飞牛防火墙配置文件在哪里

哈喽，大家好，我是熊猫。今天从普通用户的使用视角分享非牛 nice 的 安全防护方案。近期非牛 nice 遭遇的木马黑客攻击引发广泛关注， 普通用户做好这几步，就能有效保护 nice 数据和远程访问安全。搭建 nice 后，我强烈建议搭配软路由使用，软路由能安装专业安全插件，从网关层面加固内网，安全是防护的核心硬件 先讲非牛 nice 本机的安全设置，非牛官方后续会优化防火墙参数，我们先手动配置高级防火墙。局域网默认允许访问，重点修改入站规则， 核心原则是让 nas 仅在内网运行，公网访问全部通过软路由管控。 nice 本机拒绝外网直接访问，编辑入站规则时，开启不符合规则全部拒绝的选项。新建允许规则勾选全部连接，选择全部协议与端口 来源 ip， 填写内网网段，比如幺九二点幺六八点幺点零二十四。仅允许局域网设备访问 nice 保存生效后，外网就无法直接触达 nice， 再开启账号的强制双重验证，登录虚动态验证码，进一步提升账号安全。 同时关闭 nice 自带的 f n 访问协议。前期该协议存在安全漏洞，有公网环境就不要起用，还要关闭 s s h 服务，若必须使用，就把默认二、二端口修改为随机高位端口。网络协议方面优先仅起用 i p v 四，稳定性更强。只有无 i p v 四公网仅存 i p v 六时 才同时开启两种协议，有 ipv 四公网就关闭 ipv 六，减少攻击面。完成 nas 本机防护后，远程访问通过软路由的 lucky 插件实现光猫后的网络全部由软路由管控。 lucky 作为网关安全插件，负责所有外网转发规则。 先准备域名，可选免费域名或年费几十元的短域名，性价比更高。将域名绑定 ipv 六公网地址，多数家庭公网都是 ipv 六类型域名会自动解析对应 ip， 接着免费申请 ssl 证书，起用 http 加密访问，提升传输安全性。最后，配置反向代理，仅暴露单一服务端口，隐藏 nars、 docker 应用、音乐库等所有业务端口，访问时通过自定义域名前缀跳转。相比传统端口转发，反向代理仅暴露一个入口， 安全系数大幅提升。注意， windows 远程桌面不支持反向代理，只能用端口转发，转发时需同时勾选 tcp 和 udp 协议，仅开 tcp 会出现卡顿延迟。额外配置 ip 白名单，强化防护。软路由的 ip 过滤模块，可加载中国大陆 ipv 四网段白名单 总计八千七百九十一个，国内网段仅允许国内实名 ip 访问，境外 ip 全部拦截，能有效抵御境外黑客攻击，不建议细化到省市白名单。手机随身 wifi 是 动态 ip， 跨地区切换会导致访问受限，仅限定国内网段即可，兼顾安全与便捷。 再对比两种远程方案，反向代理适配手机、车机、电视等全设备，通用性强，但需手动更新 ip 与白名单。 vpn 方案安全性更高，但局限性明显。车机、电视等设备无法安装 vpn 客户端，仅适配手机、电脑，大家可根据自身使用场景取舍。 核心提醒，不建议在非牛 nice 本机安装 lucky 插件，一旦 nice 被攻破，插件会直接失效。软路由作为独立网关设备，运行逻辑与 nice 隔离相当于内网守门员，谨防行合规流量，防护效果远优于 nice。 本机插件完整的 lucky 部署 d d n s 配置教程我会整理到网盘，大家可自行获取。 最后给大家安全建议，无强制外网需求就关闭所有端口转发，保持 nice 端口全锁定状态，从源头杜绝攻击风险。做好以上设置，普通用户也能搭建高安全级别的私人 nice。 本期非牛 nice 安全防护分享就到这里，我们下期再见！

