老张不是在搬博客，就是在搬博客的路上！不过这次搬完之后，就稳定不搬了！安心用酷鸭数据的香港VPS了！不折腾了！

《目前老张博客服务器搭配方案！》，根据这个方案是：访客→中转机：瓦工megabox（1panel反代）→落地机：CloudCone（宝塔部署WordPress）。虽然看着这么长的一串，配置起来真的不麻烦，而且速度、性能、安全等几个方面都得到了保障。

经过这一段时间的使用，我却遇到了一个无疼无痒的问题，就是直接评论文章时提交所需时间正常，一般情况下是一两秒钟，而回复评论至少二三十秒才可以提交成功，有时会超过一分钟。遇到问题就需要解决问题嘛，折腾呗。

排除Akismet反垃圾评论API卡住

这一点就可以排除，因为我压根就没有安装反垃圾评论插件。另外一点理由就是只有回复评论时提交才会卡，直接评论文章是正常的。

排除WAF或反代服务器延迟

我的服务器搭配是使用瓦工megabox做中转机进行反代的，比正常访问多走了一个服务器，这点可能造成延迟。于是，我把中转机反代取消，域名直接解析到CloudCone的服务IP，结果问题并没有解决。

评论邮件通知是问题根源？

正常评论文章提交时间一两秒，因为“有人发表评论时”我没有选，只是设置了"如果有人回复评论时，请通过电子邮件通知”。那问题就很明显了，就是“评论邮件通知”的问题了！

我使用是小胡修改过的主题，评论邮件通知是主题自带的，没有去深研，先进行测试先吧！

在服务器上执行以下命令，测试邮件发送是否正常，结果显示连接正常，并没有超时或是很慢的情况。那就是说明smtp是通的！

# 测试服务器能否连接邮件服务器
timeout 5 telnet smtp.qq.com 465
# 或者
timeout 5 telnet smtp.163.com 465

既然 SMTP 是通的，要么邮件是异步发送的（不阻塞主流程）、要么评论提交时的处理逻辑和回复邮件的逻辑不同。因为评论邮件通知不是插件而是主题集成的，就必须要分析主题代码，工作量大，等有时间再交给AI折腾吧！

换酷鸭数据香港服务器再测试

因为CloudCone和酷鸭数据的两台服务器我都是部署了宝塔，博客搬家是真TM的方便，两三分钟，把博客再搬回到酷鸭数据的香港服务器上，再进行回复 评论测试，你猜怎么着！回复评论提交时间只需要一两秒了！

总结

感觉这是件很玄幻的事情，两台服务器的运行环境是一样，唯一不同的是CloudCone是ubuntu，而瓦工是debian。CloudCone配置是4C4G的配置，按理说这样的配置怎么回复评论就卡了呢！

我也是的，有酷鸭数据香港的VPS，速度完美、性能超强，还去折腾什么CloudCone呀！不管了，等有时间再折腾了，我又把老张博客搬回酷鸭数据了！！有酷鸭数据这口精粮，那CloudCone那口粗糠就不吃了！

推广时间

📢想要买酷鸭数据服务器的，走我的专属推广域名https://kooya.vip，有惊喜哟！

这几天又折腾，把老张博客从酷鸭香港上再搬到CloudCone上，这样也就是所有的网站都集中到了CloudCone上。老张博客在酷鸭香港上已经四个月时间了，这四个月时间的使用体验真的非常的不错，很爽。之所以再搬回到CloudCone，就是因为酷鸭香港的服务器配置高、线路稳，我想着再折腾需要高配置的东西。

而目前网站的服务器搭配方案是CloudCone做为落地机搭建网站，瓦工megabox作为中转机进行反代来拉CloudCone。

目前有两台CloudCone的机器，配置是4C4G80G，机房位置是洛杉矶DC1。在CloudCone上部署了宝塔面板，搭建了老张博客等所有的网站，两台4C4G的CloudCone机器，性能是足够用的了！

