一、为什么需要隐藏 NAS DDNS 的端口？​

家用 NAS 通过 DDNS 实现外网访问时，通常需要在域名后拼接端口号（如nas.yourdomain.com:5000），存在三大痛点：​

1. 记忆不便：非标准端口（如 5000、5667）难以记住，影响使用体验；​

1. 安全风险：暴露真实端口和 IP，易遭端口扫描、暴力破解等攻击；​

1. 访问限制：部分公共网络（如公司、校园网）会封禁非标准端口，导致无法访问。​

而阿里云边缘安全加速（ESA）通过边缘节点转发和回源规则配置，可实现域名免端口访问（如nas.yourdomain.com），同时兼具 CDN 加速和安全防护能力，且免费版可续期至 2050 年，性价比极高。​

二、前置准备条件​

在开始配置前，需完成以下准备工作：​

1. 阿里云账号：完成实名认证，开通 ESA 免费版（下文附领取方式）；​

1. 域名：拥有自己的域名（如yourdomain.com），已备案（国内访问需备案，未备案可选择 “全球加速”）；​

1. NAS 环境：​

• 已配置 DDNS（推荐 Lucky、DDNS-GO 或 NAS 自带工具），实现域名绑定动态公网 IP（IPv4/IPv6 均可）；​

• 确认 NAS 服务端口可正常访问（如 HTTP 5000、HTTPS 5001），若端口被运营商封锁，需先更换端口（如 8080→8888）；​

1. 网络环境：路由器支持端口转发（IPv4 需配置，IPv6 无需），确保 NAS 可被外网访问。​

三、分步配置教程（核心流程）​

第一步：领取阿里云 ESA 免费版（续期至 2051 年）​

1. 访问免费套餐领取链接：阿里云 ESA 免费版；
2. 点击 “立即使用”，选择 “免费版”，0 元订购 1 年；​
3. 进入 “套餐管理”→“续费”→“设置续费规则”，重复选择 “1 年 0 元续费”，可以0元续费25年，直至有效期延长至 2051 年；​
4. 验证：套餐列表显示 “到期时间 2051 年” 即为成功。​

第二步：配置 NAS DDNS（确保域名绑定动态 IP）​

若已配置 DDNS 可跳过此步，未配置可参考以下两种方案：​

• 方案 1：NAS 自带 DDNS（如飞牛 NAS）：进入 NAS 后台→“远程访问”→“DDNS”，填写域名、阿里云 AccessKey（需在阿里云控制台创建），选择 IPv6 自动更新；​

• 方案 2：Lucky DDNS：部署 Lucky 容器，添加阿里云 DNS 解析记录，设置 IP 自动更新频率（建议 5 分钟），支持子域名分流（如nas.yourdomain.com对应 NAS 服务）。​

第三步：ESA 站点配置（核心：隐藏端口 + 回源转发）​

1. 新增 ESA 站点​

1. 登录阿里云 ESA 控制台→“站点管理”→“新增站点”；​
2. 填写配置：​

• 主域名：输入你的根域名（如yourdomain.com，仅支持顶级域名，后续可添加子域名）；​

• 接入方式：选择 “CNAME 接入”（兼容性更强）；​

• 加速区域：备案域名选 “中国内地”（速度更快），未备案选 “全球（不含中国内地）”；​

• 套餐类型：选择已领取的 “免费版”；​

1. 域名验证：按提示在域名 DNS 服务商（如阿里云 DNS）添加 TXT 记录（主机记录_esaauth，记录值为 ESA 生成的验证码），添加后点击 “验证”。​

