4 |2 U) C& E/ Z9 H9 Y
群晖的DSM5.0提供了非常好的安全防护,在不安装其他套件的情况下,提供防火墙、防DoS、IP封锁、ssl等安全设置。虫控制面板》安全性进入。操作起来非常简单。如图所示
第一个设置内容不需多讲,看你自己的要求9 `) Y' n: T( A- g- ~
& v2 o2 a4 W3 ~ M: h" D( h- Y' U
重点说说防火墙,DSM提供了以端口和IP为条件的防火墙规则,根据你自己的需要去设定即可,如图
) L; ; A# T* x, b" ?5 s' g
新增规则时,可以选全部端口,或DSM内置服务端口,或自定义端口,IP地址指的是访问本NAS的客户端的IP,可设定全部,某一子网或指定单个IP,美中不足的是不能指定某一IP段,不过也足够用了。4 g0 u5 z( w# T1 q8 l* E
$ R# z; H; p: C4 g1 z
设定完了以后,一定要点击保存按钮,防火墙规则才起作用。( D" e& h0 K8 u7 m0 a
* [8 e, O9 K4 v0 q* J) k
需要注意的时,防火墙规则一旦设定后,没有明确设定允许的端口自己默认是禁止访问(本人测试结果,不代表官方说法),如果你设定的防火墙规则把自己正在用的电脑对NAS的管理的连接权限也封锁了,该规则自动无效,NAS会有相应提示。
安装套件或下载设置的时候,dsm会提示到需要注意开放某些防火墙规则。
DoS不再多说,防止出现突发瞬间超大访问量造成NAS拒绝提供服务- |4 w3 m& B# s) p
6 z+ E* c. q% w! e
自动封锁,可以自动封锁在一定时间内登陆失败次数超过设定值的IP地址; V% I' F6 ` }2 r
证书,主要是为了提供ssl相关服务用的,如果你没有什么特别的需求,暂时不用管他,先用着群晖自动生成的ssl证书。后面将全网访问的时候,我会再说ssl证书的使用。- u3 s! n7 Z' ]3 n
6 g. n" a! h7 `" Y: k
+ Q* d5 [- b0 Y d
DSM拱了 SMB/CIFS、NFS、AFS、FTP、TFTP、WebDAV文件服务协议的支持,SMB/CIFS就是windows文件共享使用的协议,AFS是苹果MAC使用的文件共享协议,FTP/TFTP不用多说了吧,WebDAV是一种扩充的http协议,允许远程读写服务器上的文件。一般情况下,windows用户不建议使用webdav协议(我说的,不是群晖官方的说法,因为windows文件管理器下使用DSM的webdav协议,你的nas必须配一个有效的ssl证书,就是windows信任的证书发放机构签署的证书,这个是要真金白银的花美金的,基本没有免费的。自己用openssl自签署的证书是不能用的。当然你可以下载一些windows下的webdav客户端来用,不过smb/cifs足够用,没必要这么复杂)。
, ?$ e( ?, g0 u1 Z% R
如果你只是简单地做文件共享,打开windows文件服务和FTP服务就够啦,如果你像我一样是高清爱好者,最建议使用的是NFS协议,为什么?简单来说,蓝光原盘iso或者BDMV文件夹,通过SMB/CIFS协议来共享的情况下,就算你是千兆网,缓冲卡顿不可避免,而NFS就不会,还有一个很重要的原因(对我自己来说),留到说视频服务的时候再讲。
, L8 h, `! C j8 z. ^, j
启用NFS协议,如图:
L# W- p1 c; v* U% m( Y, Q
启用Nfsv4,就是NFS协议的最新版本,原因就不细说了,总之新版本就是比老版本多很多功能。
Nfsv4域 留空,这是企业高级用户才用得到的功能,咱们就别管了,不要在意那些细节…3 `9 2 t2 O/ R( f
5 {; q2 y) S1 T3 j0 o; ^3 x3 q
光启动NFS服务是不成的,还要到共享文件中里面去设定NFS权限,NFS的权限不是依据用户名密码,而是依据ip地址,如图:
服务器:指的是可以通过nfs访问本nas的ip地址。可以是单个主机或一个子网,注意子网有两种表示方式,192.168.1.1/24这种方式可不是指只有24台主机可访问,而是指子网掩码是24位,翻译过来,就是192.168.1.1/255.255.255.0。6 ?. ]9 m# S" ~
读写权限根据你的需要设定,映射可以不管,安全性默认,启用异步选项视情况,注重数据安全就别选,注重性能可以选,不过有丢失数据的隐患。
