我们使用 cookie 来帮助我们改善网页体验。请阅读我们的 Cookie 政策

NAS 325

设置反向代理服务器

设置反向代理网域来增加其他 NAS 及应用程序的安全连线

2023-12-08

课程目的

完成此课程后您将能够:

  1. 使用反向代理网域来保护多个 NAS 的安全连线。
  2. 使用反向代理网域来提升应用程序的 HTTPS 连线安全性。

必修项目

课程必修项目:
NAS 324:使用 HTTPS 进行更安全的 NAS 连线

学生须先具备以下知识:
HTTP/HTTPS


大纲

1. 反向代理简介

2. 保护多个 NAS 的安全连线

2.1 新增代理网域

2.2 新增规则于已存在的代理网域

3. 提升应用程序的 HTTPS 连线安全性

3.1 设置 Jellyfin 的 HTTPS 连线

3.2 设置 ownCloud 的 HTTPS 连线

3.3 设置 Syncthing 的 HTTPS 连线

3.4 设置 Nextcloud 的 HTTPS 连线

3.5 设置 Plex Web 的 HTTPS 连线

4. 管理代理网域及规则

4.1 编辑或移除代理网域

4.2 编辑或移除代理网域规则





1. 反向代理简介

网页浏览的安全性愈来愈严谨,用户可以在 ASUSTOR NAS 上架设多种服务器或是安装各式各样的应用程序,大部分应用程序都经由网页浏览器开启,因此 HTTPS 的安全连线就愈受重视。
反向代理服务器有助于代理客户端来提供网页数据并保护数据传输的安全性。用户可以在已申请合法 HTTPS 凭证及域名的 NAS 上,经由反向代理服务器的设置,保护外部网络透过 HTTPS 连接该域称时所传输的数据。
后续章节介绍的反向代理服务器使用范例,皆以使用反向代理服务器实现 HTTPS 安全连线为前提,请在需启用反向代理服务器的 NAS 上设置域名及申请合法凭证,设置方式请参阅:
NAS 324:使用 HTTPS 进行更安全的 NAS 连线



2. 保护多个 NAS 的安全连线

当您于同一个局域网中设置多台 NAS,并希望可以从外部网络使用 HTTPS 安全连线至 NAS 开启 ADM,使用其中一台 NAS 的反向代理服务器,可以保护其他 NAS 的安全连线,不需将所有 NAS 都开放外网连接且申请不同的域名。



2.1 新增代理网域

要使用此 NAS 的合法网域以 HTTPS 登录其他 NAS 的 ADM,需先新增一个代理网域。


步骤 1

  • 使用网页浏览器并以管理者帐户登录 ADM。
  • 在 ADM 画面右上角选择 [控制台]。
  • 点选 [反向代理]。


步骤 2

  • 于 [反向代理] 页面点选 [新增]。
  • 选择 [新增代理网域] 后,点选 [下一步]。



步骤 3

  • 输入 [名称] 便于辨识此代理网域。例如:ASUSTOR NAS ADM。
  • 选择 [HTTPS] 及服务器名称 [ yourddns.myasustor.com ]。
  • 输入还未被注册使用的通讯端口,例如:8880。
  • 选择允许连线的网络接口,直接使用 [*] 即可。
  • 输入此代理网域规则的路径,例如:/as6602t,开启 [轻松连机之通讯端口转发] 后,点选 [下一步]。
    注:若此代理网域只有一个规则,路径可以只保留 “/”,若需新增其他规则,可以再使用编辑来为第一个规则新增路径。


步骤 4

  • 输入 [名称] 便于辨识被代理的网域规则,例如:AS6602T。
  • 选择 [HTTP] 并输入被代理网域的局域 IP,例如:[ 172.16.xxx.xxx ]。
  • 输入被代理网域的通讯端口,例如:8000 (ADM HTTP 登录的通讯端口)。
  • 输入被代理网域原本的特定路径,登录 ADM 不需特定路径,保留 “/” 即可。
  • 点击 [联机测试],测试上述被代理网域的信息是否可以成功联机且其网址是否需要转址。然后,点选 [下一步]。