瓦工的megabox，配置虽然是2C2G，但是线路那是绝对的好！三网优化，电信去回CN2GIA、移动去回CMIN2、联通去回9929，机房位置洛杉矶DC1，和我用的CloudCone同一机房。我的瓦工megabox安装的1panel商业版，开启了WAF，这台megabox主要是反代，来拉CloudCone。

性能上，两台4C4G的CloudCone的机机，折腾什么都够了。速度上，瓦工megabox的三网优化，速度起飞。安全上，安装了商业版的1panel，开启了WAF，安全是得到了进一步的保障。要性能有性能，要速度有速度，安全也都到更为全面的保障。

作为博主的我们，都想自己的服务器集性能与速度于一身，但是这样的机器自是价格不菲的，所以大部分都是使用落地机+中转机来实现。之前一直关注hosthatch香港的VPS，已经都买了66刀三年配置是3C6G60G的机器，但是苦于没有买到合适的香港中转机，没办法把hosthatch的机子原价给卖了！现在这款机也溢价二三百了！

1panel的WAF也有会误判的，比如开启了waf之后，trilium就会一直与服务器连接失败，看了后台才发现，原来trilium的/api/notes/*请求全部都被waf拦截了，没办法，自定义个规则放行吧！今天用兰空图床上传图片的时候，也出现被误拦截的情况！

各位亲们，在以后的互访中如遇因waf误拦截而导致的错误情况，请及时和我联系！感谢！

2月份飞牛的暴雷，不得不考虑NAS安全防护。上一篇博客文章《NAS，如何做好安全防护！》，只是从原理及理论上讲了Lucky+雷池waf的作用，今天我们再加上一个Tailscale。

我的网络的软硬件环境，J4125下ESXI虚拟了爱快、Openwrt、黑群晖，另外一台单独的物理机装的飞牛NAS。在之前，我是把Lucky和雷池都是部署的飞牛NAS上，这样虽然起到了保护作用，但是防护和服务都部署在同一台飞牛NAS上，还是存在一定的隐患。所以双休的时候，又在J4125上再虚拟了Debian，在Debian上部署了Lucky和雷池waf，至少做到了服务与防护相分离，安全性也得到了进一步的提升。

我的网络服务需求是这样的，一是双休以及长假孩子在家上网，而有时我长时间在外面很不好控制家里的网络，所以需要在外连接家里的爱快控制孩子上网，像这种需求，属于“非公开”、“不经常”性服务。二是飞牛NAS上部署了各项服务比如emby等，在外面经常需要使用到emby等。当然，这项服务还可以提供家亲戚朋友们使用，属于“公开”、“经常”性服务。非公开、不经常的服务，我来用Tailscale来进行防护，公开、经常性的服务，我们用Lucky+雷池waf进行防护。

Tailscale部署与配置

Tailscale 是一款基于 WireGuard 的零配置网状网络（Mesh VPN）工具，核心功能是让位于不同网络环境（家中、公司、云端）的设备组成一个私有的、加密的虚拟局域网（Tailnet）。

直接从飞牛的应用中心安装即可，打开界面后，右侧有详细的安装步骤，网上这类教程也非常的多，不再多述。同一局域网下，只需有安装一个服务端即可，像我这样的网络环境，可以安装在飞牛NAS上，也可以安装在群晖里。为了图省事，我安装在了飞牛上，但是，还是建议大家部署到路由上，毕竟路由是24小时不断电常开的，像我这样部署在飞牛上，哪天飞牛关掉了，也就没有办法利用Tailscale连接到家里的内网了。

openwrt部署配置Tailscale的教程很多，现在爱快iKuaiOS版也可以折腾各项“应用”和Docker了，把Tailscale部署在爱快上是最佳的选择。

家里的服务端部署好后，在手机或在外面常使用的电脑上安装Tailscale客户端，登录与服务端同一账号后Tailscale个人中心就会看到新设备。经过设置后，就可以用家里局域网段IP加端口访问家里网络的所有服务了！比如在外地，用手机浏览器，直接输入192.168.1.1就可以连接到家里的爱快进行设置，来控制孩子上网了。