确定就ok
$ v, R# D" P1 h
nfs服务启动了,不过不建议在windows中通过nfs读写共享文件,为啥?因为nfs是linux/unix下使用最广泛的网络文件系统,但是bill gates对他支持不是很好,用起来很麻烦,基本上和webdav一样麻烦。那为什么要启用nfs服务呢,等用到的时候再细说。2 e8 D o6 R. F9 j; u* G; ^
) P0 C' m& ?5 r) V1 B2 P
群晖dsm提供了大量套件用于扩充nas的功能,绝大部分是免费的,少部分是商业试用套件。安装了套件后,nas的功能得以极大的扩充,此外,互联网上还有不少第三方提供的套件可以安装。9 X" P: M5 I) u! w0 j
个人观点,以下几个套件属于必装的。Download station,cloud sync, video station或plex。" X! m0 c8 }3 I! ?' v
Downloadstation就是下载服务,提供http,ftp,bt,ed,pt,迅雷离线等等很多下载方式,爱高清的人必备;
! ^- R' W0 Q' F: c3 A
Cloud sync,可以将你的云盘上的文件自动同步到nas,支持百度网盘,设定好相应目录以后,利用百度网盘的转存功能,将别的网盘提供的高清电影转存到自己的网盘,cloud sync就自动将拟的网盘上的文件同步到本地,省心省力;
video station或plex,将你的nas变身为视频点播服务器,我更推崇plex,他不但支持DLNA协议,同时也提供网页播放方式,而且他是后台解码的,只要你的网络速度够快,普通安卓平板也可以播放nas上蓝光电影;而且,plex能自动为你的电影匹配封面、字幕等等,可惜中文化不够。
5 n. M# J0 T1 ~# u4 I/ ?7 j4 S" y& V
download station的使用非常简单,我没有pt账号,只用迅雷离线,因此打开迅雷离线支持非常必要。
4 G4 Z, P; D: N) t; F9 h
输入迅雷的会员名称和密码,点击验证,通过了以后就不用再管。有时候会出现验证错误的情况,是因为迅雷登陆离线空间有时候会让你进行验证码验证,而download station不支持验证码,怎么办,从网页登陆迅雷的离线空间,如果迅雷不要求你输入验证码,就回到download station登陆一次,如果网页登陆要求输入验证码,那就在网页登陆以后,退出再试试,这时候迅雷应该不要求你输入验证码了,回到download station登陆即可。经测试,基本能达到满带宽下载,我是10M联通光纤,基本上下载速度稳定在1.5MB/秒,换算下来,达到12M的带宽了。
9 q: q9 j/ x3 s
& H7 U% T4 d, }0 a) Z q
这一节,其实很简单,安装好相应的套件,设定视频音频的源目录,即可使用.其中plex可以提供DLNA和web点播方式的视频服务(后台解码),video station只提供web视频点播服务,而且需要客户端安装相应的解码包,视频服务器只能提供DLNA服务,audio station 提供web方式的音乐播放服务,iTunes 服务器可以让你的电脑上的itunes播放nas的音频视频。: a2 |9 f* y8 `+ A' e
本来不想说这一节,不过,前面说文件服务的时候自己挖了一个大坑,得填。% S2 B$ g' N5 j3 e& J2 V3 |
% D6 m! o* e) w! U. X. S5 r0 y
为什么建议开通nfs文件服务,我自己的主要原因是我的高清电影基本上都是20-30G以上的不内嵌字幕的,如果通过smb/cifs(windows 文件共享)来播放,卡顿非常严重,这与局域网速度无关,是windows 文件共享造成的,原因就不深入解释了。DLNA方式倒是不会卡了,但是DLNA服务不是以文件系统为基础的,无法提供字幕挂载功能,XBMC虽然能实现对DLNA服务器上的视频挂载字幕,但只能从本地挂载,不能从服务器挂载。& L, P7 a, ^& x( g. F
NFS文件服务就能解决上述两个问题,既能流畅播放又能挂载服务器上的字幕文件。所以我强烈推荐开通NFS服务。 o: b5 R- F* b