步骤 5

  • 最后确认所设置的信息是否正确,点选 [完成]。


  • 设置完成后即可在反向代理页面看到代理网域的信息。


步骤 6

  • 以此设置的代理网域为例,在网页浏览器上输入 [ https://yourddns.myasustor.com:8880/as6602t/ ],反向代理服务器将会代理传输 [ http://172.16.xxx. xxx:8000/ ] 的数据。
  • 用户就可以从外部网络使用此代理网域的 HTTPS 网址来连线到另一台 NAS 并登录 ADM。用户可以用同一个域名 [ yourddns.myasustor.com ] 来登录原本的 NAS,或加入设置的通讯端口及路径来登录其他 NAS,而此 HTTPS 连线因为有合法凭证,将被网页浏览器认定为合法的安全连线。

注:使用反向代理服务器以 HTTPS 开启不同 NAS 的 ADM 页面,登录后,需要其他特定通迅端口的服务及应用程序,需另外设置反向代理的通讯端口,才能正确从此代理网域启用该服务及应用程序。


从 Chrome 开启:


从 Firefox 开启:



2.2 新增规则于已存在的代理网域

用户可以在已存在的代理网域中,新增其他规则,使用不同的路径来开启另一个服务。此章节范例为于上一章节新增的网域中,新增规则来登录另一台 NAS 的 ADM。

步骤 1

  • 于 [反向代理] 页面点选 [新增]。
  • 选择 [新增规则于已存在的代理网域中] 后,点选 [下一步]。



步骤 2

  • 选择要新增规则的代理网域,例如:[ https://yourddns.myasustor.com:8880 ]。
  • 输入此新增规则的路径,例如:/as5304t,点选 [下一步]。

注:于存在的代理网域中新增规则,代理网域的域名及通讯端口在此过程中无法修改,只需输入不同的路径。


步骤 3

  • 输入 [名称] 便于辨识被代理的网域规则,例如:AS5304T。
  • 选择 [HTTP] 并输入被代理网域的局域 IP,例如:[ 172.16.xx.xx ]。
  • 输入被代理网域的通讯端口,例如:8000 (ADM HTTP 登录的通讯端口)。
  • 输入被代理网域原本的特定路径,登录 ADM 不需特定路径,保留 “/” 即可。
  • 点击 [联机测试],测试上述被代理网域的信息是否可以成功联机且其网址是否需要转址。然后,点选 [下一步]。


步骤 4

  • 最后确认所设置的信息是否正确,点选 [完成]。


  • 设置完成后即可在反向代理页面看到代理网域的信息。


步骤 5

  • 以此设置的代理网域为例,在网页浏览器上输入 [ https://yourddns.myasustor.com:8880/as5304t/ ],反向代理服务器将会代理传输 [ http://172.16.xx. xx:8000/ ] 的数据。
  • 用户就可以从外部网络使用此代理网域的 HTTPS 网址来连线到另一台新增的 NAS 并登录 ADM。

从 Chrome 开启:


从 Firefox 开启:




3. 提升应用程序的 HTTPS 连线安全性

原本于 NAS 中无法使用 HTTPS 连线的应用程序,藉由反向代理服务器,可以启用远端 HTTPS 安全连线。此章节将介绍几个需要特定通讯端口开启且无法直接使用 NAS 上合法凭证的应用程序,如何使用反向代理服务器来实现 HTTPS 的安全连线。


3.1 设置 Jellyfin 的 HTTPS 连线

Jellyfin 的 Docker 版本无法使用 NAS 默认的 Web 服务器,需设置反向代理服务器,才能支持 HTTPS 远端连线,当 NAS 已申请 HTTPS 合法凭证后,现在可以使用反向代理服务器来设置 Jellyfin 的 HTTPS 安全连线。


