SergeS Posted August 6, 2022 #1 Posted August 6, 2022 Играюсь с reverse proxy, как то не очень с пониманием полезности пока, плохо быть бестолковым :-). Расскажите, кто для чего ее применяет, на личном опыте дайте примеры, плииз. Quote
i926 Posted August 6, 2022 #2 Posted August 6, 2022 Неплохая статейка, возможно она внесёт чуть более ясности в ваши пытания https://mariushosting.com/synology-how-to-use-reverse-proxy/ 1 Quote
SergeS Posted August 6, 2022 Author #3 Posted August 6, 2022 5 hours ago, i926 said: Неплохая статейка, возможно она внесёт чуть более ясности в ваши пытания https://mariushosting.com/synology-how-to-use-reverse-proxy/ Да, спасибо, именно эта статейка и сподвигла меня попробовать. Вроде работает. Но не могу пока придумать, зачем оно мне надо (хаха ), потому и спрашиваю примеры использования, кто как это применяет... Quote
QwertRob Posted August 6, 2022 #4 Posted August 6, 2022 1 hour ago, SergeS said: зачем оно мне надо Например, для повышения безопасности НАСа при необходимости открыватьнаружу много сервисов и портов. Реверспрокси позволит все это сделать всего с помощью пары портов. Quote
SergeS Posted August 6, 2022 Author #5 Posted August 6, 2022 (edited) 51 minutes ago, QwertRob said: Например, для повышения безопасности НАСа при необходимости открыватьнаружу много сервисов и портов. Реверспрокси позволит все это сделать всего с помощью пары портов. Непонятно... Можно конкретный пример? Вы лично реверс прокси используете? Как конкретно? Я так понял, что вместо открытого внешнего порта, перенаправляемого на определенный сервис внутри вашей домашней сети, используется отдельный домен, перенаправляемый туда же... В чем тогда выигрыш по безопасности? Edited August 6, 2022 by SergeS Quote
QwertRob Posted August 6, 2022 #6 Posted August 6, 2022 2 hours ago, SergeS said: В чем тогда выигрыш по безопасности? В том, что меньше открытых портов в мир смотрит. Quote
SergeS Posted August 6, 2022 Author #7 Posted August 6, 2022 1 minute ago, QwertRob said: В том, что меньше открытых портов в мир смотрит. Ну хорошо, портов меньше, зато доменов больше. И взламывают ведь внутренний ip/порт/сервис, какая разница как злоумышленник туда попадает, через открытый внешний порт или через внешнее доменное имя? Или я что то не понимаю? Quote
XPEH Posted August 6, 2022 #8 Posted August 6, 2022 1 hour ago, SergeS said: Или я что то не понимаю? Очевидно да. Авто сканеры пробуют целые субнеты и когда находят адрес, который отвечает, пробуют все известные порты, что бы обнаружить запущеные службы. По имени домена атаки в основном только целенаправленые, не массовые. Многие атаки идут на разные сервисы (порты) напрямую. Например на DNS, FTP, Rsync и пр. В случае если используется только один или минимальное количество портов, точек для атак будет меньше. Кроме того, прямого соединения с другими сервисами не будет и зловредный код к сервису может не попасть. Прокси его не передаст т.к. просто не поймет другой протокол. 1 Quote
SergeS Posted August 6, 2022 Author #9 Posted August 6, 2022 (edited) 1 hour ago, XPEH said: Очевидно да. Авто сканеры пробуют целые субнеты и когда находят адрес, который отвечает, пробуют все известные порты, что бы обнаружить запущеные службы. По имени домена атаки в основном только целенаправленые, не массовые. Многие атаки идут на разные сервисы (порты) напрямую. Например на DNS, FTP, Rsync и пр. В случае если используется только один или минимальное количество портов, точек для атак будет меньше. Кроме того, прямого соединения с другими сервисами не будет и зловредный код к сервису может не попасть. Прокси его не передаст т.