实操：搭建支持防火墙集成的本地档案系统步骤指南

准备工作

1. 一台安装Ubuntu 22.04 LTS的服务器（或物理机），内存≥2G，硬盘≥20G；2. 服务器有固定IP（内网/公网均可）；3. 当前用户拥有sudo操作权限。

核心操作步骤

1. 安装基础运行环境（Docker+Docker Compose）

执行以下命令一次性安装所需依赖，所有内容直接复制粘贴即可：

安装Docker及Docker Compose：

``` sudo apt update && sudo apt install docker.io docker-compose -y ```

验证安装成功：

``` docker --version && docker-compose --version ```

输出显示对应版本号即为安装完成。

2. 部署支持防火墙集成的Nextcloud档案系统

创建部署目录并生成完整配置文件，无需修改任何内容直接使用：

创建部署目录：

``` mkdir -p ~/nextcloud && cd ~/nextcloud ```

生成docker-compose.yml完整配置（直接复制）：

``` version: '3' services: db: image: mariadb:10.6 restart: always environment: MYSQL_ROOT_PASSWORD: nextcloud_root_secure_123 MYSQL_DATABASE: nextcloud MYSQL_USER: nextcloud_user MYSQL_PASSWORD: nextcloud_pass_secure_123 volumes: - db_data:/var/lib/mysql redis: image: redis:alpine restart: always app: image: nextcloud:27 restart: always ports: - "8080:80" volumes: - nextcloud_data:/var/www/html environment: MYSQL_HOST: db MYSQL_DATABASE: nextcloud MYSQL_USER: nextcloud_user MYSQL_PASSWORD: nextcloud_pass_secure_123 REDIS_HOST: redis depends_on: - db - redis volumes: db_data: nextcloud_data: ```

启动档案系统容器：

``` docker-compose up -d ```

等待2分钟后执行命令验证状态：

``` docker ps | grep nextcloud ```

显示三个容器状态为Up（健康运行）即为部署完成。

3. 配置双重防火墙集成（系统层+应用层）

步骤1：系统防火墙（UFW）配置，仅信任IP可访问

依次执行以下命令，替换192.168.1.0/24为你的信任网段（单IP则改为192.168.1.100/32）：

``` sudo ufw allow OpenSSH sudo ufw insert 1 allow from 192.168.1.0/24 to any port 8080 proto tcp sudo ufw enable sudo ufw status ```

输出中显示8080端口仅允许信任网段访问，即为系统防火墙配置完成，阻断所有未知IP的外部访问，完成第一层防护。

步骤2：Nextcloud应用层防火墙配置

进入容器安装IP访问限制插件：

``` docker exec -it nextcloud-app php occ app:install ip_restriction ```

登录Nextcloud管理后台（http://你的服务器IP:8080），进入【设置】-【管理员设置】-【安全】，找到【IP访问限制】，添加你允许的业务IP段，拒绝所有未匹配的访问请求，完成应用层防火墙集成，双重防护确保档案系统安全。

4. 初始化系统与验证防火墙效果

访问http://你的服务器IP:8080，设置管理员账号密码，登录后上传1个测试文件到档案库；

使用非信任IP（如手机4G网络）访问，会直接显示“访问被拒绝”，验证系统防火墙生效；

用信任IP访问，可正常登录、下载/上传文件，验证应用层防火墙及档案系统功能正常。

故障排查

1. 容器启动失败：执行docker logs nextcloud-app查看错误日志，常见问题为端口被占用，修改docker-compose.yml中8080为其他未用端口（如8081），同步修改防火墙规则即可；

2. 防火墙规则不生效：执行sudo ufw reload强制刷新，检查信任网段是否填写正确，避免包含多余IP；

3. 插件安装失败：执行docker exec -it nextcloud-app php occ maintenance:mode --off关闭维护模式后重试，或更换Nextcloud版本至27及以上。