飞牛fnOS高危漏洞? Cloudflare 给飞牛 NAS 套了层“免费 WAF 盾”

最近，国产NAS系统飞牛被爆出严重安全漏洞，路径穿越跳过权限验证，直接访问系统内部资料，一度冲上知乎热榜


不少用户都在担忧数据安全，今天一篇教程教你拯救自己的NAS。

你以为开了 IPv6 就能愉快外网访问 NAS？

现实是：全网扫描器会比你家人更先发现它。
尤其是 NAS 后台、相册这种服务——爆破、撞库、弱口令都是日常。

我这篇教程带你一步到位：

• ✅ 相册、后台：走 Cloudflare（免费 WAF + HTTPS + 隐藏真实 IP）
• ✅ 影视：不走 Cloudflare（避免大流量/限制），但仍保持可控访问
• ✅ 飞牛系统：通过Nginx 统一入口，外网只开 443，一个洞都不多

01｜最终架构长什么样？

一图看懂：谁该走 WAF，谁不该走。

核心原则：

• 对外暴露的入口越少越安全：公网只开 443（必要时加 80 用于跳转）
• 后台、相册这种“高价值目标”必须过 WAF
• 影视走直连更稳（大流量不要走 Cloudflare 免费代理）

02｜准备清单（别跳过）

你只需要准备 3 件东西：

1. 一个域名：比如xxx.com

2. 公网 IPv6 地址：从路由器 WAN/拨号信息里查到（最好是稳定的前缀）

3. 飞牛 NAS 内网信息：

   • NAS 内网 IP：例如192.168.1.10
   • 飞牛后台端口：例如5666
   • 相册端口：例如5000
   • 影视端口：例如8096

03｜Cloudflare 具体配置（可照着点）

下面步骤我按“点哪、选啥、填啥”写，尽量不讲流程概念。

Step 1：添加站点 & 接入域名

1. 注册Cloudflare，自动防DDoS攻击。
2. 打开 Cloudflare 控制台
3. Add a site（添加站点）
4. 输入你的主域名：xxx.com
5. 套餐选：Free
6. Cloudflare 会给你两条NS（Nameserver）
7. 去你的域名注册商后台，把 NS 改成 Cloudflare 给的两条
8. 回来等状态变成Active

这一段做完，你的域名 DNS 才算“交给 Cloudflare 托管”。

Step 2：DNS 解析三件套（photo / admin / movie）

进入：DNS → Records → Add record

2.1 相册域名（走 WAF：橙云）

• Type：AAAA
• Name：photo
• Content：你的公网 IPv6
• Proxy：Proxied（橙云 ☁️）
• Save

2.2 后台域名（走 WAF：橙云）

• Type：AAAA
• Name：admin
• Content：你的公网 IPv6
• Proxy：Proxied（橙云 ☁️）
• Save

2.3 影视域名（不走 WAF：灰云）

• Type：AAAA
• Name：movie
• Content：你的公网 IPv6
• Proxy：DNS only（灰云）
• Save

你最终会得到：

• photo.xxx.com（相册，安全优先）
• admin.xxx.com（后台，安全最高）
• movie.xxx.com（影视，稳定优先）

Step 3：SSL/TLS 必须这样选（别选错）

进入：SSL/TLS → Overview

• Encryption mode：选择Full (strict)✅

再进入：SSL/TLS → Edge Certificates

• 打开：✅ Always Use HTTPS
  （HTTP 自动跳 HTTPS）

Step 4：打开 Bot 防护（挡扫描器）

进入：Security（安全）→ Bots

• 打开：✅ Bot Fight Mode
• 设置安全规则，拦截非中国ip的请求

这一步对 NAS 很关键：90% 扫描器会被挡在外面。

Step 5：限速（防爆破/撞库）

进入：Security → WAF → Rate Limiting（不同面板位置可能略有差异）

推荐你直接照抄两条：

• 规则 1（后台更严格）

  • URL：admin.xxx.com/*
  • 频率：10 次 / 10 秒 / IP
  • 动作：Block（阻断）

• 规则 2（相册适中）

  • URL：photo.xxx.com/*
  • 频率：30 次 / 10 秒 / IP
  • 动作：Managed Challenge 或 Block

04｜飞牛里部署 Nginx（统一入口 443）

4.1 Docker 方式启动（示例）

dockerrun -d\--name nginx\--restart=always\-p80:80\-p443:443\-v /data/nginx/conf.d:/etc/nginx/conf.d\-v /data/nginx/certs:/etc/nginx/certs\nginx

