2026-04-08 21:59:18
提到琅琊古城,不少人可能认为是安徽滁州的琅琊山,其实琅琊古城坐落在山东的临沂,“纯人工”打造的旅游景点。
今年我们江苏第一次放春假,和清明连在一起也就是6天的假期。儿子高中不放春假,所以我们家的出游计划便安排在的清明期间了。
4月4号早上睡到六点半,也算是自然醒了,洗漱后到一家四口整理好东西开车到外面吃了点早饭,七点半出发,两个半小时到达临沂的中维荣华大酒店。外出游玩住酒店,我一般会选择连锁酒店或是当地比较有名一点的酒店,这样基本上不会踩坑。
这家酒店虽然还是十几年前装修的风格,但是档次还是非常不错,价格也不是太贵,亲子套房也才是五六百一晚还包含第二天的早餐。特别是第二天的自助早餐,品种是相当的丰富,连临沂炒鸡、蒙山羊杂汤都有。
中午酒店外面随便应付了一口,吃了我认为最最为难吃的酸笋炒鸭掌。鸭掌上面的厚皮都没有去掉!一盆菜,基本上没有动筷子。
下午一点到达琅琊古城,周边的配套还是不完善的,车停在东门对面的一个大院子里,车一过那个灰呀!
从宣传上可以知道,琅琊古城是座“演艺之城”,除了游玩之后就是看演出。但是必须要吐槽的地方就是在景区入口的服务台并没有找到当天的节目演出时间单,也可能清明假期人太多把节目单拿完了。三个大的演出有两个是收费的《国秀琅琊》和《国士捍山河》,我们选择的是《国秀琅琊》的套票,而《火秀》是免费的,但是也得要扫码预约。
更要吐槽的地方是公众号上小的演出时间和现场显示屏的时间对应不上去,可能是公众号内容长时间没有更新。所以想看小的演出只能是靠运气去“撞”。一块舞台周边坐满了人,等着演出,结果演出时间都过了二十来分钟了也没有见表演的人来,问了保安才知道根本就没有演出。
尝了下山东有名的“煎饼卷大葱,其实也就和我们这的卷饼一样,只不过是多包了一段大葱在里面。
不得不说《国秀琅琊》的室内演出真的很震撼!舞台效果是超级的棒,所以不少人称是全国室内演出的天花板。
而免费的《火秀》演出我们就没有看到着,我们赶到火秀表演场地再预约,只有晚上近十一点的场次了,需要等的时间太长,放弃!
当然也有值得点赞的地方,景区里有不少这样的“暖心小站”,免费提供白开水、绿豆茶、姜茶。每隔一段距离就有一个这样的暖心小站,为很多老人、幼儿提供了方便。
总体来说,如果来琅琊古城想纯游玩,真的不值得来,都是“纯人工”打造的,真的没有什么看头,值得看的也就是大大小小的演出。而想看这些演出,那来之前必须要做好功课,把每场演出时间把握好,能做到边游玩边看演出,这样才算是完美!
2026-04-04 01:18:09
按目前《目前老张博客服务器搭配方案!》,把老张博客还是搬回了CloudCone。酷鸭数据香港这台VPS,因为线路好配置也高,只放个小博客有点性能过剩了,准备把openclaw安装上去,让我的“小张”搞一些项目!如果手里没有好性能、好线路的机器,酷鸭数据真的是不错的选择!
目前老张博客的服务器搭配是:访客 → 瓦工 Megabox(1panel 反代+WAF) → CloudCone(宝塔+WordPress),也就是在前天,有垃圾评论我准备拉黑IP地址的时候才发现,这个家伙的IP显示是我的瓦工 Megabox地址。出现这样的问题有两种可能,一是瓦工Megabox反代时没有把真实 IP 传递给 CloudCone,二是瓦工Megabox传递了真实IP但是 CloudCone 端的 WordPress 没有正确读取这真实IP。
在瓦工Megabox的 1panel 中,找到你的反向代理配置,添加以下 headers,具体步骤如下,并添加以下代码。注意,检查下,如果代码已存在,就不要再加了!经过检查,1panel的反向代理配置已经很完善了!