如果你是使用标准的nfs客户端访问nas的,按照前述的方法开通nfs服务即可,如果你像我一样,使用xbmc通过nfs来访问nas上的视频文件,由于xbmc使用了非nfs保留端口,需要在共享文件夹的nfs服务权限设置里面勾选"允许来自非特权端口的连接",否则就有可能出现只能看见文件夹不能进入文件夹读取文件的情况。外网上关于这个问题解决的办法是修改DSM的底层设置,有点复杂化了,究其原因可能是因为早期版本的DSM没有提供这个选项,新版本出来后,还沿用老版本的解决办法。
+ {2 C7 Z, x; X6 n
这里的说的个人网站并非群晖dsm里面说的个人网站,因为群晖的个人网站显得有些鸡肋。我说的个人网站是指在群晖服务器上扩展,将服务器变成一个个人网站服务器,直接在上面建立一个小站。
以owncloud为例,owncloud应该说是目前做的最好的一个免费的私有云系统,德国人做的,分为社区版和商业版,其实是一样的,商业版卖的是服务,老贵了。自己用的话,社区版足够。
0 z& b1 o5 b2 P4 l" X! {
到owncloud.org下载owncloud安装包备用(用.zip版本的),最新版应该是6.3。改名为owncloud.zip
到群晖dsm的控制面板>web服务 启用web station。这时候,会出现一个名为web的共享文件夹,这就是网站的根目录。
建立一个 info.php文件,内容为 , W% h r2 G: s' Y z
上传到web文件夹,用浏览器访问http://192.168.1.XXX/info.php,你就能看到群晖服务器支持的php的版本,方便以后建站。/ D8 [' {- r& L& K3 A3 `( R
在file station里将owncloud.zip上传到web目录下面,右键点击,解压缩,进入owncloud目录,新建一个 data文件夹,设置data文件夹的权限为 http用户可读写,记得点选 "应用到这个文件夹、子文件夹和文件"。
访问http://192.168.1.XXX/owncloud/进入初始设置界面,设置管理员用户名密码,数据库类型(建议就用sqlite),数据保存目录(默认即可)。完成之后你就可以使用了。
Owncloud的功能相当丰富,没组建nas之前,我安装在一台ubuntu server上,实现私人云盘、文件分享、通讯录同步、日程表同步等,有了nas以后,基本上就用小文件分享、通讯录同步、日程表同步功能。通讯录同步、日程表同步类似于苹果的icloud服务,换手机以后无需倒腾通讯录,自动后台同步,而且所有通讯录都保存在自己的服务器上,不怕被无良商家倒卖。
Owncloud的功能完全可以写一个大长篇教程,在此不多说,有兴趣的,以后可以探讨。* s d$ {3 p4 h
以此为例子,你还可以在nas上安装一套wordpress做自己的博客,安装phpwind做自己的论坛等等。当然前提是你的带宽足够,如果对全网提供服务,注意合法手续的问题。
& n, h* K: W3 d, G" i
我认为这是一个非常重要的功能,最能体现nas的特点,就是随时随地访问你的文件。需要实现全网访问,需要你的nas能有一个固定访问地址,目前的家庭宽带是不提供静态IP的,因此需要用到DDNS(动态域名解释)。, [) ]) Z8 F% X6 c
以下内容仅支持联通宽带
进行一下步工作前,先确定你的nas的IP地址的静态分配的,也就是每次启动以后ip地址是不变的。- K% @% Y- t, b/ g, M
群晖官方提供了DDNS服务,不过咱是黑群,用不了,即使是白群,也不建议用官方的,为啥,因为他的服务器在台湾省,连接速度很慢的。
建议使用花生壳(oray)服务,因为目前绝大部分的无线路由器内置了花生壳服务,以我的tp_link无线路由器为例。2 |' s4 O2 a. |/ K
点击 花生壳动态域名解释服务申请6 q5 v) g; a, _
按照提示要求进行注册账户
进入壳域名注册,选一个心仪的壳域名,搜索一下,如果没被注册就下手吧,免费的就可以啦,不必花钱。
) Q$ x; Q5 D2 k/ u- B7 Y5 b
按照提示一步一步注册完成,回到路由器,把你注册的花生壳账户(不是域名)和密码填进去,以后每次启动路由器,自动就会登陆花生壳,就能动态解释你的域名了。
5 K. J8 f: i2 h5 F
测试一下,如果红框内的两个IP地址一致,证明你的花生壳域名已经生效。
- b& S B1 o$ q% F9 z3 o0 V
