= Configurer un VPS bon marché pour protéger la connexion à domicile ? =
J'expose actuellement des services directement à partir de ma connexion résidentielle (via un proxy inverse de caddie), ce qui signifie que j'ai ouvert les ports 80 et 443. Évidemment, ce n'est pas une bonne idée. J'aime l'idée d'accéder à mes services sans avoir à me connecter via un VPN, et je suis prêt à prendre des risques.
J'ai donc conclu que je devrais obtenir un VPS bon marché qui ne tunnelise que les requêtes vers ces 2 ports vers ma maison via une connexion wireguard.
En regardant les offres sur lowendbox, la plupart d'entre elles semblent être aux États-Unis, alors que je suis en Europe. La différence entre les prix des VPS américains et européens est d'environ 15 à 20 euros. Pas super mais si je peux faire moins cher je le ferai. Pensez-vous que la latence sera très perceptible ? Cela vaut probablement la peine d'avoir un VPS plus près de chez vous, n'est-ce pas ?
Ionos a le niveau vps parfait pour cela. 1 euro VPS S. Reste ce prix pour toujours. 400Mbit/s véritable trafic illimité. Pas d'utilisation équitable bs. DC en Allemagne, aux États-Unis et dans certains autres endroits iirc. Je suis avec eux depuis 4 ans je crois et une seule fois j'ai eu un problème qui a disparu de lui-même au bout de quelques heures. Le ping était "élevé"à environ 40 ms avec une perte de paquets de 2 %. Je peux les recommander. Sinon, utilisez le niveau gratuit d'oracles. Option valide aussi.
Je ne suis pas sûr que cela vous protège réellement de quoi que ce soit, pourrait même aggraver les choses. Il y a très probablement plus de robots qui analysent les plages IP des fournisseurs de VPS qu'il n'y en a qui analysent les adresses IP résidentielles. Pas sûr de ça.
Si vous effectuez une redirection de port directe, l'activité malveillante vers votre VPS sera simplement transmise à votre serveur domestique. La seule différence est l'adresse IP cible.
Hébergez un proxy inverse sur le VPS, qui transmet les requêtes via Wireguard. J'ajouterais également Crowdsec dans le VPS, il peut détecter certaines activités malveillantes, par exemple. Nginx enregistre et bloque ces adresses IP sur le pare-feu. Cela donnera une certaine protection. Il bloquera également une liste connue de mauvaises adresses IP par défaut, qui est mise à jour régulièrement. Très facile à configurer, même si lorsque je recherche quelque chose sur mon Nextcloud, cliquer sur "afficher plus"semble être détecté comme un sondage HTTP, et je suis bloqué si je le fais trop de fois consécutivement.
J'ai également utilisé le proxy Cloudflare pour masquer mon IP domestique jusqu'à très récemment, mais après avoir lu à ce sujet, je suis à peu près sûr que les avantages sont très rares pour un petit auto-hébergeur comme nous. Pour le Nextcloud mentionné, j'obtiens de meilleures performances avec une connexion directe sans le proxy CF, du moins ça en a l'air. Du point de vue de la confidentialité, c'est également mieux, non pas que je pense vraiment que CF se soucie du contenu de mon trafic.
Pour le fournisseur de VPS, regardez chez Hetzner, ils ont des DC en Europe avec de très bonnes performances et des prix assez abordables, avec beaucoup de trafic sortant inclus. Une belle interface utilisateur Web aussi. La plus petite option est tout à fait suffisante à cette fin. Je dirais que payer un peu plus pour un fournisseur qui a des DC près de chez vous en vaut la peine.
Ps. Je ne suis pas affilié à Crowdsec ou Hetzner, juste un utilisateur heureux.
Serait-il judicieux d'ignorer Wireguard et de configurer votre pare-feu domestique pour n'autoriser que 80/443 depuis votre VPS ?
De cette façon, seules les requêtes provenant de votre proxy peuvent passer à travers votre pare-feu, et vous n'avez pas de tunnel complet dans votre infrastructure domestique si votre VPS est compromis. Cela nécessite évidemment que vous ayez une adresse IP publique statique sur votre VPS, mais avec le niveau gratuit d'Oracle, ils les donnent également gratuitement.
La plus petite machine virtuelle à processeur partagé chez Linode coûte 5 USD par mois, facturée à l'heure, et vous pouvez obtenir un crédit de 100 USD ces jours-ci (le solde expire dans 60 jours après votre démarrage).
https://www.linode.com/pricing/
Digital Ocean a quelque chose de similaire. Vultr aussi, bien que leur essai dure 14 jours IIRC.
Tous ont des centres de données en Europe. En utiliser un ?
Vous ne savez pas trop quelle sécurité supplémentaire vous gagneriez avec cela - si vous voulez filtrer certains visiteurs, vous pouvez exécuter un pare-feu sur votre serveur domestique aussi bien que sur un VPS, et puisque vous ne faites que tunneliser le trafic via le VPS, n'importe qui qui voit une vulnérabilité dans votre serveur entrera malgré tout.
Vous pourriez tout aussi bien exécuter votre serveur dans une DMZ ou un VLAN séparé à la maison.
== À propos de la communauté ==
Membres
En ligne
Reddit
