PeterPig
对于家中nas这类微型服务器,众多app各自为战,不做登录鉴权/没有ip过滤/使用带漏洞的组件库的容器(app)屡见不鲜,这时就需要一个防火墙对后端应用进行保护。
而常见的二层/三层防火墙只是工作在网络方面,用于隔绝不同子网的安全域或提供ip包头的识别与拦截,无法对更上层的恶意请求进行识别与拦截。这时便需要应用防火墙WAF进行处理。雷池WAF作为一款Web应用防火墙,区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击。
首先从应用商店下载Safeline雷池与局域网端口转发工具
由于雷池首次启动需要对数据库进行初始化,因此首次启动将会失败,需要等待2分钟后手动右键关闭软件并重启一次

此时再打开雷池就能进入登陆界面

首次登录需要使用命令行进行一次密码重置与数据初始化操作,为了避免命令行界面被恶意扫描,需要手动进行端口转发,否则将无法访问命令行界面。
此时打开下载好的局域网端口转发工具,按照图示添加一个转发项

然后打开浏览器,输入http://127.0.0.1:23341/ 访问雷池容器的命令行,输入resetadmin回车即可重置管理员用户名与密码

配置完密码后建议手动删除转发项,避免命令行界面被其他应用/病毒扫描从而暴露管理员权限
雷池安装完成后,我们便可进行反代配置,让所有流量通过雷池进行鉴别,从而保护后端的服务。
首先通过上文获取到的用户名和密码登录雷池管理界面,点击左侧的防护应用栏目

点击右上角的添加应用按钮

输入你所需要保护的应用地址和反向代理对外端口,此处以对外12345端口,代理局域网内另一台unraid服务器的管理面板为例

添加成功后便会显示在应用列表中,此时再去步骤1中的端口转发工具中放行对应12345端口,即可使用对应链接进行访问。特别注意此处转发的应该为safeline-tegine容器而非safeline-mgt容器


以此处的转发类型为微服域名为例,即可直接使用http://<微服名>.heiyu.space:12345/login访问到对应网页。

同样的,配置完后所有安装了懒猫客户端的设备均可使用这一链接访问到该服务,变相实现了一种利用懒猫免穿透访问家中其他设备服务的效果

如需直接暴露至公网,则可以在转发工具中选择转发至通配符地址,再在防火墙中放行懒猫ip的对应端口即可,以OPNsense为例,选择放行对应端口即可,严格一点的可以限定放行懒猫ip的对应端口

雷池配置成功后,即可在应用处开启前置身份验证等功能,各位按需选择




参考官方教程雷池 WAF 帮助文档 - 身份认证 - OIDC

微服的不行,微服的OIDC目前无法自定义回调url,期待官方更新😁
评论
0暂无评论