к. просто не поймет другой протокол. Ладно, убедили, спасибо. А кто как конкретно использует? All, накидайте примеров использования, как лично вы используете reverse proxy, для каких сервисов? И еще вопрос - у меня домен на Google Domains, скажем к примеру goodguy.org. И я использую DDNS service от тех же Google Domains. Для каждого сервиса использующего reverse proxy должен быть свой свой поддомен, скажем к примеру для двух сервисов: serv1.goodguy.org и serv2.goodguy.org. Для правильного обновления DDNS все три домена (основной goodguy.org и два поддомена serv1.goodguy.org, serv2.goodguy.org) должны быть прописаны и в DDNS секции в админке Google Domains, и на клиенте, то есть на Xpenology (предполагаем, что сервисы именно там). Но DSM позволяет задать только один домен для каждого провайдера DDNS сервиса. Расскажите, как вы это обходите? p.s. После написания понял, что мой вопрос скорее не про reverse proxy, а про multiple domains на Google Domains DDNS, но уже решил не задавать отдельный вопрос... Edited August 6, 2022 by SergeS Quote
XPEH Posted August 6, 2022 #10 Posted August 6, 2022 (edited) Я не пользуюсь Google domains , у меня регистрация доменов у другого провайдера. Там позволяется задать маску *.mydimain.com. Кроме того можно на один домен создать доп. Псевдонимы с помощью записей CNAME. Например. CNAME App1.mydomain.com = mydomain.com. Наверняка у google есть что похожее. P.S. Проверил. Точно есть и *.mydomain.com и CNAME. т.е. полная совместимость с Интернет DNS стандартами. Edited August 7, 2022 by XPEH 1 Quote
SergeS Posted August 7, 2022 Author #11 Posted August 7, 2022 16 hours ago, XPEH said: Я не пользуюсь Google domains , у меня регистрация доменов у другого провайдера. Там позволяется задать маску *.mydimain.com. Кроме того можно на один домен создать доп. Псевдонимы с помощью записей CNAME. Например. CNAME App1.mydomain.com = mydomain.com. Наверняка у google есть что похожее. P.S. Проверил. Точно есть и *.mydomain.com и CNAME. т.е. полная совместимость с Интернет DNS стандартами. А где вы проверяли? Как с этим взлететь то? Я в гуглодоменовской админке в чате саппорта спросил как сделать, что б не только mydomain.org работал, но и www.mydomain, так мне явно сказали, что надо два рекорда в DDNS section прописать, и даже скриншот прислали. Ну и понятно, хотя этого и не говорили, что эти оба рекорда надо обновлять, иначе ж не работает... Quote
XPEH Posted August 7, 2022 #12 Posted August 7, 2022 Просто посмотрел в описании какие типы записек поддерживаются https://support.google.com/domains/answer/10751068 https://support.google.com/domains/answer/3290350?hl=en&ref_topic=9018335#zippy=%2Cadd-a-resource-record%2Ctype-of-resource-record%2Chost-name Сделайте одну запись А (адрес) на основной домен с поддержкой обновления и добавьте CNAME записи на доп домены с указанием на основной домен. В тех поддержке работают разные люди и уровень их знаний иногда далеко не высокий. Читают вам инструкцию сами не понимая что именно делают. К тому же важно правильно задать вопрос, а это уже от вас зависит. 1 Quote
Crnet Posted August 7, 2022 #13 Posted August 7, 2022 20 часов назад, SergeS сказал: А кто как конкретно использует? All, накидайте примеров использования, как лично вы используете reverse proxy, для каких сервисов? Например свой домен. На nas bind в docker с настроенными view - home и world. В этом же docker letsencrypt по dns wild card c dynamic dns update. На хосте nas - скрипт в кроне который копирует изменившиеся сертификаты из контейнера в приложения и в родной nginx, а так же на удаленный vps. На хосте NAS 11 приложений в docker (sonarr, radarr, prowlarr, home assistan, vscode и тд). Доступ к web этих приложений в docker через хостовый реверс прокси по реальному хостнейму (https->http). Все приложения поднимаю в контейнерах, через реверс прокси на веб контейнеров удобно. 1 Quote
