Jump to content
XPEnology Community

Reverse proxy, расскажите кто как использует


Recommended Posts

Играюсь с reverse proxy, как то не очень с пониманием полезности пока, плохо быть бестолковым :-).

Расскажите, кто для чего ее применяет, на личном опыте дайте примеры, плииз.

Link to comment
Share on other sites

5 hours ago, i926 said:

Неплохая статейка, возможно она внесёт чуть более ясности в ваши пытания

https://mariushosting.com/synology-how-to-use-reverse-proxy/

Да, спасибо, именно эта статейка и сподвигла меня попробовать. Вроде работает. Но не могу пока придумать, зачем оно мне надо (хаха :-)), потому и спрашиваю примеры использования, кто как это применяет...

Link to comment
Share on other sites

1 hour ago, SergeS said:

зачем оно мне надо

Например, для повышения безопасности НАСа при необходимости открыватьнаружу много сервисов и портов. Реверспрокси позволит все это сделать всего с помощью пары портов.

Link to comment
Share on other sites

51 minutes ago, QwertRob said:

Например, для повышения безопасности НАСа при необходимости открыватьнаружу много сервисов и портов. Реверспрокси позволит все это сделать всего с помощью пары портов.

Непонятно... Можно конкретный пример? Вы лично реверс прокси используете? Как конкретно?

Я так понял, что вместо открытого внешнего порта, перенаправляемого на определенный сервис внутри вашей домашней сети, используется отдельный домен, перенаправляемый туда же... В чем тогда выигрыш по безопасности?

Edited by SergeS
Link to comment
Share on other sites

1 minute ago, QwertRob said:

В том, что меньше открытых портов в мир смотрит.

Ну хорошо, портов меньше, зато доменов больше.  И взламывают ведь внутренний ip/порт/сервис, какая разница как злоумышленник туда попадает, через открытый внешний порт или через внешнее доменное имя? Или я что то не понимаю?

Link to comment
Share on other sites

1 hour ago, SergeS said:

Или я что то не понимаю?

Очевидно да.

Авто сканеры пробуют целые субнеты и когда находят адрес, который отвечает, пробуют все известные порты, что бы обнаружить запущеные службы. По имени домена атаки в основном только целенаправленые, не массовые.

Многие атаки идут на разные сервисы (порты) напрямую. Например на DNS, FTP, Rsync и пр. В случае если используется только один или минимальное количество портов, точек для атак будет меньше. Кроме того, прямого соединения с другими сервисами не будет и зловредный код к сервису может не попасть. Прокси его не передаст т.к. просто не поймет другой протокол.

  • Thanks 1
Link to comment
Share on other sites

1 hour ago, XPEH said:

Очевидно да.

Авто сканеры пробуют целые субнеты и когда находят адрес, который отвечает, пробуют все известные порты, что бы обнаружить запущеные службы. По имени домена атаки в основном только целенаправленые, не массовые.

Многие атаки идут на разные сервисы (порты) напрямую. Например на DNS, FTP, Rsync и пр. В случае если используется только один или минимальное количество портов, точек для атак будет меньше. Кроме того, прямого соединения с другими сервисами не будет и зловредный код к сервису может не попасть. Прокси его не передаст т.к. просто не поймет другой протокол.

Ладно, убедили, спасибо.

А кто как конкретно использует? All, накидайте примеров использования, как лично вы используете reverse proxy, для каких сервисов?

 

И еще вопрос - у меня домен на Google Domains, скажем к примеру goodguy.org.
И я использую DDNS service от тех же Google Domains. Для каждого сервиса использующего reverse proxy должен быть свой свой поддомен, скажем к примеру для двух сервисов: serv1.goodguy.org и serv2.goodguy.org.
Для правильного обновления DDNS все три домена (основной goodguy.org и два поддомена serv1.goodguy.org, serv2.goodguy.org) должны быть прописаны и в  DDNS секции в админке Google Domains, и на клиенте, то есть на Xpenology (предполагаем, что сервисы именно там). Но DSM позволяет задать только один домен для каждого провайдера  DDNS сервиса. Расскажите, как вы это обходите?
p.s. После написания понял, что мой вопрос скорее не про reverse proxy, а про multiple domains на Google Domains DDNS, но уже решил не задавать отдельный вопрос...

Edited by SergeS
Link to comment
Share on other sites

Я не пользуюсь Google domains , у меня регистрация доменов у другого провайдера. Там позволяется задать маску *.mydimain.com. Кроме того можно на один домен создать доп. Псевдонимы с помощью записей CNAME. Например. CNAME App1.mydomain.com = mydomain.com. Наверняка у google есть что похожее. 

P.S.

Проверил. Точно есть и *.mydomain.com и CNAME. т.е. полная совместимость с Интернет DNS стандартами.

Edited by XPEH
  • Thanks 1
Link to comment
Share on other sites

16 hours ago, XPEH said:

Я не пользуюсь Google domains , у меня регистрация доменов у другого провайдера. Там позволяется задать маску *.mydimain.com. Кроме того можно на один домен создать доп. Псевдонимы с помощью записей CNAME. Например. CNAME App1.mydomain.com = mydomain.com. Наверняка у google есть что похожее. 

P.S.

Проверил. Точно есть и *.mydomain.com и CNAME. т.е. полная совместимость с Интернет DNS стандартами.

А где вы проверяли? Как с этим взлететь то?

