Lucky DDNS反向代理与雷池WAF集成配置指南

1. 基础理论与环境准备

1.1 网络基础概念

localhost：特殊域名，默认解析到127.0.0.1，通过本机host文件管理
127.0.0.1：本机环回地址，绑定在虚拟网卡(loopback)上的私有IP
区别：
- localhost和127.0.0.1无需联网即可访问
- localhost是域名，默认指向127.0.0.1
- 本机有线/无线网IP需要联网后才能访问

1.2 硬件与系统要求

推荐配置：
- CPU: Intel® Core™ i5-6300U或更高
- 系统: Ubuntu 24.04.1 LTS (64位)
- 环境: Docker
硬性要求：
- 必须有稳定域名(不建议使用免费域名)
- 已申请并下发SSL证书(Lucky DDNS和雷池WAF均可申请)
- 家庭带宽需有IPv4公网或IPv6公网地址

2. Lucky DDNS部署与配置

2.1 Docker部署Lucky

提供三种部署方式：

host模式(推荐，支持IPv4/IPv6)：

docker run -d --name lucky --restart=always --net=host gdy666/lucky

桥接模式(仅支持IPv4)：

docker run -d --name lucky --restart=always -p 16601:16601 gdy666/lucky

挂载主机目录(配置持久化)：

docker run -d --name lucky --restart=always --net=host -v /root/luckyconf:/goodluck gdy666/lucky

2.2 初始配置

访问Lucky控制台：http://IP:16601
默认账号/密码：666/666
配置动态域名(参考Lucky文档)

2.3 Web服务配置

添加域名后启用Web服务
添加Web服务规则：
- 云服务器已备案需使用443端口
- 其他情况可自定义端口

2.4 添加子规则

子规则名称：自定义标识
服务类型：选择"反向代理"
前端地址：填写子域名(必须与动态域名配置一致)
后端地址：
- 格式：http://127.0.0.1:端口号 或 http://目标主机IP:端口号
- 云服务器填写公网IP:端口
- 注意：使用http://而非https://

2.5 配置重定向

监听类型：与Web服务规则一致
监听端口：与Web服务配置的端口号一致
服务类型：选择"重定向"
默认目标地址：https://{host}:9443(9443为雷池WAF默认端口)

3. 雷池WAF配置

3.1 基本配置

访问雷池控制台：http://IP:9443
添加防护站点：
- 站点域名：填写你的子域名
- 源站地址：已部署服务的地址(如Alist则为IP:5244)

3.2 全局配置

在雷池控制台的"防护站点-全局配置"中进行必要设置

4. 测试与验证

4.1 基本访问测试

通过子域名:端口测试网站是否能正常访问
测试环境：
- 电脑端内网测试
- 手机端使用移动流量测试(非WiFi)

4.2 攻击模拟测试

在域名后添加以下测试参数：

SQL注入：
```
/?id=1+and+1=2+union+select+1
```
XSS攻击：
```
/?id=
```
路径穿越：
```
/?id=etc/passwd
```
代码注入：
```
/?id=phpinfo();system('id')
```

XXE攻击：

/?id=<?xml+version="1.0"?><!DOCTYPE+foo+SYSTEM+"">

4.3 注意事项

暂时不要添加"仅允许国内IP地址访问"规则(可能导致无法访问)
检查雷池日志确认拦截记录

5. 网络与防火墙配置

5.1 路由器配置

华硕TUF GAMING小旋风路由器示例：
- 可能需要添加特定防火墙规则
- 测试时可临时关闭防火墙
其他品牌路由器：
- 华为路由器需完全关闭防火墙(无单独v4/v6规则)
- 小米路由器需搜索单独开启v4/v6防火墙的方法

5.2 备案要求

国内云服务器：按服务商要求备案
家庭自建服务器：
- 咨询运营商是否需要备案
- 不同地区政策不同(如广东电信可能无需备案)

