇博客文章《NAS,如何做好安全防护!》,只是从原理及理论上讲了Lucky+雷池waf的作用,今天我们再加上一个Tailscale。

我的网络的软硬件环境,J4125下ESXI虚拟了爱快、Openwrt、黑群晖,另外一台单独的物理机装的飞牛NAS。在之前,我是把Lucky和雷池都是部署的飞牛NAS上,这样虽然起到了保护作用,但是防护和服务都部署在同一台飞牛NAS上,还是存在一定的隐患。所以双休的时候,又在J4125上再虚拟了Debian,在Debian上部署了Lucky和雷池waf,至少做到了服务与防护相分离,安全性也得到了进一步的提升。

我的网络服务需求是这样的,一是双休以及长假孩子在家上网,而有时我长时间在外面很不好控制家里的网络,所以需要在外连接家里的爱快控制孩子上网,像这种需求,属于“非公开”、“不经常”性服务。二是飞牛NAS上部署了各项服务比如emby等,在外面经常需要使用到emby等。当然,这项服务还可以提供家亲戚朋友们使用,属于“公开”、“经常”性服务。非公开、不经常的服务,我来用Tailscale来进行防护,公开、经常性的服务,我们用Lucky+雷池waf进行防护。

Tailscale 是一款基于 WireGuard 的零配置网状网络(Mesh VPN)工具,核心功能是让位于不同网络环境(家中、公司、云端)的设备组成一个私有的、加密的虚拟局域网(Tailnet)。

Tailscale+Lucky+雷池waf,多项组合让NAS更安全! - 第2张图片

直接从飞牛的应用中心安装即可,打开界面后,右侧有详细的安装步骤,网上这类教程也非常的多,不再多述。同一局域网下,只需有安装一个服务端即可,像我这样的网络环境,可以安装在飞牛NAS上,也可以安装在群晖里。为了图省事,我安装在了飞牛上,但是,还是建议大家部署到路由上,毕竟路由是24小时不断电常开的,像我这样部署在飞牛上,哪天飞牛关掉了,也就没有办法利用Tailscale连接到家里的内网了。

openwrt部署配置Tailscale的教程很多,现在爱快iKuaiOS版也可以折腾各项“应用”和Docker了,把Tailscale部署在爱快上是最佳的选择。

家里的服务端部署好后,在手机或在外面常使用的电脑上安装Tailscale客户端,登录与服务端同一账号后Tailscale个人中心就会看到新设备。经过设置后,就可以用家里局域网段IP加端口访问家里网络的所有服务了!比如在外地,用手机浏览器,直接输入192.168.1.1就可以连接到家里的爱快进行设置,来控制孩子上网了。

Tailscale的局限性是需要安装客户端,需要登录自己的账号。如果家里的网络服务只是自己和家人使用的话,Tailscale方案完全可以了,就不需要部署lucky+雷池waf了。

Lucky部署配置

Lucky我是在Debian上用Docker方式部署的,当然你也可以部署在爱快、openwrt上。如果使用了Lucky自带的WAF时,那最好与被防护对方部署在不同的物理机上。Lucky中,我们需要设置动态域名、SSL证书,这两项都可以用泛域名,比较省心。

重点设置在“Web服务”这一项。

Tailscale+Lucky+雷池waf,多项组合让NAS更安全! - 第3张图片

划重点:监听端口,自己随便设置一个不容易被扫端口,这里你所设置的端口必须在爱快里进行端口映射到外网,这个端口也是你的网络唯一暴露在外网的端口!TLS开启,因为我们已经申请了SSL证书,CorazaWAF关掉,因为我们后面会部署雷池WAF。

Tailscale+Lucky+雷池waf,多项组合让NAS更安全! - 第4张图片

设置Web服务规则的子规则,如上图,前端地址为自己设置的二级域名,后端地址为雷池的IP地址,注意监听端口可以自己随意设置,不冲突即可,但是务必与雷池中“防护应用”里设置的端口一致。

雷池部署及配置

雷池一键部署,非常方便。配置需要在“防护应用”中添加需要重定向的服务。

Tailscale+Lucky+雷池waf,多项组合让NAS更安全! - 第5张图片

域名项直接使用通配符,不需要修改。特别注意端口,填写在Lucky的WEB规则中子规则设置的端口号,必须相同。上游服务器,也就是最终的访问服务的IP加端口,有端口号的必须要加上。

不同的服务,在Lucky的web规则中添加子规则,在雷池waf中添加防护应用即可。至此,Lcuky+雷池waf设置完毕,在外网就可以使用二级域名加端口号访问家里的服务了,比如:ikuai.XXX.com:15421、emby.XXX.com:15421,二级域名不同,端口号一样,就是在Lucky的webf规则中设置的监听端口。

NND,真的不想写教程,又花了一个半小时时间,写出来的自己都不满意!各位看官将就看吧!

===========================AI总结=====================

📝 文章总结:Tailscale+Lucky+ 雷池 WAF 组合防护 NAS

🎯 核心目的

2 月份飞牛 NAS"暴雷"事件后,加强 NAS 安全防护。实现服务与防护分离,提升安全性。

🏗️ 网络架构

硬件环境:

• J4125 主机:ESXI 虚拟化 爱快 + Openwrt + 黑群晖

• 独立物理机:飞牛 NAS

部署方案:

• 之前:Lucky 和雷池都部署在飞牛 NAS 上(❌ 防护和服务同一台,有隐患)

• 现在:在 J4125 上新增 Debian 虚拟机,Lucky 和雷池部署在 Debian 上(✅ 服务与防护分离)

───

🔐 三层防护策略

| 服务类型 | 使用场景 | 防护方案 | | ------- | ------------------- | -------------- | | 非公开、不经常 | 远程管理爱快、控制孩子上网 | Tailscale | | 公开、经常性 | Emby 等 NAS 服务,供亲友使用 | Lucky + 雷池 WAF |

───

📌 各组件作用

1️⃣ Tailscale

• 功能:基于 WireGuard 的零配置 Mesh VPN,组建私有加密虚拟局域网

• 部署:飞牛 NAS 应用中心直接安装(建议部署在爱快/路由上,24 小时常开)

• 使用:手机/电脑安装客户端,登录同一账号,即可用内网 IP+ 端口访问家里所有服务

• 局限:需安装客户端 + 登录账号,适合仅家人使用

2️⃣ Lucky

• 部署:Debian 上 Docker 方式部署

• 核心配置:

• 监听端口:自定义不易被扫的端口(需在爱快做端口映射,这是唯一暴露外网的端口)

• TLS:开启(已申请 SSL 证书)

• CorazaWAF:关闭(由雷池负责)

• Web 服务子规则:前端=二级域名,后端=雷池 IP+ 端口

3️⃣ 雷池 WAF

• 部署:一键部署

• 配置:

• 防护应用:添加需重定向的服务

• 域名:通配符

• 端口:与 Lucky Web 规则子规则端口一致

• 上游服务器:最终服务的 IP+ 端口

───

🌐 最终效果

外网访问格式:二级域名:端口号

• 例:ikuai.XXX.com:15421

• 例:emby.XXX.com:15421

不同服务用不同二级域名,端口号相同(Lucky 监听端口)。

───

💡 核心思路

分层防护:私密管理用 Tailscale(零信任内网),公开服务用 Lucky+ 雷池(WAF 防护)

服务分离:防护组件与被保护服务不在同一台机器,避免一锅端