一台“随时随地可访问”的个人服务器——从零搭建完整实战指南

适用场景：

o 公司机房（有公网或可申请端口映射）

o 家庭宽带（光猫+路由器，动态公网 IP）

o 受限网络（CG-NAT / 无法做端口转发）

目标：用自己的域名 myserver.xyz 在任何地方通过 HTTPS 访问这台服务器上的网站 / API / 私人云盘。

目录

1. 准备硬件与操作系统
2. 基础安全配置（SSH / 防火墙 / 定时更新）
3. 在局域网内固定服务器地址
4. 拿到“公网可达”——三种网络破局方案
5. 域名申请与解析
6. 安装 Nginx + HTTPS 证书
7. 发布一个示例站点并外网验证
8. 加固与运维要点

1 准备硬件与操作系统

安装 Ubuntu Server 22.04 LTS（或 Debian 12/AlmaLinux），整个过程一路 Next 即可。登录后第一时间：

# 创建非 root 用户并赋 sudo

adduser jack && usermod -aG sudo jack

# 禁止 root 远程登录

sudo sed -i 's/^PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config

sudo systemctl restart ssh

2 系统安全与更新

# 开启防火墙，仅放行 22/80/443

sudo apt update && sudo apt install ufw fail2ban -y

sudo ufw allow 22,80,443/tcp

sudo ufw enable

# 自动安全更新

sudo apt install unattended-upgrades -y

sudo dpkg-reconfigure unattended-upgrades

3 固定局域网 IP

1. 家用路由器里将服务器 MAC 绑定到固定 LAN IP（如 192.168.1.10）。
2. 公司若使用 DHCP，请让网管预留或在 /etc/netplan/*.yaml 里设置静态地址。

# /etc/netplan/00-static.yaml

network:

ethernets:

eno1:

addresses: [192.168.1.10/24]

gateway4: 192.168.1.1

nameservers:

addresses: [8.8.8.8,1.1.1.1]

version: 2

sudo netplan apply

4 让服务器“走到”公网

方案 A：公网 IP / 路由器端口映射（最快速）

1. 确认光猫拨号获取的是 公网（可在路由器 WAN 状态对照 ip.sb）。
2. 路由器 → 转发规则：

2. 
   
3. 宽带动态 IP？——DDNS
4. 
   
5. 免费：Afraid.org、DuckDNS
6. 路由器自带：花生壳、NO-IP
7. 定时脚本：curl -s "https://api.godaddy.com/v1/domains/…".
8. 
   

方案 B：公司网络——让网管做

NAT 映射 / 防火墙策略

提前写清业务端口列表、用途、责任人，方便审批。

方案 C：没有端口映射权、CG-NAT（移动宽带等）

示例：Cloudflare Tunnel

curl https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb -LO

sudo dpkg -i cloudflared-linux-amd64.deb

cloudflared tunnel login # 浏览器授权域名

cloudflared tunnel create mytunnel

cloudflared tunnel route dns mytunnel myserver.xyz

# 生成
/etc/cloudflared/config.yml 指向本地 8080

sudo systemctl enable --now cloudflared

5 域名注册与解析

1. 在 Namecheap / 阿里云 / Cloudflare 注册 myserver.xyz。
2. 传统端口映射：添加 A 记录 → 指向公网 IP（或 DDNS 域名用 CNAME）。
3. Cloudflare Tunnel 已在 4-C 中自动创建 CNAME，无需额外 A 记录。

6 Nginx + HTTPS

sudo apt install nginx -y

sudo systemctl enable --now nginx

# 如果是 80/443 直连：

sudo snap install --classic certbot

sudo certbot --nginx -d myserver.xyz # 自动写入 HTTPS 配置

# Cloudflare Tunnel（免 80/443）：

sudo certbot certonly --manual --preferred-challenges dns \

-d myserver.xyz --register-unsafely-without-email

# 在 Cloudflare TXT → _acme-challenge 添加 token 完成 DNS 验证

生成后
/etc/letsencrypt/live/myserver.xyz/ 存放证书，自动定时续期。

7 发布示例站点并外网验证

sudo rm /var/www/html/index.nginx-debian.html

echo "<h1>Hello from $(hostname)</h1>" | sudo tee /var/www/html/index.html

sudo nginx -t && sudo systemctl reload nginx

浏览器输入 https://myserver.xyz → 出现上面文字即成功。

若走 4-C 隧道，确认 cloudflared tunnel info 显示 healthy。

8 加固 & 运维

现在，你已经：

1. 安装并加固了服务器系统
2. 让服务器在任何网络可达（端口映射 / 隧道）
3. 绑定域名，配置了可信 HTTPS
4. 成功外网访问自己的站点