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
经过第一步后,发现wordpress还是没有能正确的获取到访客的真实IP。我又检查到我的“老张随笔”是可以正确获取的访客真实IP的。那问题就是出在WordPress的配置上了。打开WordPress根目录下的 wp-config.php,在 <?php 之后第一行添加下面的代码
// 获取真实 IP(反代场景)
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$ip_list = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$_SERVER['REMOTE_ADDR'] = trim($ip_list[0]);
} elseif (isset($_SERVER['HTTP_X_REAL_IP'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_REAL_IP'];
}OK了,至此,WordPress就可以获取到访客的真实IP了!你学废了吗!
2026-03-31 10:37:43
老张不是在搬博客,就是在搬博客的路上!不过这次搬完之后,就稳定不搬了!安心用酷鸭数据的香港VPS了!不折腾了!
《目前老张博客服务器搭配方案!》,根据这个方案是:访客→中转机:瓦工megabox(1panel反代)→落地机:CloudCone(宝塔部署WordPress)。虽然看着这么长的一串,配置起来真的不麻烦,而且速度、性能、安全等几个方面都得到了保障。
经过这一段时间的使用,我却遇到了一个无疼无痒的问题,就是直接评论文章时提交所需时间正常,一般情况下是一两秒钟,而回复评论至少二三十秒才可以提交成功,有时会超过一分钟。遇到问题就需要解决问题嘛,折腾呗。
这一点就可以排除,因为我压根就没有安装反垃圾评论插件。另外一点理由就是只有回复评论时提交才会卡,直接评论文章是正常的。
我的服务器搭配是使用瓦工megabox做中转机进行反代的,比正常访问多走了一个服务器,这点可能造成延迟。于是,我把中转机反代取消,域名直接解析到CloudCone的服务IP,结果问题并没有解决。
正常评论文章提交时间一两秒,因为“有人发表评论时”我没有选,只是设置了"如果有人回复评论时,请通过电子邮件通知”。那问题就很明显了,就是“评论邮件通知”的问题了!
我使用是小胡修改过的主题,评论邮件通知是主题自带的,没有去深研,先进行测试先吧!
在服务器上执行以下命令,测试邮件发送是否正常,结果显示连接正常,并没有超时或是很慢的情况。那就是说明smtp是通的!
# 测试服务器能否连接邮件服务器
timeout 5 telnet smtp.qq.com 465
# 或者
timeout 5 telnet smtp.163.com 465既然 SMTP 是通的,要么邮件是异步发送的(不阻塞主流程)、要么评论提交时的处理逻辑和回复邮件的逻辑不同。因为评论邮件通知不是插件而是主题集成的,就必须要分析主题代码,工作量大,等有时间再交给AI折腾吧!
因为CloudCone和酷鸭数据的两台服务器我都是部署了宝塔,博客搬家是真TM的方便,两三分钟,把博客再搬回到酷鸭数据的香港服务器上,再进行回复 评论测试,你猜怎么着!回复评论提交时间只需要一两秒了!
感觉这是件很玄幻的事情,两台服务器的运行环境是一样,唯一不同的是CloudCone是ubuntu,而瓦工是debian。CloudCone配置是4C4G的配置,按理说这样的配置怎么回复评论就卡了呢!
我也是的,有酷鸭数据香港的VPS,速度完美、性能超强,还去折腾什么CloudCone呀!不管了,等有时间再折腾了,我又把老张博客搬回酷鸭数据了!!有酷鸭数据这口精粮,那CloudCone那口粗糠就不吃了!
📢想要买酷鸭数据服务器的,走我的专属推广域名https://kooya.vip,有惊喜哟!
2026-03-24 22:01:58
这几天又折腾,把老张博客从酷鸭香港上再搬到CloudCone上,这样也就是所有的网站都集中到了CloudCone上。老张博客在酷鸭香港上已经四个月时间了,这四个月时间的使用体验真的非常的不错,很爽。之所以再搬回到CloudCone,就是因为酷鸭香港的服务器配置高、线路稳,我想着再折腾需要高配置的东西。
而目前网站的服务器搭配方案是CloudCone做为落地机搭建网站,瓦工megabox作为中转机进行反代来拉CloudCone。
目前有两台CloudCone的机器,配置是4C4G80G,机房位置是洛杉矶DC1。在CloudCone上部署了宝塔面板,搭建了老张博客等所有的网站,两台4C4G的CloudCone机器,性能是足够用的了!
