使用lucky开启HTTPS反向代理和webclient2连接

[rayangl]

说明

1. 我的网络环境是动态IPv4，按理动态IPv6也是可以的；lucky的安装以及配置ddns和ssl略过，官网有对应教程。
2. 我这里只是反代了api，21115-21117均使用openwrt的通信规则放行端口，这些端口应该不适合反代。

放行端口

通信规则放行21115-21117,其它选项保持默认就行。
api端口 【21114】和网页管理的端口【21118-21119】我们通过反代的方式，就不需要开放端口了。

创建容器

1. 不推荐使用s6的二合一镜像，不好添加自定义key。

2. 21108:21118 21109:21119使用了端口映射。意思是将容器的21118映射到21108，因为没备案的IPv4公网，基本都是没有443端口的，所以要使用自定义端口。这里如果不改，lucky会无法监听21118，无法反代WSS。

逻辑是浏览器访问 https://域名.com:端口/webclient2 会请求21118-21119，然后 lucky监听这两个端口，将其转发到21108-21109，hbbs和hbbr将21108-21109转发到21118-21119。

3. 更改里面中文的部分，为自己的。

version: '3'

networks:
  rustdesk-net:
    external: false

services:
  hbbs:
    container_name: hbbs
    ports:
      - 21115:21115
      - 21116:21116
      - 21116:21116/udp
      - 21108:21118
    image: rustdesk/rustdesk-server:latest
    command: hbbs -r 做好ddns的域名:21117 -k 自定义密钥
    volumes:
      - ./data:/root
    networks:
      - rustdesk-net
    depends_on:
      - hbbr
    restart: unless-stopped

  hbbr:
    container_name: hbbr
    ports:
      - 21117:21117
      - 21109:21119
    image: rustdesk/rustdesk-server:latest
    command: hbbr -k 自定义密钥
    volumes:
      - ./data:/root
    networks:
      - rustdesk-net
    restart: unless-stopped

  rustdesk-api:
    container_name: rustdesk-api
    environment:
      - TZ=Asia/Shanghai
      - RUSTDESK_API_ADMIN_TITLE=RustDesk 控制台
      - RUSTDESK_API_LANG=zh-CN
      - RUSTDESK_API_RUSTDESK_ID_SERVER=做好ddns的域名:21116
      - RUSTDESK_API_RUSTDESK_RELAY_SERVER=做好ddns的域名:21117
      - RUSTDESK_API_RUSTDESK_API_SERVER=https://做好ddns的域名:反代的端口 例如1999
      - RUSTDESK_API_RUSTDESK_KEY=密钥
    network_mode: host
    image: lejianwen/rustdesk-api:latest
    volumes:
      - /data/rustdesk/api:/app/data#自定义数据要映射的位置
      - /tmp/log/rustdeskapi:/app/runtime/#添加登录日志，方便通过fail2ban封禁异常登录
    restart: unless-stopped

配置lucky

前面两步略过，开始第三步，一共创建四个web服务，重点已框选出来。

1. 反代api管理后台

新增一个web服务，监听你自定义的端口，例如【1999】，开启TLS。新增一个子规则api前端地址：做好ddns的域名，api21114后端地址：http://10.10.10.1:21114 其他选项保持默认就行，保存后然后访问https://做好ddns的域名:1999 就能进入api管理后台了。

再新增一个web服务，监听你自定义的端口，例如【1999】，服务类型选择为“重定向”，然后使用图中的变量HTTP跳转HTTPS

2. 反代Websocket （WSS）

Web Client V2 网页端远程是通过WSS协议，lucky默认支持，直接反代即可，要注意开启TLS。
新增两个web服务，监听21108和21109，其他选项默认即可。


添加两个反代子规则，前端地址：做好ddns的域名，21118后端地址：http://10.10.10.1:21108/ws/id 21119后端地址：http://10.10.10.1:21109/ws/relay

访问https://做好ddns的域名:1999/webclient2 就能进入后台了。登录账号应该会自动填写服务器和密钥。

3. 客户端配置

一定要加上端口

使用fail2ban开启登录防护

1.前面我们映射了log目录，然后openwrt安装fali2ban。

- /tmp/log/rustdeskapi:/app/runtime/#添加登录日志，方便通过fail2ban封禁异常登录

2.创建登录失败过滤器

vim /etc/fail2ban/filter.d/vaultwarden.conf

[Definition]
failregex = ^.*\[WARN\] Login Fail: UsernameOrPasswordError \d+\.\d+\.\d+\.\d+ <HOST> .*$
ignoreregex =

3. 创建监狱规则

创建 fail 2 ban 规则目录 (默认不存在)

mkdir /etc/fail2ban/jail.d/

• 编辑规则

vim /etc/fail2ban/jail.d/rustdesk.conf

• 填入规则

[rustdesk]
enabled = true
filter = rustdesk
port = 80,443,21114,1999#填写你的自定义端口
banaction = %(banaction_allports)s
logpath = /tmp/log/rustdeskapi/log.txt
maxretry = 3
findtime = 14400
bantime = 86400

Note

• Maxretry =就是密码错误次数错误次数达到这个就封禁这个 IP
• Bantime = 设置被封锁的时间间隔，如下表示 10 分钟，可以是秒 (s)、分钟 (m)、小时 (h)、天 (d)，不带单位则默认为 s，-1 表示永久封锁。
• Findtime = 14400（4 小时） 检测的间隔时间，在间隔时间内，达到最大尝试次数 maxretry 设置的失败次数，则触发限制，禁止访问。
• Logpath = 具体的日志文件路径

4. 重启 fail2ban

fail2ban-client restart

5. 查看 fail2ban 状态

fail2ban-client status

6. 查看登录错误次数以及封禁

fail2ban-client status rustdesk

7. 解除指定封禁

fail2ban-client unban 192.168.1.16

8. 解除所有封禁

fail2ban-client unban --all

[lejianwen]

感谢大佬分享

[KoWming]

前来支持