大家好，大家最近应该都听说了飞牛被攻击的事情，然后飞牛官方也在最快的速度发布了新版本，嗯，对漏洞进行了修补， 建议大家都升级到一点一点一八。嗯，大家给大家提个醒，大家不要使用手机远程升级飞牛，我当时使用手机远程升级飞牛，直接是卡在升级界面不动弹了，然后重启飞牛之后啊，飞牛也无法进入系统，只能重新安装飞牛， 然后安装完飞牛之后啊，在这里监系统设置里安全性里面有个防火墙，建议大家可以开启一下，然后有两条规则，入站跟出站，然后编辑一下它，这里面是默认都是允许访问的。嗯，可以改成拒绝访问， 这样就是只有符合这两条规则的访问是被允许的。嗯，左下方有一行小字，就是以上不以上两条规则不符合的时候是拒绝访问的，那只有符合这两条规则的访问是被允许 的，出站规则也是做相同的设置，改成默认拒绝访问，大家也可以。

客户给拿过来一台华为的防火墙，想让我来调制一下，加到公司的网络里面。这台防火墙的型号是华为的 usg 六千 e。 我 自己搭了一个环境模拟客户的网络，这个二口连的是我的电脑， 这个是二十二口连，连接的我的路由器。客户目前的网络是这样子， 所有的终端通过接入交换机连到核心交换机，核心交换机中网关，然后倒出个路由器。我是想把 防火墙加到这个核心交换机和路由器之间，然后做二层透传，让防火墙当透明。模式改完之后，是这样 用二十二口连接防火墙的一口防火墙的二口到触控路由器。 我电脑的 ip 是 二点幺零五，目前可以正常上网。 接下来配置一下防火墙，将 control 线连接防火墙的 control 口。 等待了大概有两分钟，啊，终于起来了， 这台防火墙还真是没用过密码，都没有设置个密码， 我打算通过外部页面去配置它。 管理口的 ip 是 幺九二的幺六八的零点一， 把网线插入管理 这个地方，提示管理口的状态已经变为 up， 给电脑配置一个静态 ip， 和防火墙的管理口，在同一个网段。确定防火墙的管理地址，幺九二点幺六八点零点一， 这个登录不进去啊，它这个有可能是得在防火墙上创建一个用户。下面在防火墙上创建一个用户，这个得在命令行里边创建一个用户。 三、 a user a d m n 密码 服务类型，外包级别，权限，十五级 浏览机登录防火墙的管理地址，幺九二幺六八点， 这后面密码 这样就登进来了。 登进来之后，第一个先先将接口加入的安全域点击网络， 然后一口是一口是叉 s 的 区域，交换口叉 s 的 区域，然后尾端是两百 确定， 然后二口是也是交换口，二口是 i x 四区，为了两百确定 好，这样一口二口就加入到相应的安全区域了。然后再配置一个策略，放通从 trust 到 n trust 的 一个策略，点击策略选择新建安全策略，策略名， 策略名 trust， 通过 n trust 原安全区域选择 trust， 目的安全区域选择 trust， 然后原地址。如果说我这就不填了，最好是填上，填上，比如说内网有十段二十段，你都把它填到这，我这就不填了， 然后这个用户服务这个有需要填的话可以填上，我这也不填了。然后动作是允许，就是从 trust 到 untrust 允许通过，然后这安全内容反病毒可以选择默认， 它这个防火墙没有开通 license， 所以 只能选默认， 能选默认都选上就行了，我就选这俩吧，然后点击确定，这样这个安全策略已经创建好了。安全策略创建好之后，需要把防火墙接入到网路当中， 连接路由器的这根线插二口 i transfer 的 区域，二口，二口是下面这个口 连接交换机，这个交换机的这根网线接防火墙的一口 transfer 的 区域， 然后把电脑的网线，电脑的这个网线插到二口上， 亮了，将我电脑的 ip 地址从手动改成自动获取，让它获取，获取一个地址应该是获取到二代的地址， 右键状态，获取到二点幺零五，然后网络连接状态已经正常可以上网了， 还是拼一下吧， 拼三 w 点，百度点。嗯，好，可以正常上网了。行，今天就分享到这，谢谢大家。

