第一次写文章,起因是最近两台青龙面板被扫了,都是用的5700端口,在网上兜了一圈,发现可以用宝塔面板把端口反向代理到域名以避免端口被扫
什么是反向代理?刚好看到有一个用漫画来解释的,个人觉得比较通俗易懂
前期准备:
1. 有一个自己的域名(国内用tx云或者ali云都可以,需要先备案,这里就不细说)
2. 一台安装了宝塔面板的服务器(可以参考LAzySheep小姐姐的教程,本篇使用CentOS 7)
服务器宝塔Docker安装教程(小白特供)by LAzySheep
3. docker-compose 部署的青龙面板(见青龙项目的github教程)
正片开始:
一、修改docker-compose配置文件:
1. 找到青龙面板的docker-compose配置文件,将docker-compose配置文件中的端口"0.0.0.0:5700:5700"修改为"127.0.0.1:5700:5700"
2. 保存好配置文件后在配置文件所在路径运行 docker-compose up -d
二、添加DNS解析记录
1. 打开你域名的DNS解析控制台,添加一条新的解析记录(控制台以阿里云,域名为baidu.com为例)
添加A记录:如服务器的为114.114.114.114,给青龙面板的二级域名为ql就如图填写参数
提交完成后等待DNS生效,再就可以进行下一步
三、宝塔面板添加网站、申请SSL证书、设置反向代理
1. 登陆宝塔面板,点击网站→添加网站,填写信息后点击提交
域名:按照DNS解析变更来填,如这里为ql.baidu.com
FTP、数据库:不创建
其余的可以不用管
2. 申请SSL证书(不使用SSL可跳到下一步)
3. 配置反向代理
代理名称:随便填
目标URL:http://127.0.0.7:5700(对应docker-compose配置文件中的地址和端口)
发送域名:$host(填写目标URl之后,此处会自动填充)
以上都配置好了之后,就可以通过 ql.你的域名 来访问青龙面板,不用担心面板的端口被扫了。
如何还担心不够安全,可以把青龙面板的两步验证开起来。
感谢
漫话编程(ID:mhcoding)
说明一下:
1. docker-compose的配置文件中,IP改成了127.0.0.1,是只能服务器内部来访问,是不能通过公网IP+端口来访问青龙面板。
2. 我的域名是解析到我自己的网站(xxx.com)上,是加了ssl的,然后青龙子域名(ql.xxx.com)的反代也加了ssl,所以都是走的443端口;添加青龙站点的配置中只绑定了子域名(ql.xxx.com),基于两个都用的443端口且青龙绑定了子域名,即使是服务器被全端口扫了,不使用青龙的子域名(ql.xxx.com)都打不开青龙面板(如IP+端口或者直接访问xxx.com)。
反向代理和你用IP:Port没关联吧。加验证才是关键
你试试ip加端口能不能访问
不能访问,除了内网+反代打开
试过了,不能
反向代理只能隐藏你的端口,但是扫青龙扫的是ip加你的端口,同样能访问你的青龙,所以说,这两者毫无关联吧?
他这种ip加端口访问不了的,127.0.0.1是内网,只能反代的打开,你自己也打不开的
哦噢,之前没注意看,现在才看到他的反代地址
Nginx绑定了域名,只用ip+端口访问不了
掩耳盗铃
话说没备案的话,cf的dns解析能用宝塔隐藏端口吗?
不行的。大陆的服务器不备案,cf解析也是会被拦截的,要么备案,要么只用ip:端口
学习一下!
学习了 谢谢大牛
感谢大佬捧场
学习了~!~
感谢分享,感觉作用不大呢
大佬好
改个端口,安全组加个IP段访问限制即可。
学习了
为什么,我这样设置了,还可以用ip加端口还可以访问
配置文件改成"127.0.0.1:5700:5700"了?
谢谢分享
反代是必须 的呀。
前来打卡
学习一下?
学习学习,
很棒很棒!,
docker-compose up -d 这命令也用不了啊,提示这个-bash: docker-compose: command not found
你还没安装docker-compose吧
作用不大