步骤 1

  • 于 [反向代理] 页面点选 [新增]。
  • 选择 [新增代理网域] 后,点选 [下一步]。



步骤 2

  • 输入 [名称] 便于辨识此代理网域,例如:Jellyfin HTTPS。
  • 选择 [HTTPS] 及服务器名称 [ yourddns.myasustor.com ]。
  • 输入还未被注册使用的通讯端口,需与原本 Jellyfin 的通讯端口不同,例如:8196。
  • 选择允许连线的网络接口,直接使用 [*] 即可。
  • 输入此代理网域规则的路径,或直接保留 “/”,开启 [轻松连机之通讯端口转发] 后,点选 [下一步]。


步骤 3

  • 输入 [名称] 便于辨识被代理的网域规则,可以保留空白。
  • 选择 [HTTP],并输入此 NAS 的局域 IP,例如:[ 172.16.xx.xxx ]。
  • 输入被代理网域的应用程序通讯端口,例如:8096 (Jellyfin HTTP 通讯端口)。
  • 输入被代理网域的应用程序特定路径,Jellyfin 则保留 “/” 即可。
  • 点击 [联机测试],测试上述被代理网域的信息是否可以成功联机且其网址是否需要转址。然后,点选 [下一步]。


步骤 4

  • 最后确认所设置的信息是否正确,点选 [完成]。


  • 设置完成后即可在反向代理页面看到代理网域的信息。


步骤 5

  • 以此设置的代理网域为例,在网页浏览器上输入 [ https://yourddns.myasustor.com:8196/ ],反向代理服务器将会代理传输 [ http://172.16.xx.xxx: 8096/ ] (Jellyfin 本地开启的网址) 数据。
  • 用户就可以透过 HTTPS 从外部网络使用此代理网域来连线到此 NAS 所安装的 Jellyfin 并登录使用。

从 Chrome 开启:


从 Firefox 开启:



3.2 设置 ownCloud 的 HTTPS 连线

ownCloud 的 Docker 版本无法使用 NAS 默认的 Web 服务器,需设置反向代理服务器,才能支持 HTTPS 远端连线,当 NAS 已申请 HTTPS 合法凭证后,现在可以使用反向代理服务器来设置 ownCloud 的 HTTPS 安全连线。


步骤 1

  • 于 [反向代理] 页面点选 [新增]。
  • 选择 [新增代理网域] 后,点选 [下一步]。



步骤 2

  • 输入 [名称] 便于辨识此代理网域,例如:ownCloud HTTPS。
  • 选择 [HTTPS] 及服务器名称 [ yourddns.myasustor.com ]。
  • 输入还未被注册使用的通讯端口,需与原本 ownCloud 的通讯端口不同,例如:32882。
  • 选择允许连线的网络接口,直接使用 [*] 即可。
  • 输入此代理网域规则的路径,或直接保留 “/”,开启 [轻松连机之通讯端口转发] 后,点选 [下一步]。


步骤 3

  • 输入 [名称] 便于辨识被代理的网域规则,可以保留空白。
  • 选择 [HTTP],并输入此 NAS 的局域 IP,例如:[ 172.16.xx.xxx ]。
  • 输入被代理网域的应用程序通讯端口,例如:32880 (ownCloud HTTP 通讯端口)。
  • 输入被代理网域的应用程序特定路径,ownCloud 则保留 “/” 即可。
  • 点击 [联机测试],测试上述被代理网域的信息是否可以成功联机且其网址是否需要转址。然后,点选 [下一步]。


步骤 4

  • 最后确认所设置的信息是否正确,点选 [完成]。


  • 设置完成后即可在反向代理页面看到代理网域的信息。


步骤 5

ownCloud 对于其访问的网域有严格限制,因此为 ownCloud 设置反向代理服务器时,需将此网域加入到 ownCloud 的 "trusted_domains" 设置中,才能正常使用。

