摘要:适用场景:• 公司机房(有公网或可申请端口映射)• 家庭宽带(光猫+路由器,动态公网 IP)• 受限网络(CG-NAT / 无法做端口转发)目标:用自己的域名 myserver.xyz 在任何地方通过 HTTPS 访问这台服务器上的网站 /...
适用场景:
• 公司机房(有公网或可申请端口映射)
• 家庭宽带(光猫+路由器,动态公网 IP)
• 受限网络(CG-NAT / 无法做端口转发)
目标:用自己的域名 myserver.xyz 在任何地方通过 HTTPS 访问这台服务器上的网站 / API / 私人云盘。
目录
准备硬件与操作系统基础安全配置(SSH / 防火墙 / 定时更新)在局域网内固定服务器地址拿到“公网可达”——三种网络破局方案域名申请与解析安装 Nginx + HTTPS 证书发布一个示例站点并外网验证加固与运维要点1️⃣ 准备硬件与操作系统
选项
最小配置
说明
x86 小主机
双核 / 4 GB / 64 GB SSD
兼容面广,性能充裕
树莓派 4B
4 GB / 32 GB TF 卡
低功耗,适合家用宽带
旧笔记本
i3 / 8 GB
UPS 自带电池,噪声低
安装 Ubuntu Server 22.04 LTS(或 Debian 12/AlmaLinux),整个过程一路 Next 即可。登录后第一时间:
# 创建非 root 用户并赋 sudo
adduser jack && usermod -aG sudo jack
# 禁止 root 远程登录
sudo sed -i s/^PermitRootLogin.*/PermitRootLogin no/ /etc/ssh/sshd_config
sudo systemctl restart ssh
2️⃣ 系统安全与更新
# 开启防火墙,仅放行 22/80/443
sudo apt update && sudo apt install ufw fail2ban -y
sudo ufw allow 22,80,443/tcp
sudo ufw enable
# 自动安全更新
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades
3️⃣ 固定局域网 IP
家用路由器里将服务器 MAC 绑定到固定 LAN IP(如 192.168.1.10)。公司若使用 DHCP,请让网管预留或在 /etc/netplan/*.yaml 里设置静态地址。# /etc/netplan/00-static.yaml
network:
ethernets:
eno1:
addresses: [192.168.1.10/24]
gateway4: 192.168.1.1
nameservers:
addresses: [8.8.8.8,1.1.1.1]
version: 2
sudo netplan apply
4️⃣ 让服务器“走到”公网
方案 A:公网 IP / 路由器端口映射(最快速)
确认光猫拨号获取的是 公网(可在路由器 WAN 状态对照 ip.sb)。路由器 → 转发规则:外部端口
内部 IP
内部端口
80
192.168.1.10
80
443
192.168.1.10
443
方案 B:公司网络——让网管做
NAT 映射 / 防火墙策略
提前写清业务端口列表、用途、责任人,方便审批。
方案 C:没有端口映射权、CG-NAT(移动宽带等)
方法
描述
免费与否
Cloudflare Tunnel
cloudflared tunnel … 直连 Cloudflare,映射 myserver.xyz
免费
frp / nps
自建穿透到一台公网 VPS
VPS 收费
Tailscale Funnel
基于 WireGuard 的 NAT 穿透,开启 HTTP 服务
免费额度
示例:Cloudflare Tunnel
curl https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb -LO
sudo dpkg -i cloudflared-linux-amd64.deb
cloudflared tunnel login # 浏览器授权域名
cloudflared tunnel create mytunnel
cloudflared tunnel route dns mytunnel myserver.xyz
# 生成
/etc/cloudflared/config.yml 指向本地 8080sudo systemctl enable --now cloudflared
5️⃣ 域名注册与解析
在 Namecheap / 阿里云 / Cloudflare 注册 myserver.xyz。传统端口映射:添加 A 记录 → 指向公网 IP(或 DDNS 域名用 CNAME)。Cloudflare Tunnel 已在 4️⃣-C 中自动创建 CNAME,无需额外 A 记录。6️⃣ Nginx + HTTPS
sudo apt install nginx -y
sudo systemctl enable --now nginx
# 如果是 80/443 直连:
sudo snap install --classic certbot
sudo certbot --nginx -d myserver.xyz # 自动写入 HTTPS 配置
# Cloudflare Tunnel(免 80/443):
sudo certbot certonly --manual --preferred-challenges dns \
-d myserver.xyz --register-unsafely-without-email
# 在 Cloudflare TXT → _acme-challenge 添加 token 完成 DNS 验证
生成后
/etc/letsencrypt/live/myserver.xyz/ 存放证书,自动定时续期。7️⃣ 发布示例站点并外网验证
sudo rm /var/www/html/index.nginx-debian.html
echo "<h1>Hello from $(hostname)</h1>" | sudo tee /var/www/html/index.html
sudo nginx -t && sudo systemctl reload nginx
浏览器输入 https://myserver.xyz → 出现上面文字即成功。
若走 4️⃣-C 隧道,确认 cloudflared tunnel info 显示 healthy。
8️⃣ 加固 & 运维
项目
工具 / 建议
日志监控
journalctl -u nginx -f、/var/log/nginx/access.log
入侵防护
fail2ban 默认 jail sshd;可添加 nginx-http-auth
备份
rsync + cron 同步 /etc/nginx 与网站目录到 NAS/VPS
资源占用
htop、ncdu、iotop;定期清理旧日志
证书续期
certbot renew --dry-run 每月自测
合规
公司内网需向 IT 报备公网服务,开放端口最小化
现在,你已经:
安装并加固了服务器系统让服务器在任何网络可达(端口映射 / 隧道)绑定域名,配置了可信 HTTPS成功外网访问自己的站点