视频开头先感谢谷大洋大佬对这个软件的制作以及不断的迭代更新。本期视频是专门为 pve 用户准备的，直接在 pve 里面运行 lockkey， 这是 pve 九点一加入的原声，支持 oci 容器的功能，不需要套娃占用非常的低。装好之后可以通过 lockkey 自带的备份来还原配置文件， 直接运行在 p v e 的 底层。当然还有其他的好处，比如如果运行在其他的虚拟机里面，要使用到 i p v 六访问配置 i p v 六的防火墙还是挺麻烦的，如果虚拟机再出了什么问题的话，那就彻底访问不了了。现在通过 p v e 直接运行的话，这个 lock 也可以获取独立的 i p v 六地址， 然后再对上一期 lockkey 视频使用泛域名的方式做一个补充，除了域名解析比较方便，还不会在 ct log 上面留下具体的这个域名申请的日期，然后就正式进入教程。本期的话，只是 pve 已安装 lockkey 和配置 v 六防护墙的教程， 并不是一个 lockkey 具体使用的教程，想看 lockkey 详细教程的可以点个关注，后面会更新。就来到 ct 模板这儿， 点击这个 pro o c i 容器，然后在这儿输入 d d y 六六六斜杠 l u c k y 就是 lucky 的 名字，然后在这个标记这儿输入 v 二就是它的版本，然后点击下载 这里我已经下载过了，所以它会出现这个提示，如果你这里下载不下来的话，我也在我网盘里面上传了这个文件，这个下载下来怎么使用呢？可以来到我薄客这儿，这里就以 find 秀为例，我们直接在这个路径这儿 输入这个路径，然后再把刚刚下载的 lockkey 的 压缩包上传上去就好了。然后就点击右上角的创建 ct 主机名的话，这儿就可以输入 lockkey 密码，这儿的话随便填，这个密码我们用不到，点击下一步 选择刚刚上传的 loki 镜像此盘，这的话就默认八 g cpu 的 话，我这也是默认的一个核心内存，这还是默认的。在网络这的话，我就为了做视频方便嘛，我就直接选择了 dhcp， 如果你个人用的话，就设置成静态 ip， 然后在 ipv 六这，你要用 ipv 六的话，就勾选上 ipv 六的 dhcp， 然后就完成。 接着再来到这个容器的选项这儿在控制台模式，我们选择 shell 模式，如果不选择 shell 的 话，这个控制台没有输出，就点击启动， 这里就可以看到它已经获取到了 i p v 四和 v 六的 ip 了。这里就先以 i p v 四进入后台为例， 这样的话一个 lockkey 就 安装完成了，我们就可以在设置里面直接选择恢复配置，把之前的 lockkey 配置给恢复进来，这里给大家演示一下，我这里恢复了一下我其他机器里面的 docker 容器的一个备份，这里就点击确认， 可以看到动态域名、 web 服务、 s s l 证书这些都同步过来了。 i p v 四的教程到这就结束了，接下来就是 i p v 六的设置， 是重新录制的版本，因为在之前的视频里面，我忽略了这个 web 管理端口的监听地址，然后在视频发出之后，这个 lucky 的 作者，也就是谷大洋大佬在我的这个评论区回复了，并且指出了对之前的视频 i p v 六错误理解的部分。 来到 rocky 的 后台，可以看到这里有一个 web 管理端口的监听地址，它默认的话是 ipv 四和 ipv 六都监听的，所以这里我们就给它指定成 ipv 四的地址，这一个地址就是你 rocky 的 ip。 再把 ip 填进去之后，还不能直接保存配置，因为它会提示这个端口被占用， 所以我们再把 ip 填进去之后，我们还要改一个新的端口，比如我这里就改成了二六六零幺，当然这个端口你改成任何的端口都可以，然后我们先用 i p v 四的来访问一下，改成我们新的端口可以看到目前就访问上来了，然后我们现在再试试 i p v 六的， i p v 六的话目前就访问不了了，当然这一个监听只是监听网页后台，并不影响 web 服务的使用。那么本期视频到这里就结束了，谢谢大家的观看。