6. 故障排除

6.1 外网无法访问

尝试临时关闭主路由防火墙测试
若可访问，则添加相应防火墙规则
检查各厂商路由器防火墙的特殊配置

6.2 无访问量统计

检查路由器/旁路由防火墙设置
临时关闭防火墙测试是否有访问量
- 注意：不推荐长期关闭防火墙

7. 安全与合规建议

不要大范围公开自建服务器
- 可能导致运营商取消公网资格
- 可能违反国家法律法规
规范合理使用，遵守国家相关法规

8. 注意事项总结

确保子域名在Lucky和雷池配置中一致
后端地址使用http://而非https://
测试时使用移动流量而非WiFi
不要长期关闭防火墙
遵守当地网络使用法规

通过以上步骤，您的网站将得到雷池WAF的有效保护。如遇问题，建议检查各环节配置是否一致，特别是域名、端口和协议设置。

Lucky DDNS反向代理与雷池WAF集成配置指南 1. 基础理论与环境准备 1.1 网络基础概念 localhost ：特殊域名，默认解析到127.0.0.1，通过本机host文件管理 127.0.0.1 ：本机环回地址，绑定在虚拟网卡(loopback)上的私有IP 区别： localhost和127.0.0.1无需联网即可访问 localhost是域名，默认指向127.0.0.1 本机有线/无线网IP需要联网后才能访问 1.2 硬件与系统要求推荐配置： CPU: Intel® Core™ i5-6300U或更高系统: Ubuntu 24.04.1 LTS (64位) 环境: Docker 硬性要求：必须有稳定域名(不建议使用免费域名) 已申请并下发SSL证书(Lucky DDNS和雷池WAF均可申请) 家庭带宽需有IPv4公网或IPv6公网地址 2. Lucky DDNS部署与配置 2.1 Docker部署Lucky 提供三种部署方式： host模式 (推荐，支持IPv4/IPv6)：桥接模式 (仅支持IPv4)：挂载主机目录 (配置持久化)： 2.2 初始配置访问Lucky控制台： http://IP:16601 默认账号/密码：666/666 配置动态域名(参考Lucky文档) 2.3 Web服务配置添加域名后启用Web服务添加Web服务规则：云服务器已备案需使用443端口其他情况可自定义端口 2.4 添加子规则子规则名称：自定义标识服务类型：选择"反向代理" 前端地址：填写子域名(必须与动态域名配置一致) 后端地址：格式： http://127.0.0.1:端口号或 http://目标主机IP:端口号云服务器填写公网IP:端口注意：使用http://而非https:// 2.5 配置重定向监听类型：与Web服务规则一致监听端口：与Web服务配置的端口号一致服务类型：选择"重定向" 默认目标地址： https://{host}:9443 (9443为雷池WAF默认端口) 3. 雷池WAF配置 3.1 基本配置访问雷池控制台： http://IP:9443 添加防护站点：站点域名：填写你的子域名源站地址：已部署服务的地址(如Alist则为 IP:5244 ) 3.2 全局配置在雷池控制台的"防护站点-全局配置"中进行必要设置 4. 测试与验证 4.1 基本访问测试通过子域名:端口测试网站是否能正常访问测试环境：电脑端内网测试手机端使用移动流量测试(非WiFi) 4.2 攻击模拟测试在域名后添加以下测试参数： SQL注入： XSS攻击：路径穿越：代码注入： XXE攻击： 4.3 注意事项暂时不要添加"仅允许国内IP地址访问"规则(可能导致无法访问) 检查雷池日志确认拦截记录 5. 网络与防火墙配置 5.1 路由器配置华硕TUF GAMING小旋风路由器示例：可能需要添加特定防火墙规则测试时可临时关闭防火墙其他品牌路由器：华为路由器需完全关闭防火墙(无单独v4/v6规则) 小米路由器需搜索单独开启v4/v6防火墙的方法 5.2 备案要求国内云服务器：按服务商要求备案家庭自建服务器：咨询运营商是否需要备案不同地区政策不同(如广东电信可能无需备案) 6. 故障排除 6.1 外网无法访问尝试临时关闭主路由防火墙测试若可访问，则添加相应防火墙规则检查各厂商路由器防火墙的特殊配置 6.2 无访问量统计检查路由器/旁路由防火墙设置临时关闭防火墙测试是否有访问量注意：不推荐长期关闭防火墙 7. 安全与合规建议不要大范围公开自建服务器可能导致运营商取消公网资格可能违反国家法律法规规范合理使用，遵守国家相关法规 8. 注意事项总结确保子域名在Lucky和雷池配置中一致后端地址使用http://而非https:// 测试时使用移动流量而非WiFi 不要长期关闭防火墙遵守当地网络使用法规通过以上步骤，您的网站将得到雷池WAF的有效保护。如遇问题，建议检查各环节配置是否一致，特别是域名、端口和协议设置。