= Configurando um VPS barato para proteger a conexão doméstica? =
No momento, estou expondo serviços diretamente de minha conexão residencial (por meio de um proxy reverso caddy), o que significa que abri as portas 80 e 443. Obviamente, não é uma boa ideia. Adoro a ideia de acessar meus serviços sem precisar me conectar por meio de uma VPN e estou disposto a correr alguns riscos.
Portanto, concluí que devo obter um VPS barato que basicamente apenas encapsula as solicitações para essas 2 portas para minha casa por meio de uma conexão wireguard.
Olhando para as ofertas de lowendbox, a maioria delas parece estar nos Estados Unidos, enquanto eu estou na Europa. A diferença entre os preços dos VPS nos EUA e na Europa é de cerca de 15 a 20 euros. Não muito, mas se eu puder fazer mais barato eu farei. Você acha que a latência será muito perceptível? Provavelmente vale a pena ter um VPS mais perto de casa, certo?
Ionos tem o nível vps perfeito para isso. 1 euro VPS S. Fica esse preço para sempre. Tráfego ilimitado verdadeiro de 400Mbit/s. Nenhum uso justo bs. DC na Alemanha, EUA e alguns outros locais iirc. Estou com eles há 4 anos, acho, e apenas uma vez tive um problema que desapareceu após algumas horas. O ping estava "alto"em cerca de 40ms com 2% de perda de pacote. Eu posso recomendá-los. Caso contrário, use o nível gratuito de oráculos. Opção válida também.
Não tenho certeza se isso realmente protege você de qualquer coisa, pode até piorar as coisas. Provavelmente, há mais bots verificando os intervalos de IP dos provedores VPS do que aqueles que verificam os IPs residenciais. Não tenho certeza sobre isso.
Se você fizer o encaminhamento de porta direto, a atividade maliciosa em relação ao seu VPS será encaminhada apenas para o seu servidor doméstico. A única diferença é o IP de destino.
Hospede um proxy reverso no VPS, que faz o proxy das solicitações pelo Wireguard. Eu adicionaria o Crowdsec no VPS também, ele pode detectar alguma atividade maliciosa, por exemplo. O Nginx registra e bloqueia esses IPs no firewall. Isso dará alguma proteção. Ele também bloqueará uma lista conhecida de IPs ruins por padrão, que é atualizada regularmente. Muito fácil de configurar, embora quando pesquiso algo no meu Nextcloud, clicar em "mostrar mais"parece ser detectado como sondagem HTTP e sou bloqueado se fizer isso muitas vezes consecutivamente.
Eu também usei o proxy Cloudflare para mascarar meu IP doméstico até muito recentemente, mas depois de ler sobre isso, tenho certeza de que os benefícios são muito poucos para um pequeno auto-hospedador como nós. Para o Nextcloud mencionado, estou obtendo melhor desempenho com uma conexão direta sem o proxy CF, pelo menos parece. Do ponto de vista da privacidade, isso também é melhor, não que eu realmente acredite que o CF se preocupe com o conteúdo do meu tráfego.
Para o provedor VPS, procure na Hetzner, eles têm DCs na Europa com desempenho muito bom e preços bastante acessíveis, com bastante tráfego de saída incluído. Uma boa interface de usuário da web também. A menor opção é suficiente para esse fim. Eu diria que vale a pena pagar um pouco mais por um provedor que tenha DCs perto de você.
Obs. Não sou afiliado à Crowdsec ou Hetzner, apenas um usuário feliz.
Faria sentido pular o Wireguard e configurar seu firewall doméstico para permitir apenas 80/443 do seu VPS?
Dessa forma, apenas as solicitações vindas do seu proxy podem passar pelo firewall e você não terá um túnel completo para a infraestrutura da sua casa se o seu VPS for comprometido. Obviamente, requer que você tenha um IP público estático em seu VPS, mas com o nível gratuito da Oracle, eles também são gratuitos.
A menor máquina virtual de CPU compartilhada na Linode custa $ 5 USD mensalmente, cobrada por hora, e você pode obter um crédito de $ 100 hoje em dia (o saldo expira em 60 dias após o início).
httpswww.linode.com/pricing/
O Digital Ocean tem algo semelhante. Vultr também, embora seu teste seja de 14 dias IIRC.
Todos têm centros de dados na Europa. Usar um deles?
Não tenho certeza de qual segurança adicional você ganharia com isso - se quiser filtrar certos visitantes, você pode executar um firewall em seu servidor doméstico tão bem quanto em um VPS e, como você está apenas encapsulando o tráfego através do VPS, qualquer um quem vir uma vulnerabilidade em seu servidor entrará de qualquer maneira.
Você também pode executar seu servidor em uma DMZ ou VLAN separada em casa.
== Sobre a comunidade ==
Membros
Online
Reddit