2. 配置回源规则（关键：隐藏端口）​

1. 进入已创建的站点→“规则”→“回源规则”→“新增规则”；​
2. 规则配置（以访问 NAS 为例）：​

• 规则名称：自定义（如 “NAS 访问”）；​

• 匹配条件：主机名 = nas.yourdomain.com（你希望用于访问 NAS 的域名）；​

• 回源配置：​

• 回源 HOST：填写 NAS 的 DDNS 域名（如nas-ddns.yourdomain.com，无需带端口）；​

• 回源协议和端口：选择 NAS 的服务协议（HTTP/HTTPS），填写真实端口（如 HTTPS 5001）；​

1. 保存规则：此时 ESA 会自动将nas.yourdomain.com的访问请求转发到nas-ddns.yourdomain.com:5001，用户无需输入端口。​

3. 添加 DNS 解析（让域名指向 ESA）​

需在两处添加 CNAME 解析，确保流量路由至 ESA：​

1. ESA 控制台→“DNS”→“记录”→“添加记录”：​

• 记录类型：CNAME；​
• 主机记录：nas（对应子域名nas.yourdomain.com）；​

• 记录值：填写 NAS 的 DDNS 域名（如nas-ddns.yourdomain.com）；​

• 业务类型：选择 “网站页面”；​

1. 域名 DNS 服务商（如阿里云 DNS）添加记录：​

• 主机记录：nas；​

• 记录类型：CNAME；​

• 记录值：复制 ESA 生成的 CNAME 地址（如nas.yourdomain.com.a1.initll.com）；​

1. 高级优化：进入 “DNS”→“设置”，开启 “CNAME 拉平”（减少解析层级，提升速度）。​

第四步：HTTPS 安全加固（可选但推荐）​

1. 进入站点→“SSL/TLS”→“边缘证书”→“申请免费证书”；​

1. 选择证书颁发机构 “Let's Encrypt”，填写需加密的域名（如nas.yourdomain.com），点击 “申请”；​

1. 证书申请成功后，开启 “强制 HTTPS”（自动将 HTTP 请求跳转至 HTTPS），同时开启 “OCSP Stapling”（提升 SSL 握手速度）。​

第五步：开启 IPv6 支持（兼容多网络环境）​

1. 进入站点→“速度和网络”→“优化”→“网络优化”；​

1. 找到 “IPv6”→“配置”，开启 IPv6 访问，区域选 “全球”，保存后即可支持 IPv4/IPv6 双栈访问。​

四、效果验证与优化​

1. 访问验证​

打开浏览器输入https://nas.yourdomain.com，若能正常访问 NAS 后台，且地址栏无端口号，说明配置成功。​

2. 速度优化​

• 备案域名优先选择 “中国内地” 加速区域，利用国内节点降低延迟；​

• 若访问较慢，检查 DNS 解析是否生效（可通过nslookup nas.yourdomain.com验证是否指向 ESA 节点）；​

• 开启 ESA 的 “缓存优化”（免费版支持基础缓存），减少重复回源。​

3. 安全防护​

• 开启 ESA 的 WAF 防护：进入 “安全防护”→“WAF”→“托管规则”，添加 “默认托管规则集”，防护模式设为 “拦截”，抵御 SQL 注入、XSS 等攻击；​

• 配置流量封顶：进入 “用量封顶”→“创建规则”，设置每月流量阈值（如 50GB），避免超额使用；​

• 隐藏真实 IP：ESA 会隐藏 NAS 的公网 IP，外部仅能检测到 ESA 节点 IP，提升安全性。​

五、常见问题排查​

1. 无法访问 NAS：​

• 检查回源规则的端口是否正确（NAS 端口是否修改过）；​

• 验证 DNS 解析是否生效（可清除本地 DNS 缓存后重试）；​

• 确认 NAS 的 DDNS 是否正常更新（IP 变化后需等待解析生效）；​

1. 访问速度慢：​

• 未备案域名切换至 “全球” 加速区域，国内访问可能受跨境网络影响，建议备案；​

• 检查 NAS 的上行带宽是否充足，避免高峰期拥堵；​

1. HTTPS 证书报错：​

• 确认证书域名与访问域名一致；​

• 等待证书申请完成（通常需 1-5 分钟），未生效前可暂时关闭 “强制 HTTPS”。