Я в гуглодоменовской админке в чате саппорта спросил как сделать, что б не только mydomain.org работал, но и www.mydomain, так мне явно сказали, что надо два рекорда в DDNS section прописать, и даже скриншот прислали. Ну и понятно, хотя этого и не говорили, что эти оба рекорда надо обновлять, иначе ж не работает...

Link to comment
Share on other sites

Просто посмотрел в описании какие типы записек поддерживаются

https://support.google.com/domains/answer/10751068

https://support.google.com/domains/answer/3290350?hl=en&ref_topic=9018335#zippy=%2Cadd-a-resource-record%2Ctype-of-resource-record%2Chost-name

Сделайте одну запись А (адрес) на основной домен с поддержкой обновления и добавьте CNAME записи на доп домены с указанием на основной домен.

В тех поддержке работают разные люди и уровень их знаний иногда далеко не высокий. Читают вам инструкцию сами не понимая что именно делают. К тому же важно правильно задать вопрос, а это уже от вас зависит.

  • Thanks 1
Link to comment
Share on other sites

20 часов назад, SergeS сказал:

А кто как конкретно использует? All, накидайте примеров использования, как лично вы используете reverse proxy, для каких сервисов?

Например свой домен. На nas bind в  docker с настроенными view - home и world. В этом же docker letsencrypt по dns wild card c dynamic dns update.

На хосте nas - скрипт в кроне который копирует изменившиеся сертификаты из контейнера в приложения и в родной nginx, а так же на удаленный vps.

На хосте NAS 11 приложений в docker (sonarr, radarr, prowlarr, home assistan, vscode и тд). Доступ к web этих приложений в docker через хостовый реверс прокси по реальному хостнейму (https->http). Все приложения поднимаю в контейнерах, через реверс прокси на веб контейнеров удобно.

 

  • Thanks 1
Link to comment
Share on other sites

3 hours ago, Crnet said:

Например свой домен. На nas bind в  docker с настроенными view - home и world. В этом же docker letsencrypt по dns wild card c dynamic dns update.

На хосте nas - скрипт в кроне который копирует изменившиеся сертификаты из контейнера в приложения и в родной nginx, а так же на удаленный vps.

На хосте NAS 11 приложений в docker (sonarr, radarr, prowlarr, home assistan, vscode и тд). Доступ к web этих приложений в docker через хостовый реверс прокси по реальному хостнейму (https->http). Все приложения поднимаю в контейнерах, через реверс прокси на веб контейнеров удобно.

 

О, круто, 11 приложений! Спасибо, что поделились... А домен случайно не на Google Domains? :-)

Link to comment
Share on other sites

10 hours ago, XPEH said:

Просто посмотрел в описании какие типы записек поддерживаются

https://support.google.com/domains/answer/10751068

https://support.google.com/domains/answer/3290350?hl=en&ref_topic=9018335#zippy=%2Cadd-a-resource-record%2Ctype-of-resource-record%2Chost-name

Сделайте одну запись А (адрес) на основной домен с поддержкой обновления и добавьте CNAME записи на доп домены с указанием на основной домен.

В тех поддержке работают разные люди и уровень их знаний иногда далеко не высокий. Читают вам инструкцию сами не понимая что именно делают. К тому же важно правильно задать вопрос, а это уже от вас зависит.

Спасибо, попробую. Никогда не пробовал вот эти все A, CNAME и т.д. записи делать, надо же начинать :-)

Link to comment
Share on other sites

Сорри, вклинусь. Кто не хочет знать, тот покупает, например, кинетик, но как только чужое облако рухается, начинает думать! Особенно о своем IP. )))

Link to comment
Share on other sites

Согласен. Если планируется внешний доступ, то по крайней мере основы работы адресации нужно знать и понимать их взаимодействие. 

Link to comment
Share on other sites

В 08.08.2022 в 00:08, SergeS сказал:

О, круто, 11 приложений! Спасибо, что поделились... А домен случайно не на Google Domains?

свой ns сервер же на nas для view - home world и апдейта сертификата летсенкрипт по dns. В облаках slave зоны, они могут быть где угодно.

  • Thanks 1
Link to comment
Share on other sites

  • 2 weeks later...

На семере он себя плохо ведет, отказывается прокидывать на другие ipшники - 400 Bad request и кирдык, вчера часа 2 убил, пытался виртуалку с Home assistant прокинуть, не вышло 😡. На 6.2. все работало.

  • Thanks 1
Link to comment
Share on other sites

9 hours ago, Amoureux said:

У меня все никак руки не дойдут слезть с обратного прокси от Synology ,  и использовать  nginx или traefik в docker. 

А почему хотите перелезть?

Edited by SergeS
Link to comment
Share on other sites

1 час назад, SergeS сказал:

А почему хотите перелезть?

После последнего обновления до 7.1.1 RC слетели некоторые настройки в обратном прокси от Synology, из-за чего поломалась авторизация в почте. К тому же, на пример, в Traefik сертификаты автоматически добавляются для любого добавленного сервиса. 

Link to comment
Share on other sites

26 minutes ago, Amoureux said:

После последнего обновления до 7.1.1 RC слетели некоторые настройки в обратном прокси от Synology, из-за чего поломалась авторизация в почте. К тому же, на пример, в Traefik сертификаты автоматически добавляются для любого добавленного сервиса. 

Понятно, спасибо... ще один повод пока оставаться на 6 :-)

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...