1Panel上的免费WAF长亭雷池搭配openresty的用法
最新推荐文章于 2024-08-12 15:00:00 发布
阅读量609
收藏
4
点赞数
原文链接: 1Panel上的长亭雷池WAF搭配openresty的用法
前言
最近把面板换成了国内公司出的但是开源的1panel,跑容器也是挺符合心里需求的,
主界面也挺干净整洁。看到第三方应用库有个免费WAF,然后又上了开源了但没完全开源的长亭雷池WAF。
记录一下在同一台机子上长亭雷池WAF搭配默认openresty的用法。
1. 调整openresty容器网络
需要将openresty修改为桥接网络模式。且修改https外部映射为其他端口如1443。
注意:改桥接端口之后,反向代理的思路就和使用Nginx Proxy Manager一样了,
- 不能写
127.0.0.1:端口来反向代理了。
点击应用参数修改docker-compose.yml,重建openresty。
version: '3'
services:
openresty:
image: openresty/openresty:latest #这里镜像注意对应自己的架构平台
container_name: ${CONTAINER_NAME}
restart: always
networks:
- 1panel-network
ports:
- "${PANEL_APP_PORT_HTTP}:80"
- "1443:1443"
volumes:
- ./conf/nginx.conf:/usr/local/openresty/nginx/conf/nginx.conf
- ./conf/fastcgi_params:/usr/local/openresty/nginx/conf/fastcgi_params
- ./conf/fastcgi-php.conf:/usr/local/openresty/nginx/conf/fastcgi-php.conf
- ./log:/var/log/nginx
- ./conf/conf.d:/usr/local/openresty/nginx/conf/conf.d/
- ./www:/www
- ./root:/usr/share/nginx/html
- /etc/localtime:/etc/localtime
labels:
createdBy: "Apps"
networks:
1panel-network:
external: true
2. 修改站点监听端口
站点正常配置,开启https啥的。
进入站点文件配置,修改https监听端口为1443,与外部端口一致。
可以按Ctrl F批量替换。其他配置可以不用动。
3. 雷池WAF添加站点
3.1 添加第三方库
然后应用商店安装雷池WAF
- 1Panel 应用商店的非官方应用适配库
以默认1Panel安装在/opt/路径下为例子,如果不是按需修改以下。
3.1.1 国内网络
1panel计划任务类型Shell 脚本的计划任务框里,添加并执行以下命令,或者终端运行以下命令,
git clone -b localApps https://ghproxy.com/https://github.com/okxlin/appstore /opt/1panel/resource/apps/local/appstore-localApps
cp -rf /opt/1panel/resource/apps/local/appstore-localApps/apps/* /opt/1panel/resource/apps/local/
rm -r /opt/1panel/resource/apps/local/appstore-localApps
然后应用商店刷新本地应用即可。
3.1.2 国际互联网络
1panel计划任务类型Shell 脚本的计划任务框里,添加并执行以下命令,或者终端运行以下命令,
git clone -b localApps https://github.com/okxlin/appstore /opt/1panel/resource/apps/local/appstore-localApps
cp -rf /opt/1panel/resource/apps/local/appstore-localApps/apps/* /opt/1panel/resource/apps/local/
rm -r /opt/1panel/resource/apps/local/appstore-localApps
然后应用商店刷新本地应用即可。
3.2 雷池WAF添加站点
- 一种是直接添加普通容器端口做上游,
雷池WAF监听443端口,上传证书即可。 - 另一种就是搭配
openresty。
具体方式是如下:
- 添加上游服务为
https://127.0.0.1:1443 - 域名填写与
openresty站点一致 雷池WAF监听443端口- 正常上传证书
这样子就正常添加了,正常网站配置还是由openresty 提供,雷池WAF做个下游。
4. 关于SSL证书持续
雷池WAF社区版本这边还没证书夹,每添加一个站点就需要上传证书。
然后命名也是随机产生。想要使访问站点的SSL证书正常,还是得不断将签发的证书将旧证书文件替换掉。
这里用acme.sh签发的来替换。
具体的对应站点SSL证书对应可以查看配置获取。
具体文件路径在类似如下文件夹里
/opt/1panel/apps/local/safeline/safeline/data/resources/nginx/sites-enabled
