«Падложкавы» хостынг – жаргонная назва сервера, размешчанага ў звычайнай жылой кватэры і падлучанага да хатняга інтэрнэт-каналу. На такіх серверах звычайна размяшчаўся публічны FTP-сервер, хатняя старонка ўладальніка і часам нават цэлы хостынг для іншых праектаў. З'ява была распаўсюджана ў раннія часы з'яўлення даступнага хатняга інтэрнэту па вылучаным канале, калі арэнда выдзеленага сервера ў дата-цэнтры была занадта дарагой, а віртуальныя серверы яшчэ не былі распаўсюджаныя і дастаткова зручныя.
Часцей за ўсё для "подкроватного" сервера вылучаўся стары кампутар, у які ўсталёўваліся ўсе знойдзеныя цвёрдыя кружэлкі. Ён таксама мог выконваць ролю хатняга роўтара і файрвала. Такі сервер абавязкова быў дома ў кожнага які паважае сябе супрацоўніка телекома.
З з'яўленнем даступных хмарных сэрвісаў хатнія сервера сталі менш папулярныя, і сёння максімум, што можна сустрэць у жылых кватэрах - гэта NAS для захоўвання фотаальбомаў, фільмаў і бекапаў.
У артыкуле разглядаюцца кур'ёзныя выпадкі, звязаныя з хатнімі серверамі, і праблемы, з якімі сутыкаюцца іхнія адміністратары. Паглядзім, як гэта з'ява выглядае ў нашы дні і выберам, што цікавага можна захапіць на сваім падложкавым серверы сёння.
Серверы дамавой сеткі ў г. Новая Кахоўка. Фота з сайт nag.ru
Правільны IP-адрас
Галоўным патрабаваннем для хатняга сервера была наяўнасць рэальнага, гэта значыць які маршрутызуецца з інтэрнэту IP-адрасы. Многія правайдэры не прадастаўлялі такой паслугі для фізічных асоб, і здабываць яго даводзілася па асаблівай дамоўленасці. Часта правайдэр патрабаваў скласці асобную дамову на падаванне вылучанага IP. Часам нават гэтая працэдура прадугледжвала стварэнне асобнага NIC Handle для ўладальніка, у выніку чаго яго ПІБ і хатні адрас былі даступныя прама з дапамогай каманды Whois. Тут ужо даводзілася быць асцярожным пры спрэчках у інтэрнэце, бо жарт пра "вылічыць па IP" пераставала быць жартам. Дарэчы, не так даўно быў скандал , Які вырашыў размяшчаць у whois персанальныя дадзеныя ўсіх сваіх кліентаў.
Пастаянны IP-адрас vs DynDNS
Добра, калі ўдавалася атрымаць пастаянны IP-адрас - тады можна было лёгка накіраваць усе даменныя імёны на яго і забыцца, але гэта ўдавалася не заўсёды. Многія буйныя ADSL правайдэры федэральнага маштабу выдавалі кліентам рэальны IP-адрас толькі на час жыцця сесіі, гэта значыць ён мог змяніцца або раз у суткі, або ў выпадку перазагрузкі мадэма ці абрыву сувязі. У такім выпадку прыходзілі на дапамогу сервісы Dyn (dynamic) DNS. Самы папулярны сэрвіс , доўгі час былы бясплатным, даваў магчымасць атрымаць паддамен у зоне. *.dyndns.org, які мог хутка абнаўляцца пры змене IP-адрасу. Адмысловы скрыпт на боку кліента ўвесь час стукаўся на сервер DynDNS, і, у выпадку калі яго выходны адрас змяніўся, новы адрас адразу ўсталёўваўся ў А-запіс паддамена.
Закрытыя парты і забароненыя пратаколы
Многія правайдэры, асабліва буйныя ADSL, былі супраць таго, каб карыстачы хосцілі на свае адрасы якія-небудзь публічныя сэрвісы, таму забаранялі ўваходныя злучэнні на папулярныя парты накшталт HTTP. Вядомыя выпадкі, калі правайдэры блакавалі парты гульнявых сервераў, накшталт Counter-Strike і Half-Life. Гэтая практыка папулярная да гэтага часу, з-за чаго часам выклікае праблемы. Напрыклад, амаль усе правайдэры блакуюць парты RPC і NetBios Windows (135-139 і 445), каб прадухіліць распаўсюджванне вірусаў, а таксама часта ўваходныя парты для пратаколу Email SMTP, POP3, IMAP.
Правайдэры, якія прадстаўляюць акрамя інтэрнэту паслугі IP-тэлефаніі любяць блакаваць парты пратаколу SIP, каб такім чынам прымусіць кліентаў выкарыстоўваць толькі іх паслугі тэлефаніі.
PTR і адпраўка пошты
Хостынг уласнага паштовага сервера гэта асобная вялікая тэма. Трымаць у сябе пад ложкам асабісты паштовы сервер, які цалкам вам падкантрольны - ідэя вельмі панадлівая. Але рэалізацыя на практыцы аказвалася не заўсёды магчымай. Большасць дыяпазонаў IP-адрасоў хатніх правайдэраў знаходзяцца ў перманентным блоку ў спам-лістах.), таму паштовыя серверы проста адмаўляюцца прымаць уваходныя злучэнні на SMTP з IP-адрасоў хатніх правайдэраў. У выніку даслаць ліст з такога сервера было практычна немагчыма.
Акрамя гэтага для паспяховай адпраўкі пошты патрабавалася ўсталяваць карэктны PTR-запіс на IP-адрас, гэта значыць зваротнае пераўтварэнне IP-адрасу ў даменнае імя. Пераважная большасць правайдэраў згаджалася на гэта толькі пры асаблівай дамоўленасці або пры заключэнні асобнай дамовы.
