大家好,欢迎来到IT知识分享网。
适用场景:
• 公司机房(有公网或可申请端口映射)
• 家庭宽带(光猫+路由器,动态公网 IP)
• 受限网络(CG-NAT / 无法做端口转发)
目标:用自己的域名 myserver.xyz 在任何地方通过 HTTPS 访问这台服务器上的网站 / API / 私人云盘。
目录
- 准备硬件与操作系统
- 基础安全配置(SSH / 防火墙 / 定时更新)
- 在局域网内固定服务器地址
- 拿到“公网可达”——三种网络破局方案
- 域名申请与解析
- 安装 Nginx + HTTPS 证书
- 发布一个示例站点并外网验证
- 加固与运维要点
1️⃣ 准备硬件与操作系统
|
选项 |
最小配置 |
说明 |
|
x86 小主机 |
双核 / 4 GB / 64 GB SSD |
兼容面广,性能充裕 |
|
树莓派 4B |
4 GB / 32 GB TF 卡 |
低功耗,适合家用宽带 |
|
旧笔记本 |
i3 / 8 GB |
UPS 自带电池,噪声低 |
安装 Ubuntu Server 22.04 LTS(或 Debian 12/AlmaLinux),整个过程一路 Next 即可。登录后第一时间:
# 创建非 root 用户并赋 sudo
adduser jack && usermod -aG sudo jack
# 禁止 root 远程登录
sudo sed -i ‘s/^PermitRootLogin.*/PermitRootLogin no/’ /etc/ssh/sshd_config
sudo systemctl restart ssh
2️⃣ 系统安全与更新
# 开启防火墙,仅放行 22/80/443
sudo apt update && sudo apt install ufw fail2ban -y
sudo ufw allow 22,80,443/tcp
sudo ufw enable
# 自动安全更新
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades
3️⃣ 固定局域网 IP
- 家用路由器里将服务器 MAC 绑定到固定 LAN IP(如 192.168.1.10)。
- 公司若使用 DHCP,请让网管预留或在 /etc/netplan/*.yaml 里设置静态地址。
# /etc/netplan/00-static.yaml
network:
ethernets:
eno1:
addresses: [192.168.1.10/24]
gateway4: 192.168.1.1
nameservers:
addresses: [8.8.8.8,1.1.1.1]
version: 2
sudo netplan apply
4️⃣ 让服务器“走到”公网
方案 A:公网 IP / 路由器端口映射(最快速)
- 确认光猫拨号获取的是 公网(可在路由器 WAN 状态对照 ip.sb)。
- 路由器 → 转发规则:
|
外部端口 |
内部 IP |
内部端口 |
|
80 |
192.168.1.10 |
80 |
|
443 |
192.168.1.10 |
443 |
- 宽带动态 IP?——DDNS
- 免费:Afraid.org、DuckDNS
- 路由器自带:花生壳、NO-IP
- 定时脚本:curl -s “https://api.godaddy.com/v1/domains/…”.
方案 B:公司网络——让网管做
NAT 映射 / 防火墙策略
提前写清业务端口列表、用途、责任人,方便审批。
方案 C:没有端口映射权、CG-NAT(移动宽带等)
|
方法 |
描述 |
免费与否 |
|
Cloudflare Tunnel |
cloudflared tunnel … 直连 Cloudflare,映射 myserver.xyz |
免费 |
|
frp / nps |
自建穿透到一台公网 VPS |
VPS 收费 |
|
Tailscale Funnel |
基于 WireGuard 的 NAT 穿透,开启 HTTP 服务 |
免费额度 |
示例:Cloudflare Tunnel
curl https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb -LO
sudo dpkg -i cloudflared-linux-amd64.deb
cloudflared tunnel login # 浏览器授权域名
cloudflared tunnel create mytunnel
cloudflared tunnel route dns mytunnel myserver.xyz
# 生成
/etc/cloudflared/config.yml 指向本地 8080
sudo systemctl enable –now cloudflared
5️⃣ 域名注册与解析
- 在 Namecheap / 阿里云 / Cloudflare 注册 myserver.xyz。
- 传统端口映射:添加 A 记录 → 指向公网 IP(或 DDNS 域名用 CNAME)。
- Cloudflare Tunnel 已在 4️⃣-C 中自动创建 CNAME,无需额外 A 记录。
6️⃣ Nginx + HTTPS
sudo apt install nginx -y
sudo systemctl enable –now nginx
# 如果是 80/443 直连:
sudo snap install –classic certbot
sudo certbot –nginx -d myserver.xyz # 自动写入 HTTPS 配置
# Cloudflare Tunnel(免 80/443):
sudo certbot certonly –manual –preferred-challenges dns \
-d myserver.xyz –register-unsafely-without-email
# 在 Cloudflare TXT → _acme-challenge 添加 token 完成 DNS 验证
生成后
/etc/letsencrypt/live/myserver.xyz/ 存放证书,自动定时续期。
7️⃣ 发布示例站点并外网验证
sudo rm /var/www/html/index.nginx-debian.html
echo “<h1>Hello from $(hostname)</h1>” | sudo tee /var/www/html/index.html
sudo nginx -t && sudo systemctl reload nginx
浏览器输入 https://myserver.xyz → 出现上面文字即成功。
若走 4️⃣-C 隧道,确认 cloudflared tunnel info 显示 healthy。
8️⃣ 加固 & 运维
|
项目 |
工具 / 建议 |
|
日志监控 |
journalctl -u nginx -f、/var/log/nginx/access.log |
|
入侵防护 |
fail2ban 默认 jail sshd;可添加 nginx-http-auth |
|
备份 |
rsync + cron 同步 /etc/nginx 与网站目录到 NAS/VPS |
|
资源占用 |
htop、ncdu、iotop;定期清理旧日志 |
|
证书续期 |
certbot renew –dry-run 每月自测 |
|
合规 |
公司内网需向 IT 报备公网服务,开放端口最小化 |
现在,你已经:
- 安装并加固了服务器系统
- 让服务器在任何网络可达(端口映射 / 隧道)
- 绑定域名,配置了可信 HTTPS
- 成功外网访问自己的站点
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/185536.html
