使用Nginx反向代理，安全管理家里的路由器

sRGB

1. 首先你要有一个能安装nginx服务器的设备，推荐能刷Armbian的小盒子， N1 玩客云 电视盒很多

2. 刷好linux系统，设置好DDNS，参考  https://www.91ai.net/thread-1073400-1-1.html

1. cf-v4-ddns.sh 脚本，每15分钟运行一次，设置也挺简单
   
2. 
   
3. */15 * * * * bash /root/cf-v4-ddns.sh
   
4. 
   
5. 登录 CF，安全设置里，获得 API KEY，修改到 cf-v4-ddns.sh里
   
6. 
   
7. # Username, eg: [email protected]
   
8. CFUSER=cf帐号@gmail.com
   
9. 
   
10. # Zone name, eg: example.com
    
11. CFZONE_NAME=域名.net
    
12. 
    
13. # Hostname to update, eg: homeserver.example.com
    
14. CFRECORD_NAME=二级.域名.net

复制代码

3. linux 安装 nginx，通过浏览器能正常访问，再在路由器中端口映射出去，顺便把 10086 这个端口也映射出去，当作公网管理路由器专用端口


4. 进入 /etc/nginx/sites-enabled   目录建立  gateway.conf

1. 
   
2. server {
   
3.         listen 10086 default_server;
   
4.         client_max_body_size 256m;
   
5.         index index.html index.php index.nginx-debian.html;
   
6.         server_name _;
   
7. 
   
8.         location / {
   
9.                 proxy_pass http://192.168.1.1;
   
10.                 proxy_set_header Host $host;
    
11.                 proxy_set_header X-Real-IP $remote_addr;
    
12.                 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    
13.                 proxy_set_header X-Forwarded-Proto $scheme;
    
14.                 proxy_set_header X-Forwarded-Protocol $scheme;
    
15.                 proxy_set_header X-Forwarded-Host $http_host;
    
16. 
    
17.                 proxy_buffering off;
    
18.         }
    
19. 
    
20. }
    
21. 
    

复制代码

5.  测试nginx配置是否正确，重启nginx服务器

1. nginx -t
   
2. nginx -s reload

复制代码

如图，使用一个端口专门反代路由器管理这种有URL跳转的比较方便



Nginx 还有一些使用目录反代服务，那样不用后跟一个端口小尾巴，但是不适合面板管理有跳转的情况


文章主要是介绍一个反代 设备服务的方法
举例的路由器管理，不是直接公网管理，使用反向代理的

listen 10086 default_server;
server_name  设置你的二级域名;

可以设置端口和二级域名，相当于加了一层密码

diocat

sRGB 发表于 2022-10-21 09:15
文章主要是介绍一个反代 设备服务的方法
举例的路由器管理，不是直接公网管理，使用反向代理的

看到这里，还是决定出来给你提个醒

请立刻抛弃任何以二级域名、特定路径、随机端口作为安全措施的幻想！

能获得以上三个信息的渠道数不胜数，举个最常见例子：浏览器内置爬虫

只有足够长的复杂密码、公私钥认证、2FA，才能称为安全措施

t9913085

路由器为啥要暴露在公网呢？路由器没有你想象的那么安全

韭菜

京东云自带app

longkulo

现实是各位mjj的宽带都没有公网ip.
要走内网穿透, 实测良心云,你不走80,443端口,并且直接ip访问,能通过内网穿透访问家里路由.
用frp

knowery

好文章，收藏

给老哥点个赞
广告位招租

sRGB

t9913085 发表于 2022-10-21 09:08
路由器为啥要暴露在公网呢？路由器没有你想象的那么安全

文章主要是介绍一个反代 设备服务的方法
举例的路由器管理，不是直接公网管理，使用反向代理的

listen 10086 default_server;
server_name  设置你的二级域名;

可以设置端口和二级域名，相当于加了一层密码

sRGB

longkulo 发表于 2022-10-21 09:07
现实是各位mjj的宽带都没有公网ip.
要走内网穿透, 实测良心云,你不走80,443端口,并且直接ip访问,能通过内网 ...

https://www.91ai.net/thread-1073400-1-1.html
3. 安装cpolar 内网穿透隧道，类似frp
文章里也有 NAT 情况使用

longkulo

t9913085 发表于 2022-10-21 09:08
路由器为啥要暴露在公网呢？路由器没有你想象的那么安全

智能家居有这个需求的,
需要管理内网的设备,就需要将内网某个服务暴露出来.

sRGB

韭菜 发表于 2022-10-21 09:04
京东云自带app

使用反代方法，可以把家里 NAS EMBY PT 的 WEB管理都使用一个域名反代出去
方便折腾

fmbfmb

用了几年，群晖就有反代（基于nginx)，就不单独安装nginx了