Fossorial Pangolin

Pangolin 是一款自托管的隧道式反向代理服务器，具备身份验证与访问控制功能，旨在安全地暴露分布式网络中的私有资源。作为中心枢纽，它通过加密隧道连接孤立网络——即使这些网络位于严格防火墙之后——从而无需开放端口即可轻松访问远程服务。

主要特性： 通过 WireGuard 隧道实现反向代理：

无需开放端口（穿透防火墙）暴露本地网络资源。 通过自定义用户态 WireGuard 客户端 Newt，轻松配置站点到站点的安全连接。 原生支持任意 WireGuard 客户端。 通过 LetsEncrypt 自动获取 SSL 证书（HTTPS）。 支持 HTTP/HTTPS 及原始 TCP/UDP 服务。 负载均衡。

身份与访问管理：

基于平台 SSO 的集中式认证系统，用户仅需维护一个登录凭证。 为每个资源定义基于 IP、IP 段和 URL 路径的访问控制规则。 支持 TOTP 双因素认证及备用代码。 可创建组织，每个组织包含多个站点、用户和角色。 基于角色的访问控制，用于管理资源访问权限。 其他认证方式包括： 邮箱白名单配合一次性密码。 临时且自动销毁的分享链接。 资源专属验证码。 资源专属密码。

简洁的仪表盘界面：

通过清晰直观的 UI 管理站点、用户和角色。 监控站点使用情况与连接状态。 支持浅色与深色模式。 适配移动端。

简易部署：

可在任意云服务商或本地环境中运行。 基于 Docker Compose 的简化部署方案。 未来兼容的安装脚本，便于快速部署与功能扩展。 可使用任意 WireGuard 客户端连接，或使用 Newt——我们自研的用户态客户端以获得最佳体验。

模块化设计：

可通过现有 Traefik 插件（如 CrowdSec 和 Geoblock）扩展功能。 Pangolin 安装脚本可自动安装并配置 Crowdsec。 可将任意数量的站点连接至中心服务器。