使用Cloud Flare Tunnel和 Acces Application安全的暴露在公网
前言:如果搞 Home Lab 始终绕不开的话题是,我们如何将自己的内网服务暴露到公网上,又如何保证我们的安全。现在可以使用我们赛博菩萨 Cloudflare 提供的 Zero Trust 来保护我们的安全。
演示的dome : HomePage 和 Cloud Flare Zero Trust 主页
正文:使用 Tunnel 暴露服务我们需要先登录CF zero trust的管理平台,添加新的隧道点击:Networks/Tunnels 我们需要添加一个隧道让我们本地和 Cloudflare Zero Trust服务器进行连接。简单的配置完隧道名字
会自动跳转到tunnel 这个页面,没跳转的 Networks/Tunnels/你的隧道/config。我们需要安装一个cloudflared的程序,这个页面已经为我们提供好了常见的系统,如Linux MacOS Windows,复制命令直接在我们终端运行即可。
然后 下一步 ,简单配置一下。保存即可。返回菜单会发现刚刚创建的 Tunnel 等待 Status 显示HEALTHY 访问你的 配置好的域名应该就可以访问了。
使用 Acc ...
Memos 对接 Authentik
配置中:这是什么啊,这么麻烦还没过去啊。 配置后:真香好方便。
使用本文前请自行在 Authentik 配置好 Memos使用的应用程序和提供程序
Authentik 配置默认你已经创建好了,一个给Memos使用的应用程序和提供程序,我们需要更改提供程序(给Memos 的)我们点击编辑
选择客户端可以使用哪些作用域。客户端仍然需要指定访问数据的范围。
按住 ctrl/command 键可选择多个项目。
我们选中authentik default OAuth Mapping: OpenID email 和 authentik default OAuth Mapping: OpenID openid将Subject 模式改成基于用户名,然后更新。
Memos配置
在截至发文时 Memos 的版本为v0.20.1版本,Memos通过用户名为主键,其实只需要给username字段即可。
根据上文调整的,现在sub 是我们的用户名字段,按照文章截屏填写其他的自行替换。这样你的的Memos就可以使用Authentik进行登录了。
引用Memos的文档:https://www.us ...
爱快IPv6防火墙配置
前言爱快尽然默认没有开启IPv6对内网设备的阻断,我发现的时候十分震惊,而且已经在公网上暴露有一天以上了,最糟糕的事情,内网设备的密码全部是弱密码,吓得我先立刻断掉IPv6接入,仔细排查了一下内网设备还好没有人扫到并且进行爆破。
正文请确保你的ikuai 系统是最新版本并且登录ikuai Web后台,安全设置 –>ACL规则
阻断所有IPv6链接
此操作不会阻断响应IPv6的流量
由于 ikuai 在 3.7.11 版本还不支持放行或阻断 ICMP 协议,如果您想外网设备能ping通内网的话,需要需要创建两个配置,一个是阻断TCP还有一个阻断UDP,不想ping通的话,只需要创建一个配置选择任意协议即可。
进接口一定是wan口由于笔者只有一个wan口,如果您有多个话请务必全部勾选,出接口是lan同样如果您有多个lan接口请全部勾上,这样我们内网设备就不会暴露外网了。
打开指定IPv6的连接
再说指定放行IPv6地址,如果您是静态IPv6,那你自己放行那个ip 即可,但是身为家庭宽带的话都是动态IPv6地址根本不可能知道ip会变成什么样子,还是说每次变化ip 的地址重新改吗? ...
改造家里网络
前言
也好久没更新来水一波。
寒假里面,打算在折腾一下家里面的网络,将家里21年买的r2s换成J4125这下就够我折腾的了。
这是我目前的家里主题结构 由r2s软路由担任PPPOE拨号,有两个AP 组成有线mesh。
对于 J4125 我打算使用PVE+Ikuai+Debian
正文折腾前的痛点
稳定:对于r2s来说有时候不是特别问题定,需要定时重启,我尝试换了很多的固件,都无法解决此问题
性能不足 :r2s有人测试基本上稳定千兆是没有问题的了(在不使用科学上网的时候),但对于小包转发来说多少有些吃力。
ARM 生态问题:我知道ARM 发展的很好,但很多老的程序还只能支持X86.
折腾解决之后的
稳定:目前连续运行了20天没有发现异常
性能:J4125妥妥够我300mbps 的带宽使用了(满载带宽,CPU占用15%~20%)
软件:解决了ARM 部分软件问题。
J4125进行PVE 虚拟化,由Ikuai 作为主路由进行PPPOE 以及流控管理,Debian`` docker 化跑Adguard Heome 家用DNS 。
2023 总结
应该这个文章会在 31/12/2024 发表
转眼间 23年的就快过完了,回顾过往这一年的时间,貌似有些许的特殊,不至于和前几年一样是一个无聊又无趣。
博客两年的宁静,博客在23年重新绽放光彩。
23年共计写了 19 篇 文章其中阅读最多的 新版本 Spring-Security 配置踩坑 共阅读了 227次 从Google 来的最多,文章是其次是Java 使用 CloudFlare Turnstile 验证码 共阅读了 205次。在重新开始写博客之后 本站从 23年6月记录截稿,共收获了 PV 6.52k UV 2.16k。
为什么只有6-12月的数据呢?