  • 下载 /share/Docker/ownCloud/data/config/config.php 至桌机上,将 config.php 重新命名为 "zz-user.config.php" 后,开启文本编辑器编辑。
  • 于 zz-user.config.php 内容中只保留 'trusted_domains' 的设置,并加入 NAS 的反向代理服务器网域,[ 1 => 'yourddns.myasustor.com', ] 后存档。

  • 将编辑过的 zz-user.config.php 上传至 NAS 文件夹 [ /share/Docker/ownCloud/data/config/ ]。


步骤 6

  • 以此设置的代理网域为例,在网页浏览器上输入 [ https://yourddns.myasustor.com:32882/ ],反向代理服务器将会代理传输 [ http://172.16.xx.xxx: 32880/ ] (ownCloud 本地开启的网址) 数据。
  • 用户就可以透过 HTTPS 从外部网络使用此代理网域来连线到此 NAS 所安装的 ownCloud 并登录使用。

从 Chrome 开启:


从 Firefox 开启:



3.3 设置 Syncthing 的 HTTPS 连线

Syncthing 的 Docker 版本无法使用 NAS 默认的 Web 服务器,需设置反向代理服务器,才能支持 HTTPS 远端连线,当 NAS 已申请 HTTPS 合法凭证后,现在可以使用反向代理服务器来设置 Syncthing 的 HTTPS 安全连线。

注:此范例使用已存在的代理网域来新增规则,不需再额外设置一个通讯端口。用户亦可选择用 [新增代理网域] 的方式,新增另一个通讯端口来为 Syncthing 设置反向代理。


步骤 1

  • 于 [反向代理] 页面点选 [新增]。
  • 选择 [新增规则于已存在的代理网域中] 后,点选 [下一步]。



步骤 2

  • 选择要新增规则的代理网域,例如:[ https://yourddns.myasustor.com:18862 ]。
  • 输入此新增规则的路径,例如:/syncthing,点选 [下一步]。

注:于存在的代理网域中新增规则,代理网域的域名及通讯端口在此过程中无法修改,只需输入不同的路径。


步骤 3

  • 输入 [名称] 便于辨识此代理网域。例如:Syncthing。
  • 选择 [HTTP],并输入此 NAS 的局域 IP,例如:[ 172.16.xx.xxx ]。
  • 输入被代理网域的应用程序通讯端口,例如:28384 (Syncthing HTTP 通讯端口)。
  • 输入被代理网域的应用程序特定路径,Syncthing 则保留 “/” 即可。
  • 点击 [联机测试],测试上述被代理网域的信息是否可以成功联机且其网址是否需要转址。然后,点选 [下一步]。


步骤 4

  • 最后确认所设置的信息是否正确,点选 [完成]。


  • 设置完成后即可在反向代理页面看到代理网域的信息。


步骤 5

  • 以此设置的代理网域为例,在网页浏览器上输入 [ https://yourddns.myasustor.com:18862/syncthing/ ],反向代理服务器将会代理传输 [ http://172.16.xx.xxx: 28384/ ] (Syncthing 本地开启的网址) 数据。
  • 用户就可以透过 HTTPS 从外部网络使用此代理网域来连线到此 NAS 所安装的 Syncthing 并登录使用。

从 Chrome 开启:


从 Firefox 开启:



3.4 设置 Nextcloud 的 HTTPS 连线

ADM 4.1 已为 Nextcloud 新增默认的反向代理服务器,若你的 NAS 是 ADM 4.1 或更高的版本,已无需自行设置。
目前默认的反向代理服务器无法开放让用户新增其他规则。


  • 在网页浏览器上输入 [ https://yourddns.myasustor.com:8622/nextcloud-docker/ ],反向代理服务器将会代理传输 [ http://172.16.xx.xxx: 32680/ ] (Nextcloud 本地开启的网址) 数据。
  • 用户就可以透过 HTTPS 从外部网络使用此代理网域来连线到此 NAS 所安装的 Nextcloud 并登录使用。