瓦工的megabox,配置虽然是2C2G,但是线路那是绝对的好!三网优化,电信去回CN2GIA、移动去回CMIN2、联通去回9929,机房位置洛杉矶DC1,和我用的CloudCone同一机房。我的瓦工megabox安装的1panel商业版,开启了WAF,这台megabox主要是反代,来拉CloudCone。
性能上,两台4C4G的CloudCone的机机,折腾什么都够了。速度上,瓦工megabox的三网优化,速度起飞。安全上,安装了商业版的1panel,开启了WAF,安全是得到了进一步的保障。要性能有性能,要速度有速度,安全也都到更为全面的保障。
作为博主的我们,都想自己的服务器集性能与速度于一身,但是这样的机器自是价格不菲的,所以大部分都是使用落地机+中转机来实现。之前一直关注hosthatch香港的VPS,已经都买了66刀三年配置是3C6G60G的机器,但是苦于没有买到合适的香港中转机,没办法把hosthatch的机子原价给卖了!现在这款机也溢价二三百了!
1panel的WAF也有会误判的,比如开启了waf之后,trilium就会一直与服务器连接失败,看了后台才发现,原来trilium的/api/notes/*请求全部都被waf拦截了,没办法,自定义个规则放行吧!今天用兰空图床上传图片的时候,也出现被误拦截的情况!
各位亲们,在以后的互访中如遇因waf误拦截而导致的错误情况,请及时和我联系!感谢!
2026-03-16 22:06:14
2月份飞牛的暴雷,不得不考虑NAS安全防护。上一篇博客文章《NAS,如何做好安全防护!》,只是从原理及理论上讲了Lucky+雷池waf的作用,今天我们再加上一个Tailscale。
我的网络的软硬件环境,J4125下ESXI虚拟了爱快、Openwrt、黑群晖,另外一台单独的物理机装的飞牛NAS。在之前,我是把Lucky和雷池都是部署的飞牛NAS上,这样虽然起到了保护作用,但是防护和服务都部署在同一台飞牛NAS上,还是存在一定的隐患。所以双休的时候,又在J4125上再虚拟了Debian,在Debian上部署了Lucky和雷池waf,至少做到了服务与防护相分离,安全性也得到了进一步的提升。
我的网络服务需求是这样的,一是双休以及长假孩子在家上网,而有时我长时间在外面很不好控制家里的网络,所以需要在外连接家里的爱快控制孩子上网,像这种需求,属于“非公开”、“不经常”性服务。二是飞牛NAS上部署了各项服务比如emby等,在外面经常需要使用到emby等。当然,这项服务还可以提供家亲戚朋友们使用,属于“公开”、“经常”性服务。非公开、不经常的服务,我来用Tailscale来进行防护,公开、经常性的服务,我们用Lucky+雷池waf进行防护。
Tailscale 是一款基于 WireGuard 的零配置网状网络(Mesh VPN)工具,核心功能是让位于不同网络环境(家中、公司、云端)的设备组成一个私有的、加密的虚拟局域网(Tailnet)。
直接从飞牛的应用中心安装即可,打开界面后,右侧有详细的安装步骤,网上这类教程也非常的多,不再多述。同一局域网下,只需有安装一个服务端即可,像我这样的网络环境,可以安装在飞牛NAS上,也可以安装在群晖里。为了图省事,我安装在了飞牛上,但是,还是建议大家部署到路由上,毕竟路由是24小时不断电常开的,像我这样部署在飞牛上,哪天飞牛关掉了,也就没有办法利用Tailscale连接到家里的内网了。
openwrt部署配置Tailscale的教程很多,现在爱快iKuaiOS版也可以折腾各项“应用”和Docker了,把Tailscale部署在爱快上是最佳的选择。
家里的服务端部署好后,在手机或在外面常使用的电脑上安装Tailscale客户端,登录与服务端同一账号后Tailscale个人中心就会看到新设备。经过设置后,就可以用家里局域网段IP加端口访问家里网络的所有服务了!比如在外地,用手机浏览器,直接输入192.168.1.1就可以连接到家里的爱快进行设置,来控制孩子上网了。
Tailscale的局限性是需要安装客户端,需要登录自己的账号。如果家里的网络服务只是自己和家人使用的话,Tailscale方案完全可以了,就不需要部署lucky+雷池waf了。
