Комментарии 64
Вместо прописывания статики IP на сервере, вы можете также выдать ему статику с роутера через DHCP. Это чутка проще и, в общем случае, более гибкое решение.
Также для проброса портов DMZ не нужен. Вы или ставите сервер в DMZ и тогда на него идёт трафик по всем портам, или прописываете проброс портов статически, но тогда ни DMZ ни firewall не нужны.
DMZ не гибкое решение, на случай если вам нужно выставить в инет более одного сервера во внутренней сети. Port forward это позволяет сделать, DMZ -- нет.
Но есть и решение ещё гибче, включить UPNP на роутере и динамически управлять пробросом портов индивидуально хоть для каждого сервиса, с помощью скрипта с upnpclient на сервере. Опять же -- проще и гибче.
А ещё вы можете поднять VPN сервер с блокировкой рекламы и пустить трафик всех свои сотовых через него.
IMHO :
начиная с Andoid 9 появилась опция custom dns, прописывает там наподобе dns.adguard.com и прощай реклама. Зачем нам этот зоопарк с VPN
А как custom dns помогает в ограничении рекламы? Можете объяснить подробнее? Я ни разу не слышал о такой возможности. Ну и не очень понимаю, как работает dns.
Короче говоря, прописав сервер dns с ограничением рекламы, ваш телефон не узнает IP с которого нужно загрузить рекламу и, соответственно, ее не покажет. Грубо, но работает.
Плюсы этого решения в общем понятны, почитал на их сайте. Подскажите, пожалуйста, какие могут быть минусы того, что я сменю DNS сервер по умолчанию на DNS AdGuard?
Иногда какой-нибудь сайт может не работать. Так в общем то минусов больше нет. Ну и ещё я AdGuard не очень доверяю, так как они собирают статистику и наверняка ее куда-нибудь передают. Ну это уже вопрос доверия какой сервер прописывать. У меня прописан doh-de.blahdns.com.
этот сервис будет логировать хосты к которым вы стучитесь
Лучше поднимите собственный сервер pi-hole, вопрос 5 минут, хватит мощности малинки 2
А можете поподробнее рассказать о том, как это работает? Ну или ссылками покидаться. У меня как раз есть белый ip и настроенный домашний сервер. Просто я первый раз слышу о такой возможности.
Как занятие в целом - интересно.
Как практическое использование - лучше взять vds. Самое дешевое, что знаю: 200 руб. Для сайтов визиток хватит с головой. Все же ДЦ надежнее домашнего ноута и интернета.
Можно бесплатно.
Это не так: электричество не бесплатно. Предположим 50 ватт по однотарифному счётчику в городе, это почти те же 200р.
В общем получится немногим дешевле, и намного менее надёжно, и с куда худшей связанностью. А любой выход из строя чего-либо сделаем экономию и совсем уж мифической.
Тариф на электичество нынче 5,92 рубля за 1 киловатт-час, поэтому работа в 50 ватт за час будет стоить 30 копеек, сиречь меньше полуцента.
По 6 рублей за киловат*час, в месяц, даже больше 200р. Без этого компьютер работал бы намного меньше по времени, можно было бы закрыть крышку уходя от него. А так нет, он будет точно работать.
В общем, это не практично, и не бесплатно, и не надёжно. Ну и вся статья довольно бесполезная.
Ну и есть действительно бесплатные варианты получить довольно приличную виртуалку, например, в том же Oracle cloud.
Флегматично: тут на днях MskHost закрылся, а вы про надёжность...
И что, вы думаете, что хостеры накрываются чаще, чем какие-нибудь ssd/hdd в домашних "серверах"? Уж не говоря о вырубающемся свете, при котором не поможет ибп, т.к. оборудование провайдера, весьма вероятно, отрубится. О качестве канала в ДЦ, и канала домашнего провайдера.
Для каких-нибудь бекапов ещё куда ни шло использовать такой сервер, или для локальной разработки, возможно. Но тогда ему и белый ip не нужен.
У меня 3 из 3 хостеров с LowEndBox'a накрылись в течение 1 года.
А, и еще один сгорел, зараза такая.
Диски тоже мрут, случается, но бэкапы никто не отменял + плюс у увлеченных ребят дома [нормальные] сервера с рейдами стоят.