先别着急访问你的域名,还要做下一步工作,在路由器上,打开端口转发功能,建议使用DMZ主机,自动将所有端口转发送到NAS服务器,当然如果你担心nas的防火墙拦截能力,你也可以用虚拟服务器,将有需要用的的端口逐个转发到nas,设置很简单。1 P. ~- X& _6 T1 Q+ ^* z
- }+ N6 o1 [! ?% F( F: f
需要注意的是,国内宽带按主管部门要求,80和8080端口已经被封,不能使用,幸好群晖的管理端口默认是5000,不太受影响,但是运行在群晖服务器上的个人网站是不能使用80和8080端口的,记得修改webstation的端口号。
+ C2 v2 N3 D$ q: x
用浏览器登陆http://XXXXXX.:5000/,你这时候应该会看到熟悉的登陆界面了。0 U9 I. T/ a! H/ _1 n
又超长了,没办法,接着盖楼
1 v% ~# [- P9 V& N' |
【插队】6.5里面关于xbmc不能读取nfs共享文件夹文件问题,外网上的复杂化的解决办法,你可以试试。造成损失,概不负责啊。
, U* T' J! w6 k8 V; O1 Z5 p0 L
【附外网的解决办法】
以下操作涉及到群晖的底层配置,需要一定的linux维护经验,如果你没有这方面的经验,建议动手之前三思,即使你有linux维护的经验,动手之前也要三思,千万不要手贱去改其他的东西,不然造成nas运行异常,数据丢失,概不负责。假设你的视频文件的共享文件夹名称是 dy
修改之前,请先到DSM的控制面板>终端盒SNMP,在"启动ssh"前面打勾,确定保存。如果启动了防火墙,请在安全性》防火墙里面打开SSh的22端口。
如果你熟悉vi,建议用putty连接到nas的22端口。用户名为 root,密码是你的nas管理密码,登录,祭出vi大法/ c2 i2 V' ?. L
Cloudstation> vi /etc/exports6 [' {7 n1 q) i
你会看到类似以下的配置行. R3 Q. J) M$ |
/volume1/docs*(rw,async,no_wdelay,insecure_locks,no_root_squash,insecure_locks,anonuid=0,anongid=0)
1 l/ A0 N4 J6 ^
找到你要修改的共享文件夹配置行,本例是% L% i; N5 H9 D$ r" y6 K& N: c
/volume1/dy*(rw,async,no_wdelay,insecure_locks,no_root_squash,insecure_locks,anonuid=0,anongid=0)
将第一个insecure_locks改为insecure,如果这个地方没有insecure_locks,直接添加一个insecure。& Z# s& S$ z; o1 _+ w0 w
如果你不熟悉vi,建议用winscp登录nas,同样对上述的文件进行修改。
然后,在控制面板》文件服务》将nfs前面的勾去掉,确定保存,再点上,确定保存(就是重启nfs服务)。
* a4 D- r4 u7 u6 % A9 L, R' D6 N# d4 W
实现全网访问以后,安全性是第一要务,ssl必不可少,前段时间心脏出血闹得不可开交,不过现在已经补上,群晖的dsm5.0-4458 up2也已经消除了漏洞,如果你从一开始看本教程安装的时候就是从群晖的官方服务器下载的dsm-5.0-4458.pat,就可以放心的使用了。% s3 P, m' x0 t, y
i* w; U- v/ ~$ q; z; u" r
先自签署一个ssl证书,
' l& o: Q6 O0 H2 n- g3 G* n
这里的通用名称指的是证书发放机构,你自己编,反正只有你自己认可,哈哈
+ d8 O" g! K# C2 R+ H/ @8 w
下一步以后,这里的通用名称值得是你的网站的域名,填写你注册花生壳免费域名
xxxxxxx.,
上图的域名不是我的,现在好像还没人注册。! U' ^/ y0 H; x+ ' E
3 @ k2 y5 p, t
确定以后,你的证书已经签署好了* K% e5 U, a6 f
回到控制面板的web服务,按照你的喜好,设置好端口,启用 https连接 和SPDY(google最先提出的一种改良的https协议,加快数据传输速度)。
再到网络设置里面,为你的管理连接启动https服务,如果现则自动重定向到https,就是强制使用https协议。这个对通过管理界面上传文件的速度会产生一定的影响,因为存在一个加解密过程,基本上60%左右的影响,不过我基本不通过管理界面传输文件,就强制使用了。
