记一次 NAS 小折腾:Lucky

讨论分享
,
1

20260124 更:前排提醒,本帖没啥“营养”,没啥重点,不是优质文章,介意者请直接节省时间。

昨天偶然看见 Lucky,用户评价很高,就折腾了一下,感觉确实挺好用的,在论坛里搜了一下,发现只有个别回帖提到了。

Lucky 官网
https://lucky666.cn/

gdy666/lucky
https://github.com/gdy666/lucky

(ps 个人强迫症喜欢一行文字一行 url,直观干净)

我对网络技术了解还少,就研究了一下官网推荐的教程。基本上是 DDNS、SSL证书、反向代理三件套

DDNS

我发现,之前用 NAS 自带的 DDNS 功能得出来的 ip 地址是错误的(一开始是正确的,用了一段时间就错了),原因分析不出来。

用 Lucky 很轻松就解决了。而且介面很清晰详细,不会让小白有心理压力。

SSL

这个也简单

反向代理

这一步我第一次配置完了发现没效果,后来一顿排查才发现我给 lucky 的网络模式是 bridge,换成 host 就成功了。

具体可实现效果为

e.g.

  • 公网访问 DSM
    • 以前 https://公网ip:5001https://nas.example.com:5001
    • 现在 dsm.nas.example.com:88
  • 公网访问 Lucky
    • 以前 https://公网ip:16601/safehttps://nas.example.com:16601/safe
    • 现在 lucky.nas.example.com:88

好处就是,不用记忆公网 ip(DDNS 能解决),不用记忆端口数字(反向代理能解决)

新问题

这次折腾正好方便春节回家远程访问。公网访问可以用“自定义域名+单一端口号”解决了。

但是我在内网访问还是使用“内网 IP+端口”的方式

如果能统一就好了,比如,如果我的一个 App 设置了同步功能,现在访问方式没统一,就只能反复设置或者反复登录。

我搜了解决方法,发现我用的营运商路由器没有解决这个问题的功能,看来只能攒钱买个新的路由器了。

4 个赞
2

现在变成要记一堆子域名了 :rofl: 端口好歹还有默认还有迹可寻,子域名都是自己脑子一热想出来的,根本没有锚点能让自己想起来到底是什么了

3

那我反思一下

  • 那些默认好记端口我还是能访问的。
  • 我先退一万步,那些自建的应用,无论是端口还是域名,可以都算我“脑子一热”,但我会在“脑子一热”的时候弄个备忘,防止我“脑子一冷”。

我又想了一下,有些应对思路(比如所谓“锚点”)我已经在论坛分享过了,反复“显摆”可能不太好,还是敝帚自珍吧。

4

本地有dns的话就通配符解析到内网地址就可以统一了。我个人是整体套个vpn,除了vpn入口,其他通通解析内网。一来是减少暴露面,降低安全风险,二是也不用记端口了,直接二级域名就搞定了。

5

我本地的dns是adguardhome,在里面把nas的ip解析到子域名,就实现了内外网均使用域名+端口访问,不需要变。
对了,DSM的DDNS是会乱解析,我之前也遇到了。

1 个赞
6

这是 ipv6 转内网?那就是内网穿透?

7

是不是,你用了梯子之类的,nas如果通过代理,ip就会变成梯子的地址,把nas绕过代理就行了。我之前遇到过,就是代理的原因,后来绕过就正常了。

8

sun panel就可以解决,还能同时支持内外网记录。

1 个赞
9

小米万兆路由器官方固定不能放行指定的ip6端口, 要么全开要么全关, 有点难崩

10

通过飞牛这次的漏洞事件,可以学到的教训就是,不要将服务公开在公网上。标准做法是通过vpn访问。

如果非要公开在公网上,不要将一个服务和端口绑定,对于web服务来说就是配置好反向代理来访问。比如

以前是 example.com:9090 访问nas系统, example.com:9091 访问其他系统。

修改后只放开一个端口,比如 8888

那么修改后的访问方式就是

example.com:8888/nas-os 访问nas系统

example.com:8888/vm-os 访问其他系统

可以避开绝大多数广撒网式攻击。

当然有条件的还是搞个防火墙挡在前面,不过话说过来,能搞个防火墙挡在前面的,上面的小把戏也就不值一提了。

1 个赞
11

装个导航页面,我自个用的是轻量级的 Flare

1 个赞
12

我的是这样的,lucky自动申请子域名证书,不申请泛域名。把nas,相册备份,bit密码服务还有rustdesk远程访问通过反代放到公网,访问就用子域名+端口号访问。

相册服务的web加了lucky自带的基本认证+相册app的F2A令牌,只通过APP备份相册。

bit密码服务关闭web访问+F2A,只通过app和浏览器扩展访问。nas也开启F2A。

直接drop掉http,想通过http访问直接drop或者给他重定向到百度首页

lucky设置里黑名单,屏蔽境外IP+清华大学恶意IP库,再加上手动收集黑名单,通过lucky的访问日志丢给AI,有扫描或者是脚本小子一次性拉黑一整个IP段

白名单只允许中国境内IP,局域网IP,单位固定IP访问

用了一年半稳如老狗,当然了没用飞牛那个草台班子的nas :joy:

PixPin_2026-02-06_19-04-16
PixPin_2026-02-06_19-04-161920×1342 108 KB

PixPin_2026-02-06_19-11-15
PixPin_2026-02-06_19-11-151027×323 43.2 KB

PixPin_2026-02-06_19-09-39
PixPin_2026-02-06_19-09-39903×489 42.1 KB

PixPin_2026-02-06_19-04-40
PixPin_2026-02-06_19-04-401920×568 67.4 KB

1 个赞
13

补一张防护日志

PixPin_2026-02-06_19-15-25
PixPin_2026-02-06_19-15-25842×752 99.2 KB

14

之前用过一次,功能很全,但繁琐的界面让我不知道该如何操作,转为用CF的隧道+路由模式,建立子域名来访问。这个模式比反代好用,因为开启CDN加速同时隐藏了真实地址,也不用端口号,还自带免续签证书,IP优选后速度和国内云端服务器速度差不多,本地host做下转向,速度基本还是局域网速度。

1 个赞