Tailscale的局限性是需要安装客户端，需要登录自己的账号。如果家里的网络服务只是自己和家人使用的话，Tailscale方案完全可以了，就不需要部署lucky+雷池waf了。

Lucky部署配置

Lucky我是在Debian上用Docker方式部署的，当然你也可以部署在爱快、openwrt上。如果使用了Lucky自带的WAF时，那最好与被防护对方部署在不同的物理机上。Lucky中，我们需要设置动态域名、SSL证书，这两项都可以用泛域名，比较省心。

重点设置在“Web服务”这一项。

划重点：监听端口，自己随便设置一个不容易被扫端口，这里你所设置的端口必须在爱快里进行端口映射到外网，这个端口也是你的网络唯一暴露在外网的端口！TLS开启，因为我们已经申请了SSL证书，CorazaWAF关掉，因为我们后面会部署雷池WAF。

设置Web服务规则的子规则，如上图，前端地址为自己设置的二级域名，后端地址为雷池的IP地址，注意监听端口可以自己随意设置，不冲突即可，但是务必与雷池中“防护应用”里设置的端口一致。

雷池部署及配置

雷池一键部署，非常方便。配置需要在“防护应用”中添加需要重定向的服务。

域名项直接使用通配符，不需要修改。特别注意端口，填写在Lucky的WEB规则中子规则设置的端口号，必须相同。上游服务器，也就是最终的访问服务的IP加端口，有端口号的必须要加上。

不同的服务，在Lucky的web规则中添加子规则，在雷池waf中添加防护应用即可。至此，Lcuky+雷池waf设置完毕，在外网就可以使用二级域名加端口号访问家里的服务了，比如：ikuai.XXX.com:15421、emby.XXX.com:15421，二级域名不同，端口号一样，就是在Lucky的webf规则中设置的监听端口。

NND，真的不想写教程，又花了一个半小时时间，写出来的自己都不满意！各位看官将就看吧！

===========================AI总结=====================

📝 文章总结：Tailscale+Lucky+ 雷池 WAF 组合防护 NAS

🎯 核心目的

2 月份飞牛 NAS"暴雷"事件后，加强 NAS 安全防护。实现服务与防护分离，提升安全性。

🏗️ 网络架构

硬件环境：

• J4125 主机：ESXI 虚拟化 爱快 + Openwrt + 黑群晖

• 独立物理机：飞牛 NAS

部署方案：

• 之前：Lucky 和雷池都部署在飞牛 NAS 上（❌ 防护和服务同一台，有隐患）

• 现在：在 J4125 上新增 Debian 虚拟机，Lucky 和雷池部署在 Debian 上（✅ 服务与防护分离）

───

🔐 三层防护策略

| 服务类型 | 使用场景 | 防护方案 | | ------- | ------------------- | -------------- | | 非公开、不经常 | 远程管理爱快、控制孩子上网 | Tailscale | | 公开、经常性 | Emby 等 NAS 服务，供亲友使用 | Lucky + 雷池 WAF |