从 Chrome 开启:


从 Firefox 开启:




Nextcloud 的 Docker 版本无法使用 NAS 默认的 Web 服务器,需设置反向代理服务器,才能支持 HTTPS 远端连线,当 NAS 已申请 HTTPS 合法凭证后,现在可以使用反向代理服务器来设置 Nextcloud 的 HTTPS 安全连线。


步骤 1

  • 于 [反向代理] 页面点选 [新增]。
  • 选择 [新增代理网域] 后,点选 [下一步]。



步骤 2

  • 输入 [名称] 便于辨识此代理网域,例如:Nextcloud HTTPS。
  • 选择 [HTTPS] 及服务器名称 [ yourddns.myasustor.com ]。
  • 输入还未被注册使用的通讯端口,需与原本 Nextcloud 的通讯端口不同,例如:32681。
  • 选择允许连线的网络接口,直接使用 [*] 即可。
  • 输入此代理网域规则的路径,或直接保留 “/”,开启 [轻松连机之通讯端口转发] 后,点选 [下一步]。


步骤 3

  • 输入 [名称] 便于辨识被代理的网域规则,可以保留空白。
  • 选择 [HTTP],并输入此 NAS 的局域 IP,例如:[ 172.16.xx.xxx ]。
  • 输入被代理网域的应用程序通讯端口,例如:32680 (Nextcloud HTTP 通讯端口)。
  • 输入被代理网域的应用程序特定路径,Nextcloud 则保留 “/” 即可。
  • 点击 [联机测试],测试上述被代理网域的信息是否可以成功联机且其网址是否需要转址。然后,点选 [下一步]。


步骤 4

  • 最后确认所设置的信息是否正确,点选 [完成]。


  • 设置完成后即可在反向代理页面看到代理网域的信息。


步骤 5

Nextcloud 对于其访问的网域有严格限制,因此 Nextcloud 文件中说明,设置反向代理服务器时,需于 Nextcloud 的 config.php 加入相关设置参数,才能正常使用。详情可参阅 Nextcloud 文件

  • 下载 /volume1/Docker/Nextcloud/config/config.php 至桌机上,并开启文本编辑器编辑。
  • 于 config.php 内容下方加上 [ 'overwritehost' => 'yourddns.myasustor.com:32681', ] 及 [ 'overwriteprotocol' => 'https', ] 后存档。
  • 将编辑过的 config.php 上传至 NAS 文件夹 [ /volume1/Docker/Nextcloud/config ] 覆盖原始文件。


步骤 6

  • 以此设置的代理网域为例,在网页浏览器上输入 [ https://yourddns.myasustor.com:32681/ ],反向代理服务器将会代理传输 [ http://172.16.xx.xxx: 32680/ ] (Nextcloud 本地开启的网址) 数据。
  • 用户就可以透过 HTTPS 从外部网络使用此代理网域来连线到此 NAS 所安装的 Nextcloud 并登录使用。

从 Chrome 开启:


从 Firefox 开启:



3.5 设置 Plex Web 的 HTTPS 连线

ADM 4.1 已为 Plex 媒体服务器新增默认的反向代理服务器,若你的 NAS 是 ADM 4.1 或更高的版本,已无需自行设置。
目前默认的反向代理服务器无法开放让用户新增其他规则。


  • 在网页浏览器上输入 [ https://yourddns.myasustor.com:8622/plexmediaserver/ ],反向代理服务器将会代理传输 [ https://172.16.xx.xxx: 32400/ ] (Plex 媒体服务器本地开启的网址) 数据。
  • 用户就可以透过 HTTPS 从外部网络使用此代理网域来连线到此 NAS 所安装的 Plex 媒体服务器并登录使用。

从 Chrome 开启:


从 Firefox 开启:




