Domaci server, NAS, maskovanie verejnej IP za Proxy

mmcc

Domaci server, NAS, maskovanie verejnej IP za Proxy
« kdy: 08. 05. 2023, 10:28:23 »
Mam doma na Rpi rozbehanu Grafanu s Mosquito. Obcas nieco potrebujem zdielat aj z NAS. Mam verejenu staticku IP. Grafanu chcem pustit verejne, dat link na web... Ale mam obavy "verejne prezradit" moju domacu IP.

Napadlo mi spravit nejaky lacny low cost VPS na ktorom by bezalo proxy. To by "zamaskovalo, prelozilo" domacu IP, tak aby sa z pohladu internetu moja domaca IP tvarila ako IP VPS. Z internetu by sa pristupovalo na VPS, proxy by requesty "redirectlo" na domacu IP. Tiez tak, ak niekto spusti traceroute, tak VPS Proxy bude posledny hop.
Nikdy som taketo veci nenastavoval, da sa to vobec? je moje uvazovanie spravne? Ake proxy na to pouzit? Haproxy? Nginx? Traefik? resp ake klucove slova dat do google? Netusim ako to nastavit.

Tiez este druha otazka. Na grafane mam na lokalnej sieti self signed certifikat (https). Mam v plane ho vymenit za Letsencrypt. Domena.com bude smerovat na IP VPS. Je tam riziko, ze "maskovanie, preklad IP" bude robit problem pri https? Alebo mam Letsencryp dat na VPS aby sa o https staralo proxy? (Letsencryp som tiez este nikde nedaval)

Vopred dakujem za odpovede.


Re:Domaci server, NAS, maskovanie verejnej IP za Proxy
« Odpověď #1 kdy: 08. 05. 2023, 10:33:52 »
K čemu by to maskování bylo dobré? Píšete o veřejné statické IP, takže předpokládám, že jde o IPv4 adresu. Adresní IPv4 prostor je tak malý, že ho útočníci běžně proskenují celý. Takže kdo chce, o vaší IPv4 adrese už dávno ví.

alex6bbc

  • *****
  • 1 615
    • Zobrazit profil
    • E-mail
Re:Domaci server, NAS, maskovanie verejnej IP za Proxy
« Odpověď #2 kdy: 08. 05. 2023, 10:49:19 »
je dobre vzdycky zauvazovat nad vhodnym nastrojem.

neoteviral bych cely nas do internetu, vhodnejsi by bylo pozadovane soubory/slozky publikovat pres https
a nastavit si na webserveru aspon zakladni prihlasovaci udaje at tam nemuze kazdy.
nebo stahovat pomoci ssh/scp s klicem a nikoliv heslem.
« Poslední změna: 08. 05. 2023, 10:53:02 od alex6bbc »

Re:Domaci server, NAS, maskovanie verejnej IP za Proxy
« Odpověď #3 kdy: 08. 05. 2023, 11:38:50 »
pokud to budeš řešit přes vps máš na výběr víc možností:
-prostý tcp forwarding (možná i socat), spustíš si doma(buď na nasu nebo routeru) ssh vps.com -R *:4435:nas.local:443
-tunelování sítě (na vps port forwarding  na nas), nutno přidat routu do vnitřní sítě, favorit je wireguard než ssh -w
-reverzní proxy server (server na vps poslouchá na http/s a posílá do interní sítě)

(ssh jako příklad jenom, praktický  problém je zajištění obnovení spojení po výpadku a dost snižuje rychost)

každé má své něco, taky záleží, jestli podobných věcí řešíš víc a cceš je sdružit
taky záleží, jestli chceš vidět  reálnou IP klientů. Pokud ne, můžeš to natovat na vps a ušetří to nějaké nastavovámní rout a policy routingu(ip rule add  ; ip route add ... table xyz; přípane iptables -t mangle -m connmark)


Mám  s tím zkušenosti, sestavoval jsem to, nejde o teoretické chvástání.
-jen telegraficky-