Ну 200р/мес, что только цена электричества, как мы выше посчитали, это уже вполне себе у нормального хостера можно виртуалку небольшую взять. =) А учитывая амортизацию, или необходимость железа, так и больше в мес. накапает.
Сервера с рейдами не решают проблемы связности и качества канала. И стоимость нормального сервера эквивалентна его же аренде на несколько лет, что почти всегда выгоднее получается - нет проблем с заменой железа, с устареванием, намного лучше каналы, и.т.п. А очень старый сервер, который можно взять по бросовой реально цене, будет жрать электричество и тормозить. Ну и не будет надёжным уже и запчасти будет найти сложно. У меня есть подобные на поддержке, типа <gen7 hp на колокейшене. Это всегда боль и ужас. =) Уж лучше бы их выбросили уже и взяли бы что-нибудь в аренду, было бы и шустрее и дешевле.
Реально дома нужен какой-нибудь NAS максимум, но не сервер для хостинга даже домашней странички.
Попробуйте пингануть его из внешней сети.
На ping ответит (или не ответит) не ваш сервер, а роутер.
Для начала вполне норм.
Сайты-визитки и прочие пет-проекты можно положить на бесплатные инстансы, например, в Oracle Cloud. Это реально бесплатно (1 инстанс x86 и до 4 инстансов ARM, если их пилить по 1 ядру и 6GB RAM) и существенно надежнее. И в целом даст освоение еще одной сущности, важной для современного ИТ-шника - работу с облаками.
Для справки, на момент написания публикации (2021) стоимость минимальной VPS на доверенном ресурсе - 400 руб. , стоимость белого ip у моего провайдера - 179 руб.
Тоже имею дома свой сервер, но от белого ip провайдера отказался. Во-первых это не очень правильно с точки зрения безопасности - весь интернет будет стучаться в домашний в роутер, выдержит ли он? Во-вторых - нельзя временно перенести сервер в другое место, например на время отъезда из дома. Ну и наконец, это просто дороже.
Решение этих проблем - это минимальный VPS чуть больше, чем за 100 рублей в месяц, на котором поднимается VPN (в моём случае обычный старый добрый PPTP) и проброс портов в iptables. Всё что приходит на 80 и 443 перенаправляется по VPN ко мне на сервер, остальное блокируется. Самое главное, что теперь мой сервер доступен из интернета, даже в том случае, если сам он подключён через мобильный интернет.
Самый дешевый, что нашёл, 1,65.
Подскажите где дают по 1 ))
"Всё что приходит на 80 и 443 перенаправляется по VPN ко мне на сервер, остальное блокируется. " это Вы погорячились, молодого запутаете.
Открыты порты ssh, vpn, http, https, остальные закрыты. ( drop или reject ? ) - наверно так ))
У автора как то странно, что оба интерфейса на машине с одинаковым IP или я что то не понял?
У RUVDS ещё иногда бывают серверы по 30 рублей. Но, по отзывам, как только вы начнёте создавать заметную нагрузку по трафику, канал урезают.
пользую не выделенный IP от провайдера, прописанный в DNS домена. В силу того, что практически не отключаюсь от провайдера, то и IP не меняется. Смена была один раз уже и не помню из-за чего.
Статический IP от провайдера хорош только если провайдер даёт прописать ещё и обратную запись. В остальное время - можно натравить скрипт, который при обнаружении смены IP просто смотается по API к доменному провайдеру и изменит там записи DNS. Но, потребности в скрипте пока нет - как выше написал, смена произошла только один раз...
Мой провайдер вообще не даёт белых IP. По умолчанию я всё время сижу за NATом. Вообще я думал, что белый IP сейчас редкость.
Смена IP на домене, вообще говоря, процедура не быстрая и может занять до суток. Так что, если нужно быть доступным 24/7, то такой вариант не пройдёт. Но с другой стороны о какой доступности можно говорить, если сервер дома :)
полосатый провайдер выдаёт, но с врубленным firewall по умолчанию - надо зайти в допуслуги и вырубить его полностью и пребудет счастье.
Смена IP на домене, вообще говоря, процедура не быстрая и может занять до суток.