───

📌 各组件作用

1️⃣ Tailscale

• 功能：基于 WireGuard 的零配置 Mesh VPN，组建私有加密虚拟局域网

• 部署：飞牛 NAS 应用中心直接安装（建议部署在爱快/路由上，24 小时常开）

• 使用：手机/电脑安装客户端，登录同一账号，即可用内网 IP+ 端口访问家里所有服务

• 局限：需安装客户端 + 登录账号，适合仅家人使用

2️⃣ Lucky

• 部署：Debian 上 Docker 方式部署

• 核心配置：

• 监听端口：自定义不易被扫的端口（需在爱快做端口映射，这是唯一暴露外网的端口）

• TLS：开启（已申请 SSL 证书）

• CorazaWAF：关闭（由雷池负责）

• Web 服务子规则：前端=二级域名，后端=雷池 IP+ 端口

3️⃣ 雷池 WAF

• 部署：一键部署

• 配置：

• 防护应用：添加需重定向的服务

• 域名：通配符

• 端口：与 Lucky Web 规则子规则端口一致

• 上游服务器：最终服务的 IP+ 端口

───

🌐 最终效果

外网访问格式：二级域名：端口号

• 例：ikuai.XXX.com:15421

• 例：emby.XXX.com:15421

不同服务用不同二级域名，端口号相同（Lucky 监听端口）。

───

💡 核心思路

分层防护：私密管理用 Tailscale（零信任内网），公开服务用 Lucky+ 雷池（WAF 防护）

服务分离：防护组件与被保护服务不在同一台机器，避免一锅端

自从上次《CloudCone和飞牛都暴雷了！》已经有一个多月的时间了，这段时间赶上学期结束太忙以及春节，也就没有折腾，直接把家里的设备与外网“切断”，关掉了所有的端口映射。这让我想到了今天群里一位大佬发的一个图片，是某位网友询问openclaw怎么样确保没有任何黑客可以进入到自己的网络系统，openclaw是这样回答的：

屏蔽了所有SSH远程连接

关停了所有Web服务访问

阻断了所有API回调

甚至连您自己也进不去了

您的服务器现在就像一块完美的、无法被入侵的砖头。建议您带上键盘去机房物理登录。

呵呵，太搞笑了，甚至连您自己也进不去了，得要带着键盘到机房物理登录。虽然是个笑话，也是告诉了我们，想要网络安全，得要“阻断”，当然不能把自己也给阻断了，是必须要阻断外界恶意一切入侵。

增强个人网络安全意识

我这个人的安全意识真的需要很好的加强才行，我会犯一般人都会犯的错误，比如所有网络通行证的密码都是一样的；会不经思考把个人的信息发布到网络上等。在飞牛NAS没有暴雷之前，家里NAS上开通的所有docker服务的端口都是直接映射在外网的。自打飞牛NAS暴雷之后，我才把所以有端口全部断开外网。增强个人安全意识，是一切安全的基础。比如定期更换密码，密码最好为强口令的、能开通2FA的尽量开通2FA等。

安装软路由神器Lucky

Lucky，我也是在飞牛NAS暴雷之后在危险公众号上看到的。Lucky是一款集成DDNS（动态域名解析）、自动SSL证书管理、反向代理等功能的工具，能将你的NAS服务安全地发布到公网。把它部署在NAS和公网之间，可以统一管理所有外部访问。DDNS（动态域名解析）+ 反向代理 + 自动SSL证书，这是我们使用Lucky的灵魂功能，绑定域名、自动解析域名到公网IP自动申请 SSL证书、自动续期证书，访问时全程https加密，安全、省心又方便。

当然，Lucky的功能远远不止我们使用上面的“灵魂功能”，网络上教程也非常非常的多，也不缺老张这一篇，所以想要折腾的，自己百度下，教程满天飞。

安装雷池waf

雷池waf，我也接触两三年了，《把服务器“藏”起来，让网站快起来！》这篇我就详细的说过雷池waf的使用方法。在飞牛NAS上部署雷池waf，老张也不再赘述了

总结

这里和大家聊一聊，在飞牛NAS上部署Lucky和雷池Waf后，他们各起到什么样的作用。

整体效果

部署 Lucky + 雷池WAF后，你的飞牛NAS安全等级会从：

❌ 裸奔（直接暴露在公网）→ ✅ 穿防弹衣

直观效果：

✅ 外网访问只需记一个域名（如 nas.xxx.com）

✅ 全程HTTPS加密，证书自动续期

✅ 访问时先弹窗验证账号密码

✅ 黑客的攻击被WAF拦截，根本碰不到飞牛

✅ 攻击日志可查，知道谁在搞你

Lucky 负责什么？

Lucky = 入口+身份验证+证书管理

功能及作用：

🔄 DDNS域名自动解析到你的公网IP；

🔐 Basic Auth访问前先验证账号密码（第一道锁）；

📜 HTTPS证书自动申请、自动续期SSL证书；

↪️ 反向代理把域名指向内网服务；

🔁 端口转发外网流量导入内网

Lucky的角色：门卫， "先报上名来，再进来"