因为我把1-5月的数据搞丢了。
在截稿前收到Google 发来的Email 28天从Google 来了120 的
赛项我参加了应用软件系统开发 荣获一等奖。然而,对于这次比赛,我心中并未留下太多深刻的评价,因为涉及的内容大多是繁琐且重复的工作。
结尾23年的故事就此落幕,还有23年所遇到的人们,也开启了我线下第一次面基之旅(不展开叙述)。24年的故事即将开启,这一年里展开新的冒险。我希望在24年,能够踏 ...
TeamSpeak 已经运行一年
点击此处唤醒team speak
看来 21多天没有更新了,来水一下,先浅浅的放一下运行一年的截图吧。
emmm ,艰难的存活了一年,感觉蛮不容易的,期间服务器很想进行重启的,应该来说是两年之久,在这个软件里面承载了我们之间的欢乐时光。
这个 TeamSpeak 服务器是在腾讯云hk轻量服务器上运行,用来方便我和我的朋友们进行连麦和交流。为我们提供了一个愉快的交流平台,让我们能够更轻松地一起玩游戏、讨论话题和共享欢乐时光。
我们主要的游戏是 彩虹六号,如果您也是彩虹六号玩家或者是对彩虹六号感兴趣,切没有人和你一起玩耍,我们非常欢迎你来加入我们,与我们一起畅谈、娱乐。
封印 Easyconnect
故事的起点因为已经到了实习期,走(滚)出了学校,还要写这些烦人的周记属实难绷,还必须使用这个Easyconnect进行访问。
如果你只是想搜索 Easyconnect却看到了这一篇文章,那么您可以仔细权衡一下有必要再去下载和使用Easyconnect了,如果问为什么不要使用Easyconnect。您可以去跳转到这一篇文章或者可以看我使用Chat GPT进行总结这一篇文章的核心。
当讨论深信服的 EasyConnect 客户端的安全隐患时,可以简化描述如下:
依赖问题: EasyConnect 客户端使用了一些旧的系统功能,这在最新版本的 macOS 上会导致它无法正常工作。这就好比用一个老式的车钥匙开启现代汽车一样,不再适配。
根证书问题: EasyConnect 客户端在你的电脑上安装了一个特殊的证书,而这个证书的作用可能不仅限于官方所说的提供更好的浏览体验。这有点像你的家门锁被复制一把,而你不知道。
自启动问题: EasyConnect 客户端还有一个进程,名为 EasyMonitor,它在你的电脑开机时就自动启动。这个进程有权监听你的一举一动,而你却不能简单地关闭它,否则 ...
WebSocket用SpringSecuirty认证和鉴权
前言刚开始想进行认证感觉还是蛮简单的,也只需要让websocket 的Headers上也带authorization在加上token 的值不就完事了吗。
但websocket 不支持自定义Headers头所以不行,但ws 允许在Sec-WebSocket-Protocol 的请求头加入自定义的参数,也就是说只需要在spring security 中在加入一个对于Sec-WebSocket-Protocol的检测就行了。
添加对 Sec-WebSocket-Protocol 的判断这里的WSHeader其实就是Sec-WebSocket-Protocol。
123456789101112131415161718192021/** * 获取请求token * * @param request * @return token */ private String getToken(HttpServletRequest request) { String token = request.getHeader(header); if (StringUtils.isNotEm ...
Cachefly自动证书上传
前言自从 Cachefly 推出了免费套餐, 作为一个白嫖党,第一时间就去体验了一下,注册需要外币卡需要注意一下,所以注册门槛稍微相对较高吧。试了一下速度,很不错,回国速度非常好,北方基本上走的是ntt 和俄罗斯的线路,南方走的是 hk 的CN2 线路,至少分发的图片和静态资源不成问题。
但有个很烦人的问题,它不支持 免费的证书自动签发,需要我自己上传证书,好在他的ssl 证书是自动检测的,也就是说你上传了一个证书是在8月份到期了在7月份又上传了这个域名的证书是11月到期了,会自动在证书过期之前调整成11月的。而且最近学了学go,就用这三脚猫的功夫配合chatGPT 写了一个简单的小玩意。
自动证书上传程序我已经把这个项目开源并且放在了 我的GitHub仓库上 。
其实在仓库的README的文件上已经有写了使用方式,我就直接把README拿过来了。
使用方式
首先,您需要在 https://github.com/biliblihuorong/CacheflySSLUpDate/releases 页面下载适用于您设备的可执行文件。
然后,在执行文件所在目录下创建一个名为 config ...
Hexo Butterfly的SEO优化
前言以前没有怎么优化过seo、站点地图、rss订阅链接、robots 文件,一个都没有写过,不过今年打算重启博客了,自然这些改加上的东西都需要加一下了。
前前后后半年多吧,陆陆续续的,把这些玩意补齐了,但看了很多文章都写的补全,我就只好在来全部整理一下了。
一些插件
hexo-generator-sitemap 构建网站地图
hexo-generator-baidu-sitemap 百度专用的(为什么百度这么有特权😔)
hexo-submit-urls-to-search-engine 自动化提交文章给爬虫
hexo-generator-feed 生成RSS订阅链接
hexo-filter-nofollow 为合适的外链打上 external nofollow noreferrer noopener
作用:
防止搜索引擎追踪该链接,不会直接影响站点的排名。
阻止被链接的页面获取来源页面的信息,增加用户隐私保护。
防止被链接的页面通过 window.opener 访问和操纵打开它的页面,增强安全性。
正文添加robots.txt可以直接在hexo 项目下的source添加 ...