Вообще, до 2 суток.
У меня не критичные сервисы - если и будут недоступны несколько часов, то сильных проблем не будет. Для личных потребностей есть VPN...
домра выдает белую статику в регионах за 20р в месяц.
мена IP на домене, вообще говоря, процедура не быстрая и может занять до суток
Вообще, до 2 суток.Процедура смены весьма быстрая, но зависит от указанных вами TTL в записях домена (SOA, NS и остальные). Можно указать TTL в час — данные будут обновлены менее, чем за час.
Но есть проблема в том, что некоторые провайдеры игнорируют TTL и кешируют записи со временем, взятым «из потолка».
Никто не мешает поставить TTL записей на минимум, тогда поменяется куда быстрее. Но конечно не за пару минут.
К стоимости белого ip еще стоимость электричества надо бы добавить?
А какой в этом смысл?
Если и так есть вдс, зачем куда-то перенаправлять трафик?
Так VDS же минимальный, там ни памяти нет, ни скорости процессора, ни дискового пространства. Нет бэкапа, просрочишь платёж - всё удалят. У меня на сервере несколько ТБ рэйд зеркало, под nextcloud и git. Чувствительные данные. Такое за дёшево не делегировать. Ну и привычка, чтобы моё хранилось у меня. Мои данные, сам за них несу ответственность.
Для статических сайтов визиток вполне подойдёт аренда доменного имени с прописываем резолвинга в IPFS CID нашего сайта. Настройка нулевая, балансировка (если клиенты тоже с IPFS) -- в комплекте. Для надёжности пиним контент сайта в Pinata (1Gb free).
Серверную логику так не сделать, увы ...
Для этого можно исапользовать команду:
cat ~/.ssh/id_rsa.pub | ssh root@ip-адрес-сервера 'cat >> ~/.ssh/authorized_keys'
Может лучше ssh-copy-id использовать?
Хабр версии 2021
Давно понял что такие статьи пишут для комментариев, в них можно найти много полезного, люди пишут свои интересные решения своих задач, такими способами, которые не гуглил бы, в таких местах можно найти описание программ, сервисов, о которых не знал, так сказать обмен опытом людей, которые не будут писать большую статью, но напишут комментарий.
Пользуясь интернетом не один год заметил что сканируют и ломятся туда, где открыто, если на роутере открыть 22 порт, закрыв аутентификацию, через время в логах можно видеть как пытаются на этот 22 порт ломится, добавление ip в чёрный список не так чтоб сильно помогает, адресов у атакующих много, а в данном случае все порты пробрасываются на ноут, где помимо ssh есть другие сервисы, которые смотрят в интернет и подвержены атаке, имхо надо пробрасывать лишь нужные порты, не забывая про бан атакующих.
Если доступ надо только на сайт, даже с динамической ip, имхо удобно использовать cloudflare, на роутере/сервере прописать обновление ip у cloudflare, ns своего dns вынести к ним, получим защиту от атак и так как это прокси, то смена ip происходит сразуже, не нужно ждать какоето время ( у ddns сервисов оно хоть и малое но тоже есть), достаточно роутеру/серваку оперативно оповещать о смене ip. Если адрес уже статика то еще проще. Также на роутере/сервере дать доступ к 80 порту только с адресов cloudflare, так что при переборе ip, атакующий не увидит ничего открытого. Ну и ssl сертификатом будет заниматься cloudflare, и о нем не надо задумываться, хоть настроить letsencrypt и не сложно.
По поводу электричества, тут не все однозначно, если например сервер используется не только для одного сайта, когда гугл закрыл бесплатное хранение фоток, я слепил у себя аналог ( чисто для хранения и бекапа фоток) потом туда и торенты с медиашарой поставил, и телеграм бота и видеонаблюдение сделал из ненужных уже, но еще качественная картинка babycam, и PoE питание всех роутеров и точек с него идет ( изза того что я использовал свое бу оборудование, у меня не было на это больших трат, но сейчас не о этом речь), цена электричества на всё это добро между 100 и 200 гб планов google one, имея больше места, я считаю что я в выигрыше. Есть некоторые минусы, но я с ними смирился и они не мешают мне жить ( как например фотки будут недоступны, если нет света).