外网怎么访问家里边的拉斯呢？嗯，其实我们飞流呢，他有那个外网的中继转发功能，通过这个功能呢，他是可以访问到我们家里边的拉斯的，但是呢这个功能要配置， 不是系统装好以后就能用，他要进行简单的配置以后才能用。接下来呢我给大家讲一下怎么配置这个，呃，外网访问功能，让你在手机还有外网的电脑上面都可以实时的访问家里边的飞流拉丝， 打开浏览器输入飞流的内网管理地址，在这个界面呢，输入管理员账号和密码，登录飞流的桌面，来到系统桌面呢，我们点击系统设置图标，在弹出的窗口呢，我们可以看到有一个登录飞流账号的界面，在这里呢，我们点击登录 系统呢会弹出一个让你登录飞流账号的界面，如果你有账号的话，直接登录账号密码就可以了，如果没有账号的话，他会提示你注册这里呢，我就直接登录了。 接下来呢点击这个 f n connect， 在 这里呢，我们可以看到有一个创建 f n id 的 界面，然后大家可以输入一个自己容易记忆并喜欢的 id。 创建呢会花十几秒钟。创建完成以后呢，你就在下边可以看到一个外网访问的链接，这个链接呢可以先把它复制下来，待会我们要验证外网访问来使用 iphone id。 设置好以后呢，我们马上输入这个域名呢，可能会暂时无法访问，因为域名的同步需要时间，域名生效以后呢，直接输入域名就可以跳转到我们的内网那室，因为我这里是 ipv 六，所以说呢，可以直接通过 ipv 六的地址呢，进入到我的那室， 点击系统设置呢，就可以看到我的飞流账号和 f n i d。 接下来呢，我们点击相册应用，看一下访问的速度如何，因为我这里是 ipv 六，是直通访问的，所以说他没有经过终极转发，速度相对来说是比较快的。 呃，如果大家想知道 ipv 六怎么配置呢？请大家点赞关注。后续呢，我将告诉大家怎么通过光猫桥接来设置网络的 ipv 六。

我花了三十秒就给我的非牛 nice 加装了物理及护盾，这个工具真有点东西。最近非牛 n a s。 和群晖接连爆出安全漏洞，大家听说了吧？ 只因系统里藏了这几个字母，你的私人相册全部文件就成了黑客的公开展厅。接下来，我将花三十秒教会大家如何给你的非牛 nice 相册，在 g m s h。 桌面找到应用中心， 把音频管理器、站点管理和 w a f 防火墙这三样装上，点开 g m s a c 奇用中心的 w a f 进去，直接给网站上个套餐，防 cc 爆破加敏感词拦截，再把国外 ip 全给禁了，无需代码 格式化配置，将恶意请求、异常访问、陌生 ip 统统挡在门外。说实话，公网哪有绝对安全，但能把专业防火墙搞得像配手机套餐一样简单直观。你的数据防线真就得这样自己亲手配出来才最稳。最后说一句，希望咱们国产的飞牛 n a s。 能挺过这一关，加油！

经常折腾的朋友都知道，每次重装 openword、 d d n s tail、 scale、 防火墙等这些配置和命令都要重新弄，手动备份还容易忘，就算备份了也是容易找不到备份文件， 折腾一痛后可能还得重置还原。今天用一个轻量化 shell 脚本，实现每周自动备份，远程 nas 存储过期文件自动删除，备份状态实时推送。 下面我来演示一下效果。 这里是定时任务， 这里是备份好后的文件， 我们现在来看看如何使用。 首先开启 open 的 s s h 默认一般是开启的。 再创建一个群晖账号，用于可远程登录存储数 据。配置一下权限，对存储位置可以读写， 这个就是刚刚授权的文件夹。 接下来开始把脚本文件写入到路由器中， 通过 s s h 工具，比如 excel 登录到路由器， 复制这些脚本内容。 需要修改的地方有这些 我这里有，就先删除，再贴入， 在 open 中安装 bash。 我 们来试一下脚本是否能执行成功， 执行完了，我们来看下结果，这个是飞书的机器人通知， 这个就是最后保存在脑子上的备份文件。 如果后面修改 open 的 配置，这些被自己玩坏了，就可以用这个来还原了。 这里看一下如何还原配置， 找到刚才的备份文件上传即可。我这里就不点还原了， 我们再来配置一下定时任务就可以了。 好了，今天的视频就结束了。