路径/data/nginx/...按飞牛实际目录改成你自己的挂载路径。

4.2 反代配置（可复制）

在/data/nginx/conf.d/下创建：

A）相册photo.xxx.com

server { listen 443 ssl; server_name photo.xxx.com; # 证书可用 Cloudflare Origin Cert 或你自己的 ssl_certificate /etc/nginx/certs/fullchain.pem; ssl_certificate_key /etc/nginx/certs/privkey.pem; location / { proxy_pass http://192.168.1.10:5000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }

B）飞牛后台admin.xxx.com

server { listen 443 ssl; server_name admin.xxx.com; ssl_certificate /etc/nginx/certs/fullchain.pem; ssl_certificate_key /etc/nginx/certs/privkey.pem; location / { proxy_pass http://192.168.1.10:5666; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }

C）影视movie.xxx.com（直连但走 Nginx 更统一）

server { listen 443 ssl; server_name movie.xxx.com; ssl_certificate /etc/nginx/certs/fullchain.pem; ssl_certificate_key /etc/nginx/certs/privkey.pem; location / { proxy_pass http://192.168.1.10:8096; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } }

重载 Nginx：

dockerexec-it nginx nginx -s reload

05｜路由器只做一件事：只放行 443（必要时 80）

✅ 允许：

• 443 → 转发到飞牛（Nginx 容器）
• 80 → 可选（用于跳转 https）

❌ 禁止：

• 5666（后台端口）直出公网
• 5000（相册端口）直出公网
• 8096/32400 等影视端口直出公网
• 以及UPnP（务必关闭）

外网只能看到 Nginx，真实端口全部藏在内网，这是这套方案的精髓。

06｜3 分钟验收：你是否真的“上线成功”？

拿手机关 Wi-Fi（走流量）：

1. 打开https://photo.xxx.com

   • 能打开 & 是 HTTPS ✅

2. 打开https://admin.xxx.com

   • 能打开后台登录页 ✅

3. 打开https://movie.xxx.com

   • 影视可播放且不卡 ✅

07｜必踩的 6 个坑（我替你踩过了）

坑 1：影视也开橙云

现象：播放卡、加载慢、甚至被限制
解决：movie.xxx.com用灰云（DNS only）

坑 2：SSL 选了 Flexible

现象：后台各种重定向异常、登录不稳定
解决：必须Full (strict)

坑 3：路由器开了 UPnP

现象：你以为没映射，结果自动开了一堆端口
解决：UPnP 关掉

坑 4：把后台端口直接映射出去了

现象：扫描器直接打到后台
解决：后台只能反代，不准直出公网

坑 5：限速太狠误伤家人

现象：家人说“怎么老验证/打不开”
解决：相册限速放宽，后台严格就行

坑 6：IPv6 会变

现象：今天能用，明天域名解析就失效
解决：用 DDNS（支持 IPv6 的）定期更新 AAAA

08｜我现在的“家庭 NAS 最佳实践”组合（直接抄）

• 相册：Cloudflare 橙云 + WAF + 限速
• 后台：Cloudflare 橙云 +更严格限速（最好再加登录验证）
• 影视：灰云直连（稳定优先）
• 公网：只开 443
• 内网：所有真实端口不出网

这套跑起来，基本就是家庭版准企业级。

如果这篇对你有用，别忘了点个赞 + 收藏，后面我会把“飞牛 NAS 外网安全”做成一个系列，直接抄作业就行。