= Налаштування дешевого VPS для захисту домашнього з’єднання? =
Наразі я відкриваю послуги безпосередньо зі свого домашнього з’єднання (через зворотний проксі-сервер Caddy), що означає, що я відкрив порти 80 і 443. Очевидно, це не чудова ідея. Мені подобається ідея доступу до моїх послуг без підключення через VPN, і я готовий піти на певний ризик.
Тож я дійшов висновку, що мені слід придбати дешевий VPS, який, по суті, тунелює лише запити до цих 2 портів до мого дому через з’єднання Wireguard.
Дивлячись на пропозиції на lowendbox, більшість з них, здається, знаходяться в США, а я в Європі. Різниця між цінами на VPS у США та Європі становить від 15 до 20 євро. Не дуже багато, але якщо я можу зробити дешевше, я зроблю. Як ви думаєте, затримка буде дуже помітною? Ймовірно, це варте грошей, щоб встановити VPS ближче до дому, чи не так?
Ionos має для цього ідеальний рівень vps. 1 євро VPS S. Ціна залишається назавжди. Справжній необмежений трафік 400 Мбіт/с. Немає добросовісного використання bs. DC у Німеччині, США та деяких інших місцях iirc. Я з ними, здається, з 4 років, і лише один раз у мене була проблема, яка зникла сама через кілька годин. Ping був «високим» на рівні близько 40 мс з 2 відсотками втрати пакетів. Я можу їх порекомендувати. Інакше використовуйте безкоштовний рівень оракулів. Теж дійсний варіант.
Я не впевнений, що це насправді захищає вас від чогось, навіть може погіршити ситуацію. Швидше за все, більше ботів сканують IP-діапазони постачальників VPS, ніж тих, хто сканує локальні IP-адреси. Не впевнений у цьому.
Якщо ви виконуєте пряме перенаправлення портів, зловмисна активність щодо вашого VPS буде просто перенаправлена на ваш домашній сервер. Єдина відмінність полягає в цільовому IP.
Розмістіть зворотний проксі на VPS, який надсилає запити через Wireguard. Я б також додав Crowdsec у VPS, він може виявляти зловмисну активність, напр. Nginx реєструє та блокує ці IP-адреси на брандмауері. Це дасть певний захист. Він також блокуватиме відомий список поганих IP-адрес за умовчанням, який регулярно оновлюється. Дуже легко налаштувати, хоча, коли я шукаю щось у своєму Nextcloud, натискання «показати більше», здається, виявляється як перевірка HTTP, і я блокуюся, якщо роблю це занадто багато разів поспіль.
Донедавна я також використовував проксі-сервер Cloudflare для маскування моєї домашньої IP-адреси, але, прочитавши про це, я цілком упевнений, що переваги для невеликого хостера, як ми, дуже незначні. Для згаданого Nextcloud я отримую кращу продуктивність за допомогою прямого з’єднання без проксі CF, принаймні так здається. З точки зору конфіденційності це також краще, не те щоб я справді вірив, що CF піклується про вміст мого трафіку.
Щодо постачальника VPS, подивіться на Hetzner, у них є DC в Європі з дуже хорошою продуктивністю та цілком доступними цінами, з великою кількістю вихідного трафіку. Також хороший веб-інтерфейс. Для цього цілком достатньо самого маленького варіанту. Я б сказав, що платити трохи більше за постачальника, який має DC поблизу вас, того варте.
Пс. Я не пов’язаний з Crowdsec або Hetzner, просто щасливий користувач.
Чи має сенс пропустити Wireguard і налаштувати свій домашній брандмауер, щоб дозволяти лише 80/443 з вашого VPS?
Таким чином лише запити, що надходять через ваш проксі-сервер, зможуть пройти через ваш брандмауер, і ви не матимете повного тунелю до домашньої інфраструктури, якщо ваш VPS буде скомпрометовано. Очевидно, що для цього потрібно мати статичну загальнодоступну IP-адресу на своєму VPS, але з безкоштовним рівнем Oracle вони також надають її безкоштовно.
Найменша віртуальна машина зі спільним ЦП у Linode коштує 5 доларів США на місяць, плата виставляється щогодини, і ви можете отримати кредит у 100 доларів США (термін дії балансу закінчується через 60 днів після початку).
httpswww.linode.com/pricing/
У Digital Ocean є щось подібне. Vultr також, хоча їх випробування триває 14 днів IIRC.
Усі мають центри обробки даних у Європі. Використовувати один із них?
Не дуже впевнений, яку додаткову безпеку ви отримаєте завдяки цьому – якщо ви хочете відфільтрувати певних відвідувачів, ви можете запустити брандмауер на домашньому сервері так само добре, як і на VPS, і оскільки ви просто тунелюєте трафік через VPS, будь-хто хто побачить уразливість у вашому сервері, потрапить незалежно від цього.
Ви також можете просто запустити свій сервер у DMZ або окремій VLAN вдома.
== Про спільноту ==
Члени
Онлайн
Reddit
