大佬们,有一个群晖的问题想请教一下
背景: 最近刚研究明白 ipv6 ,之前光猫不知道为啥有一道防火墙,虽然局域网设备可以拿到 ipv6 的地址,但是外网访问不同。于是乎,找联通帮我把光猫改成了桥接,然后路由器拨号,光猫透传。后面就可以了用了。
然后现在考虑是解决一下安全问题,先不考虑 ipv6 扫不扫的到的问题。我感觉基本的安全手段还是要防护一下,比如群晖的防火墙,双因子认证,https 证书我都配了,修改标准常用端口 5000 和 5001
难点: 目前有一个问题,我用的小米 AX3000T ,针对 ipv6 防火墙的配置有点 2 ,要不就是全开要不就是都不开。要用就得全开,开了以后,我解锁了 SSH ,目前只放行了一个端口
我想要实现的效果是:
1 、通过单域名+单端口外加不同路径的方式反向代理不同的系统,不用多个子域名的原因是我 SSL 证书买的单域名的,不是泛域名证书。(我穷)
2 、我想直接把系统挂到群晖的 https 端口,比如默认的 5001 上,根据路径转发,比如 https://qunhui.com:5001/emby 就跳转到 emby 。这样做的目的是一个是复用群晖的 5001 端口,一个端口搞定问题,第二个是,可以复用登录群晖是的双因子认证,因为我看群晖自带的 photo 和 video station 默认就是复用的群晖的 5000 和 5001 端口。要想访问 photos ,先得登录群晖,我也想其他的应用也实现这个效果。(其他的应用是 docker 部署的)
不知道是否有大佬接触过或者配置过这方面的内容,小弟求教。
1
loocao 6 天前
不是不行,路径转发有个问题是,有些应用在页面引用资源文件时,可能默认使用"/"绝对路径,这一类就不能使用路径转发,使用相对路径的应用就可以使用路径转发
另外域名证书,为啥不用 Let's Encrypt 免费证书? |
2
autumn426 6 天前
我搜了一下 小米 AX3000T 可以 ssh 23 年的帖子 你再装个 lucky 1 、2 功能都能满足
|
3
Kite6 6 天前 via Android
路径转发需要代码适配,不是仅配置 nginx 就可以解决的,对于大多数项目适配成本比较高,还是建议用域名的形式
|
4
Tsunayoshi OP @loocao 我之前记得 lets encrypt 证书周期比较短来着。不过我刚才又看了好像一次是 90 天,好像也还可以。谢谢大佬。
不过其实第二个原因,我是想我的 docker 容器中的 web 服务在被访问的时候,过一次群晖的 MFA 。所以才想的是能不能都像 photos 那样的挂到一起。 lets encrypt 在关键的时候忘记了。。感谢大佬🙏 |
5
Tsunayoshi OP @Kite6 嗯,刚才搜了一下,的确是,很多服务的静态资源 js css 啥的没办法适配,会导致加载不成功。所以现在我觉考虑可能这个并不是一个很好的方案,而且我要反代的基本都是三方的开源服务,基本不会去对它做一些定制啥的。
|