K3梅林使用nginx反向代理内网web服务

bruce1227

    由于我内网有两个NAS，一个4盘位NAS（GEN8）做备份储存，一个两盘位NAS（威联通）做下载用，导致的问题就是，外网访问需要做端口映射，一个web服务就需要用一个端口，这样我就需要记一堆的端口，实在是麻烦，之前用N1刷了个LINUX系统装了NGINX来做反向代理，效果不错，而且申请个证书可以全部用https来进行访问，小绿锁看着很养眼，但是有时候关机了就没法用了，干脆想办法把NGINX丢K3上去！！

需要的东西：
1、刷了梅林系统的K3
2、一个阿里云的域名(Let's Encrypt支持的其他域名也行)
3、外网IP地址（或者可以映射到你路由器的外网端口）


先把这两个软件设置好，不会的话请自己baidu了，有详细介绍，这里就不多描述了。
一个是用阿里云的域名进行DDNS的动态域名解析，一个是用阿里云的域名进行自动的泛域名证书申请的两个插件，这两个插件都是基于阿里云的，你有其他的域名就自己想办法了，达到的目的就是进行动态域名解析和泛域名证书的申请！！
Let's Encrypt自动申请到的证书储存在/koolshare/acme/，且安装在/jffs/ssl目录，后面nginx配置的时候指定到这个目录。

然后开始安装nginx（由于我的K3没有外接存储，所以我的所有操作都是在jffs里面安装的）：
1、进入ssh，先来装Entware-ng

• mkdir /jffs/entware-ng.arm
• ln -nsf /jffs/entware-ng.arm /tmp/opt
• wget -O - http://pkg.entware.net/binaries/ ... /entware_install.sh | /bin/sh
• echo "#!/bin/sh" > /jffs/scripts/services-start
• echo "sleep 20" >> /jffs/scripts/services-start
• echo "ln -ns /jffs/entware-ng.arm /tmp/opt" >> /jffs/scripts/services-start
• echo "/opt/etc/init.d/rc.unslung start" >> /jffs/scripts/services-start
• echo "#!/bin/sh" > /jffs/scripts/services-stop
• echo "/opt/etc/init.d/rc.unslung stop" >> /jffs/scripts/services-stop
• chmod a+rx /jffs/scripts/*
  

2、安装nginx

• opkg install nginx

  
  

3、配置nginx
登陆ssh用vi修改nginx配置文件

• vi /opt/etc/nginx/nginx.conf

  
  

或者用WinSCP直接去修改也行
一下给出我的的代码 供大家参考

user  nobody;
worker_processes  2;

events {
    use epoll;
    worker_connections  64;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    sendfile    on;
    tcp_nopush  on;
    keepalive_timeout   65;

    server {
        listen  8000;  #外网访问端口，如果你的网络可以使用443，那最好就用443
        server_name k3.host.win;   #你访问服务用的域名
        ssl on;
        ssl_certificate /jffs/ssl/cert.pem;   #你的证书存放的位置
        ssl_certificate_key /jffs/ssl/key.pem;     #你的证书存放的位置
        ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;
        ssl_prefer_server_ciphers   on;

        location / {
        proxy_buffering off;                                                                                                                                             
        proxy_buffer_size  128k;                                                                                                                                          
        proxy_buffers 100  128k;     
        proxy_redirect off;
        proxy_set_header Host $hostserver_port;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        proxy_pass http://127.0.0.1;    #内网web服务地址
    }
}
    server {
        listen  8000;
        server_name aml.host.win;
        ssl on;
        ssl_certificate /jffs/ssl/cert.pem;
        ssl_certificate_key /jffs/ssl/key.pem;
        ssl_ciphers EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;
        ssl_prefer_server_ciphers   on;

        location / {
        proxy_buffering off;                                                                                                                                             
        proxy_buffer_size  128k;                                                                                                                                          
        proxy_buffers 100  128k;                 

        proxy_redirect off;                                                            
        proxy_set_header Host $hostserver_port;                                       
        proxy_set_header X-Real-IP $remote_addr;                                       
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass http://192.168.3.22;
        }
    }

#后面 你有多少服务 就复制多少个 server 到这里，继续往后添加

}

4、启动nginx

nginx

这里还需要设置运行防火墙

iptables -I INPUT 7 -p tcp --dport 8000 -j ACCEPT

但是随便设置一条端口转发规则都会使你开放的端口失效，要解决这个问题可以建立一个定时脚本，检测 你开放的端口

vim open8000.sh

#!/bin/sh
path=`iptables -nvL | grep 8000 | awk '{print $1}'`
if [ ! -n "$path" ]
then
iptables -I INPUT 7 -p tcp --dport 8000 -j ACCEPT
fi

把这个open8000.sh丢到jffs分区里面去
然后设置一个定时任务,让他每分钟执行一次，检查防火墙是否生效

crontab -e

*/1 * * * * /jffs/open8000.sh #open 8000

这样设置以后 你就可以通过外网用二级域名来访问内网不同的web服务了，只需要用一个端口。




参考文档：
https://www.frost.net.cn/wordpress/archives/654
https://www.right.com.cn/forum/thread-251338-1-1.html

米国卡

强大的教程，感谢楼主分享，您辛苦了

bruce1227

记录一下 怕以后自己忘记了!

systemctl

运营商没有封80 443的话 ,直接listen 80 然后redirect to 443 走https，里边再反代不同的内网ip:port,

另外let`s encrypt证不用非要走阿里，直接用acme.sh 自动申请，自动续期

bruce1227

systemctl 发表于 2019-1-10 14:07
运营商没有封80 443的话 ,直接listen 80 然后redirect to 443 走https，里边再反代不同的内网ip:port,

...

走阿里的KEY是为了泛域名！ 其实这个工具就是用acme.sh 来实现的！

lclcolin

正是需要的东西。学习一下。

systemctl

bruce1227 发表于 2019-1-10 15:10
走阿里的KEY是为了泛域名！ 其实这个工具就是用acme.sh 来实现的！

通配泛域名是let`s encrypt 支持的 和阿里关系是??

死神的眷顾

强大的教程，感谢楼主分享，您辛苦了

新车上路

K3梅林使用nginx反向代理内网web服务 [修改]

zk6685

正在用小钢炮折腾Nginx的我，找教程找到这里了，马上切换大神的方案试试

zk6685

各种Https ssl 弄得眼花缭乱

zk6685

没看明白...外部怎么访问？

niubility

加小绿锁，好。。。