По поводу vps а конкретно oracle ( другими не пользовался), vps мне понравилось, и часть задач, которые хочу чтоб были доступны всегда и не связаны с моим домом( файлами, замками, камерами и т д) я запускаю на оракле, понимаю что я не доберусь до 10ТБ лимита, если не попаду под атаку генерирующую трафик, но все равно на карте лежит пару евро и запрет на оверррасход, а все бекапится на дом, вдруг заблокируют. Не знаю как на расход трафика и на нагрузку по атакам смотрят другие VPS провайдеры ( которые за 30-200 руб/мес), всегда есть вероятность что какойто парсер доберется до вашей ip, с ораклом мне было б комфортно терять доступ к серверам после исчерпания 10ТБ, но я понимаю, что им тоже надо зарабатывать))
Удивительно, что в статье нет ни слова про openvpn(gre, ike2, wg, etc) + haproxy.
Хотя навскидку это самый логичный способ пробросить сервис наружу, можно даже фейловер организовать. Или, например, когда домой нужна /28, а техподдержка не понимает о какой палке я вообще говорю. Или например когда точке нужен внешний IP-адрес, а из вариантов есть только USB-модем.
Так что затея топикстартера отнюдь не бессмысленная, но я бы рассматривал её не в контексте экономии 200 рублей, а как практическое занятие по установке reverse proxy.
Также посоветую @the_lll_end познакомиться с Mikrotik CHR. Там в целом можно делать занимательные вещи - например, приземлять "белые" адреса виртуалок в ДЦ напрямую на свои локальные интерфейсы. Лежащий дома свитч с 29 палкой за 300 руб\месяц - отличное подспорье для домашней лабы.
За 181 рубль можно взять VPS у https://king-servers.com/
Так же тут уже поминали на счет безопасности. Я бы порекомендовал хотя бы порты стандартные не использовать. А то и недели не пройдет, как ваш белый IP будет проиндексирован shodan и… В общем оставлять порты по умолчанию — сильно самоуверенно с вашей стороны! )
Не проще ли воспользоваться ngrok? Ну и впска стоит 50р в месяц много у кого.
Вместо статического IP можно использовать бесплатный динамический белый адрес, выдаваемый многими провайдерами по умолчанию + опять же бесплатное Dynamic DNS имя.
А если сервер запускать не на старом компьютере (который может потреблять весьма немало по нынешним временам), а на Raspberry PI или аналогах, то и за электричество почти не придется платить.
Не хочу показаться токсичным, статья написано в целом грамотно, но
1) Очень базово и кратко. Настройка netplan не закончена. После этого зачем-то пихают какой-то tcpdump, новичок знать не знает что это и зачем. Что такое "проброс" и почему DMZ называется DMZ не объяснено. Зачем настраивать фаервол при пробросе и как можно себе отстрелить таким образом ноги - тоже.
Про самое интересное - ssh и fail2ban. В ssh написано про какие-то ключи и отправку их через ssh на сервер используя учётку root, при этом 1) авторизация по паролю изначально для рута отключена (мы же ещё не скинули туда ключ, верно?) 2) зачем этот ключ прописывать в рута, если мы будем заходить под другим пользователем? Как выключить после этого авторизацию по паролю тоже не написано.
Настройки fail2ban в статье вообще нет, только ссылка. Да и вообще, зачем fail2ban для ssh, если мы до этого отключили авторизацию по паролю?
Извините, я понимаю что это новичковая статья, но если бы я был новичком, я бы только запутался, потому что новички обычно просто копируют команды, а их тут мало, а что происходит не особо объясняется, да ещё и с небольшими, но очень неприятными ошибками.
Бонусом в конце проверяем наш сервер из локальной сети. А зачем мы до этого делали все эти действия?
Я тут не пишу статьи и комментарии, возможно меня сейчас утопят, но просто хочу обезопасить неопытных юзеров, которые пришли сюда за знаниями по администрированию.
Очень много текста неочем. Достаточно было просто пробросить порт с роутера на комп и все. Причём тут fail2ban? Пробрлсом порта можно было ограничится. Так много текста неимеющего никакого отношения к теме статьи
Как запустить свой сервер с белым ip из локальной домашней сети