最近,国产NAS系统飞牛被爆出严重安全漏洞,路径穿越跳过权限验证,直接访问系统内部资料,一度冲上知乎热榜
在这里插入图片描述
在这里插入图片描述
不少用户都在担忧数据安全,今天一篇教程教你拯救自己的NAS。

你以为开了 IPv6 就能愉快外网访问 NAS?

现实是:全网扫描器会比你家人更先发现它。
尤其是 NAS 后台、相册这种服务——爆破、撞库、弱口令都是日常。

我这篇教程带你一步到位:

  • ✅ 相册、后台:走 Cloudflare(免费 WAF + HTTPS + 隐藏真实 IP)
  • ✅ 影视:不走 Cloudflare(避免大流量/限制),但仍保持可控访问
  • ✅ 飞牛系统:通过 Nginx 统一入口,外网只开 443,一个洞都不多

01|最终架构长什么样?

一图看懂:谁该走 WAF,谁不该走。

家人手机/电脑/电视

Cloudflare: WAF + HTTPS + Bot防护

Nginx 反代: 443 统一入口

相册服务: 内网端口

飞牛后台: 内网端口

影视域名 DNS only: 直连 IPv6

核心原则:

  • 对外暴露的入口越少越安全:公网只开 443(必要时加 80 用于跳转)
  • 后台、相册这种“高价值目标”必须过 WAF
  • 影视走直连更稳(大流量不要走 Cloudflare 免费代理)

02|准备清单(别跳过)

你只需要准备 3 件东西:

  1. 一个域名:比如 xxx.com

  2. 公网 IPv6 地址:从路由器 WAN/拨号信息里查到(最好是稳定的前缀)

  3. 飞牛 NAS 内网信息

    • NAS 内网 IP:例如 192.168.1.10
    • 飞牛后台端口:例如 5666
    • 相册端口:例如 5000
    • 影视端口:例如 8096

03|Cloudflare 具体配置(可照着点)

下面步骤我按“点哪、选啥、填啥”写,尽量不讲流程概念。

Step 1:添加站点 & 接入域名

  1. 注册Cloudflare,自动防DDoS攻击。
  2. 打开 Cloudflare 控制台
  3. Add a site(添加站点)
  4. 输入你的主域名:xxx.com
  5. 套餐选:Free
  6. Cloudflare 会给你两条 NS(Nameserver)
  7. 去你的域名注册商后台,把 NS 改成 Cloudflare 给的两条
  8. 回来等状态变成 Active

这一段做完,你的域名 DNS 才算“交给 Cloudflare 托管”。

在这里插入图片描述

Step 2:DNS 解析三件套(photo / admin / movie)

进入:DNS → Records → Add record

2.1 相册域名(走 WAF:橙云)
  • Type:AAAA
  • Name:photo
  • Content:你的公网 IPv6
  • Proxy:Proxied(橙云 ☁️)
  • Save
2.2 后台域名(走 WAF:橙云)
  • Type:AAAA
  • Name:admin
  • Content:你的公网 IPv6
  • Proxy:Proxied(橙云 ☁️)
  • Save
2.3 影视域名(不走 WAF:灰云)
  • Type:AAAA
  • Name:movie
  • Content:你的公网 IPv6
  • Proxy:DNS only(灰云)
  • Save

你最终会得到:

  • photo.xxx.com(相册,安全优先)
  • admin.xxx.com(后台,安全最高)
  • movie.xxx.com(影视,稳定优先)

Step 3:SSL/TLS 必须这样选(别选错)

进入:SSL/TLS → Overview

  • Encryption mode:选择 Full (strict)

再进入:SSL/TLS → Edge Certificates

  • 打开:✅ Always Use HTTPS
    (HTTP 自动跳 HTTPS)

Step 4:打开 Bot 防护(挡扫描器)

进入:Security(安全)→ Bots

  • 打开:✅ Bot Fight Mode
  • 设置安全规则,拦截非中国ip的请求

这一步对 NAS 很关键:90% 扫描器会被挡在外面。

在这里插入图片描述

Step 5:限速(防爆破/撞库)

进入:Security → WAF → Rate Limiting(不同面板位置可能略有差异)

推荐你直接照抄两条:

  • 规则 1(后台更严格)

    • URL:admin.xxx.com/*
    • 频率:10 次 / 10 秒 / IP
    • 动作:Block(阻断)
    • 在这里插入图片描述

  • 规则 2(相册适中)

    • URL:photo.xxx.com/*
    • 频率:30 次 / 10 秒 / IP
    • 动作:Managed Challenge 或 Block

04|飞牛里部署 Nginx(统一入口 443)

4.1 Docker 方式启动(示例)

docker run -d \
  --name nginx \
  --restart=always \
  -p 80:80 \
  -p 443:443 \
  -v /data/nginx/conf.d:/etc/nginx/conf.d \
  -v /data/nginx/certs:/etc/nginx/certs \
  nginx

路径 /data/nginx/... 按飞牛实际目录改成你自己的挂载路径。

4.2 反代配置(可复制)

/data/nginx/conf.d/ 下创建:

A)相册 photo.xxx.com
server {
    listen 443 ssl;
    server_name photo.xxx.com;

    # 证书可用 Cloudflare Origin Cert 或你自己的
    ssl_certificate     /etc/nginx/certs/fullchain.pem;
    ssl_certificate_key /etc/nginx/certs/privkey.pem;

    location / {
        proxy_pass http://192.168.1.10:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}
B)飞牛后台 admin.xxx.com
server {
    listen 443 ssl;
    server_name admin.xxx.com;

    ssl_certificate     /etc/nginx/certs/fullchain.pem;
    ssl_certificate_key /etc/nginx/certs/privkey.pem;

    location / {
        proxy_pass http://192.168.1.10:5666;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}
C)影视 movie.xxx.com(直连但走 Nginx 更统一)
server {
    listen 443 ssl;
    server_name movie.xxx.com;

    ssl_certificate     /etc/nginx/certs/fullchain.pem;
    ssl_certificate_key /etc/nginx/certs/privkey.pem;

    location / {
        proxy_pass http://192.168.1.10:8096;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

重载 Nginx:

docker exec -it nginx nginx -s reload

05|路由器只做一件事:只放行 443(必要时 80)

✅ 允许:

  • 443 → 转发到飞牛(Nginx 容器)
  • 80 → 可选(用于跳转 https)

❌ 禁止:

  • 5666(后台端口)直出公网
  • 5000(相册端口)直出公网
  • 8096/32400 等影视端口直出公网
  • 以及 UPnP(务必关闭)

外网只能看到 Nginx,真实端口全部藏在内网,这是这套方案的精髓。

06|3 分钟验收:你是否真的“上线成功”?

拿手机关 Wi-Fi(走流量):

  1. 打开 https://photo.xxx.com

    • 能打开 & 是 HTTPS ✅

  2. 打开 https://admin.xxx.com

    • 能打开后台登录页 ✅

  3. 打开 https://movie.xxx.com

    • 影视可播放且不卡 ✅

07|必踩的 6 个坑(我替你踩过了)

坑 1:影视也开橙云

现象: 播放卡、加载慢、甚至被限制
解决: movie.xxx.com 用灰云(DNS only)

坑 2:SSL 选了 Flexible

现象: 后台各种重定向异常、登录不稳定
解决: 必须 Full (strict)

坑 3:路由器开了 UPnP

现象: 你以为没映射,结果自动开了一堆端口
解决: UPnP 关掉

坑 4:把后台端口直接映射出去了

现象: 扫描器直接打到后台
解决: 后台只能反代,不准直出公网

坑 5:限速太狠误伤家人

现象: 家人说“怎么老验证/打不开”
解决: 相册限速放宽,后台严格就行

坑 6:IPv6 会变

现象: 今天能用,明天域名解析就失效
解决: 用 DDNS(支持 IPv6 的)定期更新 AAAA

08|我现在的“家庭 NAS 最佳实践”组合(直接抄)

  • 相册:Cloudflare 橙云 + WAF + 限速
  • 后台:Cloudflare 橙云 + 更严格限速(最好再加登录验证)
  • 影视:灰云直连(稳定优先)
  • 公网:只开 443
  • 内网:所有真实端口不出网

这套跑起来,基本就是家庭版准企业级

如果这篇对你有用,别忘了点个赞 + 收藏,后面我会把“飞牛 NAS 外网安全”做成一个系列,直接抄作业就行。

# 网络
Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

终极指南:Flink SQL连接器版本管理从混乱到有序的升级之路

Apache Flink作为流处理领域的佼佼者,其SQL连接器的版本管理一直是开发者面临的核心挑战。本文将系统讲解Flink SQL连接器版本管理的最佳实践,帮助你轻松应对版本兼容性问题,实现从混乱到有序的升级之旅。## 连接器版本管理的常见痛点 😫在Flink应用开发中,连接器版本管理常常让开发者头疼不已。不同版本的连接器可能导致各种兼容性问题,例如API变更、功能差异甚至运行时错误。

avatar 腾讯云开发者社区

Elasticsearch复杂数据类型终极指南:从入门到精通

Elasticsearch作为功能强大的搜索引擎,支持多种复杂数据类型,让开发者能够灵活处理各种结构化和非结构化数据。本文将带你全面了解Elasticsearch中的复杂数据类型,从基础概念到实际应用,助你轻松掌握数据建模的核心技巧。## 内部对象:构建层级化数据结构在Elasticsearch中,对象类型(Object)是最基础的复杂数据类型之一,用于表示具有嵌套关系的数据。例如,我们可

avatar 腾讯云开发者社区

如何快速搭建Neon无服务器PostgreSQL:面向初学者的完整指南

Neon是一款革命性的无服务器PostgreSQL解决方案,它通过分离存储和计算层,实现了自动扩缩容、类代码式数据库分支以及零级扩展能力。本指南将帮助你从零开始搭建Neon开发环境,体验这款创新数据库的强大功能。## 准备工作:环境要求与依赖项在开始搭建Neon环境前,请确保你的系统满足以下要求:- Linux操作系统(推荐Ubuntu 20.04+或Debian 11+)- Git

avatar 腾讯云开发者社区