Lucky 反向代理终极指南:家庭私有云的安全守护者
1. 序言:为什么选择 Lucky?
在搭建家庭 NAS 或私有云时,传统的 端口转发 (Port Forwarding) 往往存在诸多痛点:
- 安全性低:暴露
5000(NAS)、8080(Qbittorrent) 等多个端口,每一个都是防火墙的潜在漏洞。 - 管理繁琐:必须记住复杂的
域名:端口组合,且大部分服务在公网是明文传输(HTTP),密码极易泄露。
Lucky 完美解决了这些问题。它作为一个 “全能网关”,对外只开放 一个端口(如本教程使用的 888),配合 泛域名解析 和 自动 SSL 证书,让您的所有服务都能通过 https://nas.您的域名.com:888 这种优雅且安全的方式访问。更棒的是,Lucky 支持 单端口双协议,同一个端口既能处理 HTTPS 访问,也能自动把 HTTP 请求纠正过来。
2. 部署环境:Docker Compose (推荐)
对于 NAS 或服务器用户,使用 Docker Compose 是最稳定、最易维护的部署方式。
2.1 创建配置文件
在您的 NAS 或服务器上创建一个文件夹(例如 /mnt/docker/apps/lucky),并在其中新建文件 docker-compose.yml,填入以下内容:
# 默认端口16601,账号666,密码666# ---name: lucky# 最后编辑时间:2025-02-14services: lucky: # 镜像地址 image: gdy666/lucky # 容器名字 container_name: lucky # 主机名 hostname: lucky volumes: # 配置文件目录 (已更新为您指定的路径) - /mnt/docker/apps/lucky:/goodluck # 核心设置:使用 Host 模式,无需映射端口,Lucky 可直接管理宿主机网络 network_mode: host # 重启策略,总是重启 restart: always2.2 启动容器
在文件夹目录下执行命令:
docker-compose up -d启动后,访问 http://内网IP:16601 进入后台(默认账号密码均为 666,请首次登录后务必修改)。
3. 核心实操:Cloudflare DDNS 动态域名解析
这一步的目的是让您的域名时刻锁定您家里的动态公网 IP。我们以 Cloudflare 为例。
3.1 获取 Cloudflare Token
- 登录 Cloudflare -> 右上角头像 -> My Profile -> API Tokens。
- 创建 Token,选择模板 Edit zone DNS,生成并记录下 API Token。
3.2 在 Lucky 中配置 DDNS 任务
进入 Lucky 后台 -> 左侧 「动态域名」 -> 点击 「添加 DDNS 任务」。
-
任务名称:自定义,如
MyHome_CF。 -
操作模式:推荐选择 简易模式。
-
DNS 服务商:
-
托管服务商:选择 Cloudflare。
-
Token:填入上一步获取的 API Token。
-
公网获取方式:
-
获取方式:选择 通过接口获取 (推荐)。
-
域名列表 (关键步骤): 为了方便后续扩展,建议设置 泛解析。
-
类型:
A(IPv4)。 -
记录名:输入
*.yourdomain.com(注意*代表通配符)。
点击 「添加」,观察日志显示“同步成功”即完成。
4. 安全基石:泛域名 SSL 证书
有了 DDNS,我们还需要给域名颁发“身份证”,实现 HTTPS 绿锁访问。
4.1 添加证书
-
进入左侧 「安全管理」 -> 「SSL/TLS证书」 -> 「添加证书」。
-
添加方式:选择 ACME。
-
验证方式:DNS(申请泛域名证书必须使用 DNS 验证)。
-
DNS 服务商:选择 Cloudflare 并填入 Token。
-
域名列表:
-
输入
*.yourdomain.com和yourdomain.com。 -
邮箱:填入您的邮箱用于接收过期通知。
点击提交。Lucky 会自动申请并续期证书,等待状态变为 “颁发完成”。
5. 流量中枢:Web 服务规则配置 (HTTPS 与 跳转)
这是最核心的步骤。得益于 Lucky 强大的端口复用能力,我们将 两条规则(HTTPS 业务 和 HTTP 跳转)都绑定在 同一个 888 端口 上。
5.1 规划思路
- 规则 A (主入口):端口 888,开启 SSL。负责正常的 HTTPS 访问。
- 规则 B (自动跳转):端口 888,关闭 SSL。负责“捕获”误输入的 HTTP 请求并自动重定向。
5.2 第一步:创建 HTTPS 主入口 (端口 888)
点击 「添加Web服务规则」,配置如下:
- 规则名称:
Home_HTTPS。 - 监听端口:
888。 - TLS (SSL):启用(选择第 4 步申请的泛域名证书)。
- 防火墙自动放行:开启。
- 保存规则。
接着添加子规则(反向代理):
在 Home_HTTPS 规则列表中,点击 「添加子规则」:
- 前端域名:
nas.yourdomain.com - 后端地址:
http://192.168.3.7:5666(您的 NAS 内网地址) - 忽略后端 TLS 验证:开启。
5.3 第二步:创建 HTTP 自动跳转 (端口 888)
再次点击 「添加Web服务规则」,新建第二条规则:
- 规则名称:
HTTP_Redirect。 - 监听端口:888 (是的,这里也填 888)。
- TLS (SSL):禁用。
- 配置默认重定向:
- 点击规则卡片中的 「默认规则」。
- 服务类型:选择 重定向。
- 默认目标地址:
https://{host}:{port}。 - 解析:因为我们监听的是 888 端口,变量
{port}会自动获取为 888。这样写非常通用,即使以后您改了监听端口,这个跳转逻辑依然有效。
6. 结语
至此,您已经完成了一套企业级的家庭网络访问系统:
- Docker Compose 保证了服务的稳定运行与快速迁移。
- Cloudflare DDNS 确保了域名永久指向您的动态公网 IP。
- 单端口极致体验:利用 Lucky 的端口复用技术,只需开放一个 888 端口,即可同时处理加密访问与自动跳转,既安全又方便。
现在,您只需在手机浏览器输入 https://nas.您的域名.com:888(甚至误输入 http 也会自动纠正),即可随时随地、安全回家。祝您使用愉快!
Created with ❤️ by 十三
部分信息可能已经过时