各位网友大家好啊，收到消息说这个飞牛这个漏洞啊，病毒也在升级啊，虽然飞牛也升级了，然后在这个安全性里面有一个防火墙 啊，我为了防止我的资料被别人盗取啊，我做了一个策略，就是把所有的啊， ipv 六啊，拒绝访问啊，就是拒绝入站 啊，然后啊，然后这个是啊，飞牛里面的一个防火墙，然后我还在爱快里面做了一个啊，就是我的飞牛，无论是 i p v 四和 i p v 六，所有的啊，外网线路啊，移动，联通，电信全部阻止进入我的飞牛 啊，这是我为飞牛做的两个安全的策略啊，我现在还能用我的飞牛啊，我要进我的飞牛就通过我的内网啊，通过我爱快 sd one 的 内网进到我的飞牛啊，非常的安全啊，不管我们怎么做， 安全都是相对的，没有绝对的啊，绝对是什么？就是让我们掌握安全网络安全知识， 然后及时的发现安全漏洞啊，然后及时的去修补啊，才能做到相对安全，记住没有绝对的安全，包括群徽也一样啊，这样的漏洞啊， 只要是纳斯系统，不管是飞牛还是群徽，甚至你不拉不拉你，其他的一些纳斯系统都有啊。本次视频到此结束，感谢大家的收看。

如果你觉得防盗墙配置起来比较难，那么今天我们来讲一下防火墙配置的三个步骤，只要把这个流程搞懂以后呢，我们任何品牌防盗墙都可以搞定的，那么今天我们以华为的防盗墙来做一个整体的配置流程， 那么我们通过这张图呢能看到，呃，这个方框呢是我们模拟的外网，那么这里面呢是我们企业内网， 那么我们怎么去配置防护墙能让我们这两主机上网呢？当然我们这个监控器是一个傻瓜将军，我们不需要配置，那么现在我们就直接第一步呢，先打开防护墙在防火墙，我们第一步呢先要配置两个接口的地址， 那么首先第一步呢，我们需要给这个呃，零杠零杠一啊，我们配上一个外网的接口，地址呢是二二零点一点一点二啊，这是防火墙地址啊，他，当然呢是三十位的藏，尼玛， 好，那么接下来呢，我们再给咱们内网口零杠零杠零啊，我们配一个内网的网关是幺九二点幺六八点一点一啊，这是二十四位的藏，尼玛。 那么其实我们这样配置完以后呢，这个地址呢就是我们这两台啊终端设置的网关接口，配置好以后呢，下面我们还需要配置一条，缺省漏油啊，我们， 呃，只挑八个零，零点零点零点零，空格零点零点零点零。好，那我们下一天呢只到二二零点一点一点一，好，这是我们外网网关， 那么这样呢，我们还需要做一个安全策略的，一个配置定一个 policy， 呃呃，当然我们区域选择是圆的 trans 区到目标的 on trans 区，我们方向呢？是出去方向啊，那我们呢定一条策略呢，为一个动作叫 permit， 好，那这是我们做完策略以后呢，接下来我们还要配置 n i t 啊，在这里我们先定义一个外网的一个被转换个地址组啊，这里是地址组的名字呢，为一啊，我们定地址是我们出户地址二，二零点一点一点二啊，二，二零点一点一点二。 好，那我们配置按钮呢？接下来我们需要调用 n i t 的 一个策略啊， n i t 杠 polyc， 那 我们也是同样定义它这个区域呢为原区域撞色目标区域呢？为 on 撞色出去的方向啊，这时呢，我们也是创建第一条策略，我们创建一个动作就 ok 做圆 n i t 啊，呃，我们还需要定义就是哪些地址能够被做 n i t 啊，我们臊字原地址就是我们内网网段地址幺九二点幺六八点一点零，反应码零点零点零点二五五 啊，那这我们做完以后呢，我们的拽死，呃，地址组十一，接下来我们直接用 pc 二啊，我们去拼一下外网地址，我们敲回车啊，怎么看能拼通呢？那么这时候呢，我们看到啊，它是，呃不能通的， 那不能通的原因到底是什么呢？其实我们含放一件事，我们需要给内外网每个接口，我们需要划分区啊，这是一个重点啊， 在防火墙里面，那么我们先创建这个插座的区域接口呢，我们添加接口，就我们内网接口呢，现在规划的是，呃，零杠零杠零啊，我们加进去以后呢，就这个接口呢，它默认已经加进去了啊，我们再用同样方式，在这个外网区 on 叉的区，我们去把这个， 呃他的外网，结果我们规划是零杠零杠一，现在我们再去做尝试，我们去拼一下，二二零点一点一点一，应该是这次应该没问题了，对吧？