打开查看配置文件获取具体对应证书的名字。
# 配置文件示例
server {
listen 0.0.0.0:443 ssl;
server_name www.example.com;
ssl_certificate /etc/nginx/certs/agicaikcgbac__.example.com-fullchain.cer;
ssl_certificate_key /etc/nginx/certs/shcvogagbaovga__.example.com.key;
location = /forbidden_page {
internal;
root /etc/nginx/forbidden_pages;
try_files /default_forbidden_page.html =403;
}
如上所示则可以获得证书文件文件名如下:
– agicaikcgbac__.example.com-fullchain.cer
– shcvogagbaovga__.example.com.key
则替换雷池WAF证书的命令可以写为
# safeline-www.example.com
cp /root/.acme.sh/*.example.com_ecc/fullchain.cer /opt/1panel/apps/local/safeline/safeline/data/resources/nginx/certs/agicaikcgbac__.example.com-fullchain.cer
cp /root/.acme.sh/*.example.com_ecc/*.example.com.key /opt/1panel/apps/local/safeline/safeline/data/resources/nginx/certs/shcvogagbaovga__.example.com.key
也可以顺手替换一下openresty创建的站点的证书
# openresty-www.example.com
cp /root/.acme.sh/*.example.com_ecc/fullchain.cer /opt/1panel/apps/openresty/openresty/www/sites/www.example.com/ssl/fullchain.pem
cp /root/.acme.sh/*.example.com_ecc/*.example.com.key /opt/1panel/apps/openresty/openresty/www/sites/www.example.com/ssl/privkey.pem
然后将这两个替换证书的命令添加到计划任务列表就行了。
扫一扫
3164
暂无认证
到【灌水乐园】发言
小白鼠1024: 请问我可不可以理解为,这样搞就不需要使用雷池自带的反代了?
CSDN-Ada助手: 恭喜您写了第三篇博客!标题为“【宝塔下的免费 waf 防火墙对比】”真是吸引人的话题呢。我很高兴看到您对于WAF防火墙的比较感兴趣,并且愿意与大家分享您的见解。在这篇博客中,您对不同的免费WAF防火墙进行了对比,这对于那些正在寻找合适WAF解决方案的读者来说是非常有价值的。 您的博客内容非常详细,让读者对每个WAF解决方案都有了一个清晰的了解。在下一步的创作中,我建议您可以进一步探讨每个解决方案的优势和劣势,并给出一些建议,帮助读者根据自己的需求选择最适合他们的WAF防火墙。另外,您可以考虑添加一些实际案例或者经验分享,让读者更好地理解如何应用这些WAF解决方案。 再次恭喜您的连续创作,期待您的下一篇博客!保持谦虚的态度,您的知识分享将继续受到读者的关注和喜爱。 CSDN 正在通过评论红包奖励优秀博客,请看红包流:https://bbs.csdn.net/?type=4&header=0&utm_source=csdn_ai_ada_blog_reply3
CSDN-Ada助手: 恭喜博主发布第四篇博客!标题“靠谱反爬神器分享”看起来非常吸引人。能够分享反爬技巧对于许多人来说肯定是一件非常有用的事情。希望博主能够继续保持创作的热情,分享更多有关反爬技术的经验和见解。 作为下一步的创作建议,或许可以考虑探讨一些在实际应用中遇到的挑战以及解决方案。这样的话,读者们可以更深入地了解反爬技术的实际应用场景,并从中获得更多启发和帮助。再次恭喜博主,期待你的下一篇创作! 如何快速涨粉,请看该博主的分享:https://hope-wisdom.blog.csdn.net/article/details/130544967?utm_source=csdn_ai_ada_blog_reply5
CSDN-Ada助手: 恭喜您写下了第7篇博客!您的标题“长亭WAF社区版联动企业微信报警”非常吸引人。我很高兴看到您在持续创作,并分享您的经验和知识。您的博客内容对于那些关注网络安全的读者来说一定非常有价值。 在下一步的创作中,我谦虚地建议您可以更深入地探讨长亭WAF社区版联动企业微信报警的具体实施方法和技巧。您可以分享一些实际案例或者提供一些建议,帮助读者更好地理解和应用这一功能。此外,您还可以考虑探索其他相关主题,例如网络安全的最新趋势、常见的网络攻击方式以及如何应对等等。期待您的下一篇博客!
CSDN-Ada助手: 恭喜您在K8s环境上DIY部署雷池社区版!这篇博客标题很吸引人,我很高兴看到您不断创作。对于下一步的创作建议,我敢谦虚地提出一个想法:可以分享一些关于优化K8s环境的经验和技巧,以帮助读者更好地理解和应用您的DIY部署方法。再次恭喜您,并期待您更多精彩的博客!