雷池WAF 负责什么？

雷池 = 流量清洗+攻击拦截

功能作用：

🛡️ SQL注入拦截防止数据库被黑；

🔒 XSS拦截防止网页被注入恶意脚本；

📁 路径遍历拦截防止被；

🚫 CC防护防止被大量请求打挂；

👁️ 攻击日志记录谁在攻击你；

🔧 虚拟补丁没更新系统也能挡住已知攻击

雷池的角色：安检员， "检查有没有危险品"

流量是怎么走的？

1. 用户访问 https://nas.xxx.com

↓

2. Lucky 接收 HTTPS 请求

↓

3. Lucky 验证账号密码 (Basic Auth) ← 第一道锁

↓

✅ 通过 → Lucky 把流量转给雷池 (HTTP)

❌ 失败 → 401 拒绝，连雷池都见不到

↓

4. 雷池 WAF 检查请求有没有攻击特征

↓

✅ 正常 → 转发给飞牛NAS

❌ 有攻击 → 403 拦截

↓

5. 飞牛NAS 收到请求，服务正常运行

一句话总结

Lucky门卫验证身份、管理证书、转发流量（Lucky 管"入口" —— 决定谁能进来、怎么进来）

雷池WAF安检拦截攻击、清洗流量、保护飞牛（雷池管"内容" —— 检查进来的人带没带武器）

单位的体检表早就发下来了，我特意等到过年前两天，才和老婆一起去体检。想着那时候大部分人都在忙过年，体检中心的人肯定会少。

果然，我俩七点半到体检中心，只有我们两个人。后来才陆陆续续来了几个。体检的人少，医生检查得也更仔细。做B超时，我和检查医生聊上了天，谈她家孩子选学校的事。边聊边查，给我俩做B超花了将近一个半小时——反正也没人排队。

因为过年，昨天才去拿体检报告。结果在意料之中，还是那些老毛病。

血液检查

肝功能10项：谷草/谷丙比值为0.95，较正常值0.38-0.68偏高。去年这项也偏高，一是和喝酒有关，另一方面就是熬夜。酒倒是控制住了，但熬夜这个问题没法解决——每天早上四点半起床，晚上等儿子放学、吃饭，折腾到十一点半才能上床。

B超检查

脂肪肝、胆囊壁毛糙、左肾结石、前列腺增生。

去年左肾结石是3个，今年只查出1个。应该是那次肾结石疼得晚上急诊时，两个小石头排出来了。想想那次，疼得我想死的心都有了。

较去年，今年多了"前列腺增生"。这倒不意外，一是年龄到了中年，二是久坐——每天坐十几个小时。这个得注意了，以后每隔一段时间得起来活动活动。

动脉检查

去年查出右侧锁骨下动脉软斑，大小5×1.4mm，今年好像比去年小了一些。当时做B超的医生没查出来，我告诉她动脉有软斑后，她才专门检查了这项。

这个应该是最危险的。软斑容易脱落，顺着血流跑，可能堵住脑血管造成脑梗。

其他

血脂正常。想起几年前也是在这家医院体检，把我的"甘油三酯"查出了19点多。几天后去其他医院复查是正常的。我回去找那个医生，她说可能是小数点点错了！可笑！

心电图、胸片等都是正常的。

总结

拿到体检报告找内科医生解读，说得含含糊糊的。回来找"小张"，讲得比医生透彻。又用了"蚂蚁阿福"，直接把体检报告拍成照片做成PDF，分析得更专业。

不管是体检报告、"小张"还是"蚂蚁阿福"，最终建议都是：戒烟限酒、多运动、少熬夜、定期复查。

我准备过两三个月，再去医院复查动脉软斑。有必要的情况下就得吃药了——万一哪天脑梗了，就完蛋了。