SergeS Posted August 7, 2022 Author #14 Posted August 7, 2022 3 hours ago, Crnet said: Например свой домен. На nas bind в docker с настроенными view - home и world. В этом же docker letsencrypt по dns wild card c dynamic dns update. На хосте nas - скрипт в кроне который копирует изменившиеся сертификаты из контейнера в приложения и в родной nginx, а так же на удаленный vps. На хосте NAS 11 приложений в docker (sonarr, radarr, prowlarr, home assistan, vscode и тд). Доступ к web этих приложений в docker через хостовый реверс прокси по реальному хостнейму (https->http). Все приложения поднимаю в контейнерах, через реверс прокси на веб контейнеров удобно. О, круто, 11 приложений! Спасибо, что поделились... А домен случайно не на Google Domains? Quote
SergeS Posted August 7, 2022 Author #15 Posted August 7, 2022 10 hours ago, XPEH said: Просто посмотрел в описании какие типы записек поддерживаются https://support.google.com/domains/answer/10751068 https://support.google.com/domains/answer/3290350?hl=en&ref_topic=9018335#zippy=%2Cadd-a-resource-record%2Ctype-of-resource-record%2Chost-name Сделайте одну запись А (адрес) на основной домен с поддержкой обновления и добавьте CNAME записи на доп домены с указанием на основной домен. В тех поддержке работают разные люди и уровень их знаний иногда далеко не высокий. Читают вам инструкцию сами не понимая что именно делают. К тому же важно правильно задать вопрос, а это уже от вас зависит. Спасибо, попробую. Никогда не пробовал вот эти все A, CNAME и т.д. записи делать, надо же начинать Quote
Olegin Posted August 8, 2022 #16 Posted August 8, 2022 Сорри, вклинусь. Кто не хочет знать, тот покупает, например, кинетик, но как только чужое облако рухается, начинает думать! Особенно о своем IP. ))) Quote
XPEH Posted August 8, 2022 #17 Posted August 8, 2022 Согласен. Если планируется внешний доступ, то по крайней мере основы работы адресации нужно знать и понимать их взаимодействие. Quote
Crnet Posted August 9, 2022 #18 Posted August 9, 2022 В 08.08.2022 в 00:08, SergeS сказал: О, круто, 11 приложений! Спасибо, что поделились... А домен случайно не на Google Domains? свой ns сервер же на nas для view - home world и апдейта сертификата летсенкрипт по dns. В облаках slave зоны, они могут быть где угодно. 1 Quote
Amoureux Posted August 18, 2022 #19 Posted August 18, 2022 DSM Почта Plex Transmission Jackett Raddarr Portainer MkvToolMix TsMuxer MakeMKV .... 1 Quote
Olegin Posted August 18, 2022 #20 Posted August 18, 2022 Оффтопну - очень хороший реверс-прокси на кинетиках 🤣 Quote
Amoureux Posted August 21, 2022 #21 Posted August 21, 2022 (edited) У меня все никак руки не дойдут слезть с обратного прокси от Synology , и использовать nginx или traefik в docker. Edited August 21, 2022 by Amoureux Quote
Olegin Posted August 21, 2022 #22 Posted August 21, 2022 На семере он себя плохо ведет, отказывается прокидывать на другие ipшники - 400 Bad request и кирдык, вчера часа 2 убил, пытался виртуалку с Home assistant прокинуть, не вышло 😡. На 6.2. все работало. 1 Quote
SergeS Posted August 21, 2022 Author #23 Posted August 21, 2022 (edited) 9 hours ago, Amoureux said: У меня все никак руки не дойдут слезть с обратного прокси от Synology , и использовать nginx или traefik в docker. А почему хотите перелезть? Edited August 21, 2022 by SergeS Quote
Amoureux Posted August 21, 2022 #24 Posted August 21, 2022 1 час назад, SergeS сказал: А почему хотите перелезть? После последнего обновления до 7.1.1 RC слетели некоторые настройки в обратном прокси от Synology, из-за чего поломалась авторизация в почте. К тому же, на пример, в Traefik сертификаты автоматически добавляются для любого добавленного сервиса. Quote
SergeS Posted August 21, 2022 Author #25 Posted August 21, 2022 26 minutes ago, Amoureux said: После последнего обновления до 7.1.1 RC слетели некоторые настройки в обратном прокси от Synology, из-за чего поломалась авторизация в почте. К тому же, на пример, в Traefik сертификаты автоматически добавляются для любого добавленного сервиса. Понятно, спасибо... ще один повод пока оставаться на 6 Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.