安装于 NAS 上的 Plex 媒体服务器,可直接使用网页浏览器开启 Plex Web 来管理媒体库及播放视频。Plex Web 绑定的 HTTPS 凭证只能允许使用 [ https://NAS LAN IP:32400 ] 开启 Plex 媒体服务器,现在可以使用反向代理服务器以 HTTPS 连线使用 NAS 的域名来开启 Plex 媒体服务器。

设置反向代理网域前,需先以 [ https://NAS LAN IP:32400 ] 开启 Plex 媒体服务器并登录 Plex 帐户。关于 Plex 媒体服务器的安装及媒体库设置,请参阅:
NAS 235 - Plex 媒体服务器基本功能介绍


步骤 1

  • 在 ADM 桌面,点选 [Plex Media Server]。
  • 在浏览器的网址列,将 Plex Web 的网页协议改成 HTTPS,例如:[ https://172.16.xx.xxx:32400 ]。
  • 登录您注册的 Plex 帐户,并允许此 IP 的 HTTPS 连线登录。
  • 确认 Plex Web 可显示媒体库及播放视频。


步骤 2

  • 于 [反向代理] 页面点选 [新增]。
  • 选择 [新增代理网域] 后,点选 [下一步]。



步骤 3

  • 输入 [名称] 便于辨识此代理网域,例如:Plex HTTPS。
  • 选择 [HTTPS] 及服务器名称 [ yourddns.myasustor.com ]。
  • 输入还未被注册使用的通讯端口,需与原本 Plex 的通讯端口不同,例如:32411。
  • 选择允许连线的网络接口,直接使用 [*] 即可。
  • 输入此代理网域规则的路径,或直接保留 “/”,开启 [轻松连机之通讯端口转发] 后,点选 [下一步]。


步骤 4

  • 输入 [名称] 便于辨识被代理的网域规则,可以保留空白。
  • 选择 [HTTPS],并输入此 NAS 的局域 IP,例如:[ 172.16.xx.xxx ]。
  • 输入被代理网域的应用程序通讯端口,例如:32400 (Plex HTTP/HTTPS 通讯端口)。
  • 输入被代理网域的应用程序特定路径,Plex 则保留 “/” 即可。
  • 点击 [联机测试],测试上述被代理网域的信息是否可以成功联机且其网址是否需要转址。然后,点选 [下一步]。


步骤 5

  • 最后确认所设置的信息是否正确,点选 [完成]。


  • 设置完成后即可在反向代理页面看到代理网域的信息。


步骤 6

  • 以此设置的代理网域为例,在网页浏览器上输入 [ https://yourddns.myasustor.com:32411/ ],反向代理服务器将会代理传输 [ https://172.16.xx.xxx: 32400/ ] (Plex 媒体服务器本地开启的网址) 数据。
  • 用户就可以透过 HTTPS 从外部网络使用此代理网域来连线到此 NAS 所安装的 Plex 媒体服务器并登录使用。

从 Chrome 开启:


从 Firefox 开启:




4. 管理代理网域及规则


4.1 编辑或移除代理网域

  • 于 [反向代理] 页面,选择一个代理网域后,点选 [编辑] 可以编辑反向代理网域的名称、协定、服务器名称及通讯端口,编辑代理网域后,此网域中的规则将全部跟着修改。
  • 点选 [移除] 则会删除代理网域及此网域中的所有规则。




4.2 编辑或移除代理网域规则

  • 于 [反向代理] 页面,点选一个代理网域后,展开代理网域的规则。选择一个规则后,点选 [编辑] 可以在代理网域页面编辑反向代理网域的协定、服务器名称及通讯端口,在规则页面可以编辑规则的名称、协定、域名、通讯端口及路径,或在此页面启用或停用此代理网域规则。
  • 点选 [移除] 则会删除此代理网域规则,删除最后一笔规则将会移除其代理网域。


  • 若需暂时停用反向代理连线,可以在编辑规则的页面停用反向代理网域规则,而不需将此规则移除。


此文章有帮助吗? /