Lucky我是在Debian上用Docker方式部署的,当然你也可以部署在爱快、openwrt上。如果使用了Lucky自带的WAF时,那最好与被防护对方部署在不同的物理机上。Lucky中,我们需要设置动态域名、SSL证书,这两项都可以用泛域名,比较省心。
重点设置在“Web服务”这一项。
划重点:监听端口,自己随便设置一个不容易被扫端口,这里你所设置的端口必须在爱快里进行端口映射到外网,这个端口也是你的网络唯一暴露在外网的端口!TLS开启,因为我们已经申请了SSL证书,CorazaWAF关掉,因为我们后面会部署雷池WAF。
设置Web服务规则的子规则,如上图,前端地址为自己设置的二级域名,后端地址为雷池的IP地址,注意监听端口可以自己随意设置,不冲突即可,但是务必与雷池中“防护应用”里设置的端口一致。
雷池一键部署,非常方便。配置需要在“防护应用”中添加需要重定向的服务。
域名项直接使用通配符,不需要修改。特别注意端口,填写在Lucky的WEB规则中子规则设置的端口号,必须相同。上游服务器,也就是最终的访问服务的IP加端口,有端口号的必须要加上。
不同的服务,在Lucky的web规则中添加子规则,在雷池waf中添加防护应用即可。至此,Lcuky+雷池waf设置完毕,在外网就可以使用二级域名加端口号访问家里的服务了,比如:ikuai.XXX.com:15421、emby.XXX.com:15421,二级域名不同,端口号一样,就是在Lucky的webf规则中设置的监听端口。
NND,真的不想写教程,又花了一个半小时时间,写出来的自己都不满意!各位看官将就看吧!
===========================AI总结=====================
📝 文章总结:Tailscale+Lucky+ 雷池 WAF 组合防护 NAS
🎯 核心目的
2 月份飞牛 NAS"暴雷"事件后,加强 NAS 安全防护。实现服务与防护分离,提升安全性。
🏗️ 网络架构
硬件环境:
• J4125 主机:ESXI 虚拟化 爱快 + Openwrt + 黑群晖
• 独立物理机:飞牛 NAS
部署方案:
• 之前:Lucky 和雷池都部署在飞牛 NAS 上(❌ 防护和服务同一台,有隐患)
• 现在:在 J4125 上新增 Debian 虚拟机,Lucky 和雷池部署在 Debian 上(✅ 服务与防护分离)
───
🔐 三层防护策略
| 服务类型 | 使用场景 | 防护方案 | | ------- | ------------------- | -------------- | | 非公开、不经常 | 远程管理爱快、控制孩子上网 | Tailscale | | 公开、经常性 | Emby 等 NAS 服务,供亲友使用 | Lucky + 雷池 WAF |
───
📌 各组件作用
1️⃣ Tailscale
• 功能:基于 WireGuard 的零配置 Mesh VPN,组建私有加密虚拟局域网
• 部署:飞牛 NAS 应用中心直接安装(建议部署在爱快/路由上,24 小时常开)
• 使用:手机/电脑安装客户端,登录同一账号,即可用内网 IP+ 端口访问家里所有服务
• 局限:需安装客户端 + 登录账号,适合仅家人使用
2️⃣ Lucky
• 部署:Debian 上 Docker 方式部署
• 核心配置:
• 监听端口:自定义不易被扫的端口(需在爱快做端口映射,这是唯一暴露外网的端口)
• TLS:开启(已申请 SSL 证书)
• CorazaWAF:关闭(由雷池负责)
• Web 服务子规则:前端=二级域名,后端=雷池 IP+ 端口
3️⃣ 雷池 WAF
• 部署:一键部署
• 配置:
• 防护应用:添加需重定向的服务
• 域名:通配符
• 端口:与 Lucky Web 规则子规则端口一致
• 上游服务器:最终服务的 IP+ 端口
───
🌐 最终效果
外网访问格式:二级域名:端口号
• 例:ikuai.XXX.com:15421
• 例:emby.XXX.com:15421
不同服务用不同二级域名,端口号相同(Lucky 监听端口)。
───
💡 核心思路
分层防护:私密管理用 Tailscale(零信任内网),公开服务用 Lucky+ 雷池(WAF 防护)