此后,再登录里的nas,http://xxxxxx.:5000/,firefox浏览器会出现如下提示,) ]! U9 E" K! D7 ?, z
添加例外既可以,这是你自己的网站,充分信任吧
Ie会有如下提示,不管提,继续访问,不过地址栏会一直由证书错误的提示。6 r0 |# i7 y- Z8 A# d
5 o# Y; u. x' _$ c
原因就在于你的ssl证书的自签署的,没有经过国际公认的证书认证机构认证,所以,你的证书是不受信任的,如果你有"多略($)",闲的没处花的"$",你可以到国际公认的ca机构买一个证书,一般是按年计算,就可以完美的实现ssl访问而没有这样的提示啦。不过我更建议你把这钱拿出来,请我吃羊肉串,哈哈。4 @7 f% d3 q( j/ Y' j8 N
其实利用ssl协议,也可以解决网址带个端口号尾巴的问题,因为443端口没有被封锁,因此你直接就可以https://xxxxxx.访问呢你的nas了,是不是很上档次?6 a- C0 V$ {" S. J5 r7 }5 o% C4 I% ]1 i
先去DSM的插件中心,下载一个叫做docker的插件。标志是艘船。你绝不会认错
安装完毕后继续看。2 ]6 ]1 c. B% X7 v
3 @) D8 B) b4 R1 T3 A
2.启动docker,切换到注册表选项卡,搜索 xware
双击下载yinheli/docker-thunder-xware
; m: }+ f: ^+ B
2 t7 Y: e% S8 ?
如果是电信这种国际出口比较渣的宽带的话要慢慢等了) T- ^+ Y2 }* f/ f2 e4 f/ d/ W
+ u% W$ J2 x. x# }5 P
一共200多m
. @; A. O* r$ c$ [ U, [
3.选项卡“映像”中,选中 yinheili/docker-thunder-xware,点击“启动”,出现启动向导设置界面,容器名随便取。
点端口设置下面的+,增加端口映射,随便找个本地没被用过的端口(比如9999),容器端口设置为9000,类型默认TCP,
然后点下一步0 F/ v1 o% b$ l0 z. o% B# y5 Y
4.设置资源限制和桌面快捷方式,按照你的需要来设置,一般不需要动6 [3 j5 O I: ] r! I# R6 z: t
我建议设置一个桌面快捷方式,便于管理。之后点下一步( r; x! @' I9 p4 F# w9 P
# w* p2 d4 E: K" C: t2 @
5.设置下载目录,点击此界面的高级设置
# Z. `6 . t+ U; }
{! F9 G: Q' R* g9 Q+ q
在卷里,点击“添加文件夹“,选择一个群晖的共享文件夹目录,用于存放下载内容。
装载路径设置为 /TDdownload,去掉默认勾选的只读。
# G9 F) 9 I1 j
6.勾选上“向导完成后运行此容器”就可以启动xware了.
% L( a3 v; I- N) 4 ?" y3 o* I
2 B4 ?9 [& F) `; n ?1 I, ]
7.获取激活码/ o( T" D8 m+ F& k" z+ l) d2 p
如果之前勾选了创建桌面快捷方式,那我们的DSM桌面上就会有一个你之前命名的docker容器的快捷方式,双击打开它。" V" _+ N8 w; k3 x
如果你没有创建快捷方式,那么你可以通过 docker 主程序打开,切换到容器里,选中它,然后点击详情。
8 ~3 G# ~2 N# Y" h3 A
! x' f! H" T2 i/ r. @+ _
然后我们切换到日志选项卡,再里面就可以找到一个 THE ACTIVE CODE IS: **** 的,*代表的就是你的ACTIVE CODE。
2 ~; S* J1 L7 c; s2 M
9 x6 K3 e( h- ?
7 U. c+ O% ^2 {! {
8.最后就是去迅雷远程绑定激活码了,网址 http://yuancheng.xunlei.com ,具体操作步骤略过。3 R2 E$ r$ B! ]0 v! X: W: Z6 f
- Y+ b! R) {, X( }
4 Z1 j8 P* l/ r ?5 p
屏幕快照 2016-03-26 上午12.33.13.png (191.31 KB, 下载次数: 34)
下载附件 保存到相册
特别提示:本信息由相关用户自行提供,真实性未证实,仅供参考。请谨慎采用,风险自负。
0 条相关评论