服务分离:防护组件与被保护服务不在同一台机器,避免一锅端
2026-03-09 22:43:38
自从上次《CloudCone和飞牛都暴雷了!》已经有一个多月的时间了,这段时间赶上学期结束太忙以及春节,也就没有折腾,直接把家里的设备与外网“切断”,关掉了所有的端口映射。这让我想到了今天群里一位大佬发的一个图片,是某位网友询问openclaw怎么样确保没有任何黑客可以进入到自己的网络系统,openclaw是这样回答的:
屏蔽了所有SSH远程连接
关停了所有Web服务访问
阻断了所有API回调
甚至连您自己也进不去了
您的服务器现在就像一块完美的、无法被入侵的砖头。建议您带上键盘去机房物理登录。
呵呵,太搞笑了,甚至连您自己也进不去了,得要带着键盘到机房物理登录。虽然是个笑话,也是告诉了我们,想要网络安全,得要“阻断”,当然不能把自己也给阻断了,是必须要阻断外界恶意一切入侵。
我这个人的安全意识真的需要很好的加强才行,我会犯一般人都会犯的错误,比如所有网络通行证的密码都是一样的;会不经思考把个人的信息发布到网络上等。在飞牛NAS没有暴雷之前,家里NAS上开通的所有docker服务的端口都是直接映射在外网的。自打飞牛NAS暴雷之后,我才把所以有端口全部断开外网。增强个人安全意识,是一切安全的基础。比如定期更换密码,密码最好为强口令的、能开通2FA的尽量开通2FA等。
Lucky,我也是在飞牛NAS暴雷之后在危险公众号上看到的。Lucky是一款集成DDNS(动态域名解析)、自动SSL证书管理、反向代理等功能的工具,能将你的NAS服务安全地发布到公网。把它部署在NAS和公网之间,可以统一管理所有外部访问。DDNS(动态域名解析)+ 反向代理 + 自动SSL证书,这是我们使用Lucky的灵魂功能,绑定域名、自动解析域名到公网IP自动申请 SSL证书、自动续期证书,访问时全程https加密,安全、省心又方便。
当然,Lucky的功能远远不止我们使用上面的“灵魂功能”,网络上教程也非常非常的多,也不缺老张这一篇,所以想要折腾的,自己百度下,教程满天飞。
雷池waf,我也接触两三年了,《把服务器“藏”起来,让网站快起来!》这篇我就详细的说过雷池waf的使用方法。在飞牛NAS上部署雷池waf,老张也不再赘述了
这里和大家聊一聊,在飞牛NAS上部署Lucky和雷池Waf后,他们各起到什么样的作用。
部署 Lucky + 雷池WAF后,你的飞牛NAS安全等级会从:
❌ 裸奔(直接暴露在公网)→ ✅ 穿防弹衣
✅ 外网访问只需记一个域名(如 nas.xxx.com)
✅ 全程HTTPS加密,证书自动续期
✅ 访问时先弹窗验证账号密码
✅ 黑客的攻击被WAF拦截,根本碰不到飞牛
✅ 攻击日志可查,知道谁在搞你
Lucky = 入口+身份验证+证书管理
功能及作用:
🔄 DDNS域名自动解析到你的公网IP;
🔐 Basic Auth访问前先验证账号密码(第一道锁);
📜 HTTPS证书自动申请、自动续期SSL证书;
↪️ 反向代理把域名指向内网服务;
🔁 端口转发外网流量导入内网
Lucky的角色:门卫, "先报上名来,再进来"
雷池 = 流量清洗+攻击拦截
功能作用:
🛡️ SQL注入拦截防止数据库被黑;
🔒 XSS拦截防止网页被注入恶意脚本;
📁 路径遍历拦截防止被;
🚫 CC防护防止被大量请求打挂;
👁️ 攻击日志记录谁在攻击你;
🔧 虚拟补丁没更新系统也能挡住已知攻击
雷池的角色:安检员, "检查有没有危险品"
1. 用户访问 https://nas.xxx.com
↓
2. Lucky 接收 HTTPS 请求
↓
3. Lucky 验证账号密码 (Basic Auth) ← 第一道锁
↓
✅ 通过 → Lucky 把流量转给雷池 (HTTP)
❌ 失败 → 401 拒绝,连雷池都见不到
↓
4. 雷池 WAF 检查请求有没有攻击特征
↓
✅ 正常 → 转发给飞牛NAS
❌ 有攻击 → 403 拦截
↓
5. 飞牛NAS 收到请求,服务正常运行
一句话总结
Lucky门卫验证身份、管理证书、转发流量(Lucky 管"入口" —— 决定谁能进来、怎么进来)
雷池WAF安检拦截攻击、清洗流量、保护飞牛(雷池管"内容" —— 检查进来的人带没带武器)