Шукаем падложкавыя серверы суседзяў
Выкарыстоўваючы PTR запісы, можам паглядзець, хто з нашых суседзяў па IP-адрасах дамовіўся аб усталёўцы адмысловага DNS-запісу для свайго IP. Для гэтага возьмем наш хатні IP-адрас, выканаем для яго каманду whois, і атрымаем дыяпазон адрасоў, якія правайдэр выдае кліентам. Такіх дыяпазонаў можа быць шмат, але для эксперыменту праверым адзін.
У нашым выпадку гэта правайдэр Анлайм (Ростэлеком). Заходзім на і атрымліваем наш IP адрас:
Дарэчы, Анлайм адзін з тых правайдэраў, які выдае кліентам пастаянны IP заўсёды, нават без падключанай паслугі выдзеленага IP-адрасу. Пры гэтым адрас можа не змяняцца месяцамі.
Адразолім увесь дыяпазон адрасоў 95.84.192.0/18 (каля 16 тысяч адрасоў) з дапамогай nmap. Опцыя -sL па сутнасці не выконвае актыўнага сканавання хастоў, а толькі пасылае DNS-запыты, так што ў выніках мы ўбачым толькі радкі, якія змяшчаюць дамен прывязаны да IP-адрасу.
$ nmap -sL -vvv 95.84.192.0/18
......
Nmap scan report for broadband-95-84-195-131.ip.moscow.rt.ru (95.84.195.131)
Nmap scan report for broadband-95-84-195-132.ip.moscow.rt.ru (95.84.195.132)
Nmap scan report for broadband-95-84-195-133.ip.moscow.rt.ru (95.84.195.133)
Nmap scan report for broadband-95-84-195-134.ip.moscow.rt.ru (95.84.195.134)
Nmap scan report for broadband-95-84-195-135.ip.moscow.rt.ru (95.84.195.135)
Nmap scan report for mx2.merpassa.ru (95.84.195.136)
Nmap scan report for broadband-95-84-195-137.ip.moscow.rt.ru (95.84.195.137)
Nmap scan report for broadband-95-84-195-138.ip.moscow.rt.ru (95.84.195.138)
Nmap scan report for broadband-95-84-195-139.ip.moscow.rt.ru (95.84.195.139)
Nmap scan report for broadband-95-84-195-140.ip.moscow.rt.ru (95.84.195.140)
Nmap scan report for broadband-95-84-195-141.ip.moscow.rt.ru (95.84.195.141)
Nmap scan report for broadband-95-84-195-142.ip.moscow.rt.ru (95.84.195.142)
Nmap scan report for broadband-95-84-195-143.ip.moscow.rt.ru (95.84.195.143)
Nmap scan report for broadband-95-84-195-144.ip.moscow.rt.ru (95.84.195.144)
.....
Амаль усе адрасы маюць стандартную PTR запіс выгляду broadband-адрас.ip.moscow.rt.ru акрамя пары штук, сярод якіх mx2.merpassa.ru. Мяркуючы па паддамене mx, гэта паштовы сервер (mail exchange). Паспрабуем праверыць гэты адрас у сэрвісе
Відаць, што ўвесь дыяпазон IP знаходзіцца ў перманентным блок-лісце, і лісты, адпраўленыя з гэтага сервера, будуць вельмі рэдка даходзіць да адрасата. Улічвайце гэта пры выбары сервера для выходнай пошты.
Трымаць паштовы сервер у IP-дыяпазоне хатняга правайдэра гэта заўсёды дрэнная ідэя. Такі сервер будзе мець праблемы з адпраўкай і атрыманнем пошты. Майце гэта на ўвазе, калі ваш сістэмны адміністратар прапануе разгарнуць паштовы сервер прама на офісным IP-адрасе.
Выкарыстоўвайце або сапраўдны хостынг, або email-сэрвіс. Так вам давядзецца радзей тэлефанаваць, каб удакладніць ці дайшлі вашы лісты.
Хостынг на WiFi-роўтары
Са з'яўленнем аднаплатных кампутараў накшталт Raspberry Pi нікога не здзівіш сайтам, запушчаным на прыладзе памерам з пачак цыгарэт, але яшчэ да з'яўлення Raspberry Pi энтузіясты запускалі хатнія старонкі прама на WiFi роўтары!
Легендарны роўтэр WRT54G, з якога пачаўся праект OpenWRT у 2004 годзе
Роўтар Linksys WRT54G, з якога пачаўся праект OpenWRT не меў USB партоў, аднак умельцы знайшлі ў ім разлітаваныя піны GPIO, якія можна было выкарыстоўваць як SPI. Так з'явіўся мод, які дадае ў прыладу SD-карту. Гэта адкрывала вялізную свабоду для творчасці. Можна было нават сабраць цэлы PHP! Я асабіста памятаю, як амаль не ўмеючы літаваць, прыпайваў SD-карту да гэтага роўтара. Пазней ужо ў роўтарах з'явяцца USB-парты і можна будзе проста ўставіць флешку.
Раней у інтэрнэце было адразу некалькі праектаў, якія былі цалкам запушчаны на хатнім WiFi роўтары, пра гэта будзе прыпіска ўнізе. На жаль, мне не ўдалося знайсці ніводнага жывога сайта. Магчыма, вы ведаеце такія?
Серверныя шафы са столікаў IKEA
Аднойчы хтосьці выявіў, што папулярны часопісны столік з IKEA пад назовам Lack выдатна падыходзіць у якасці стойкі для стандартных 19-цалевых сервераў. З-за цаны ў $9 гэты столік стаў вельмі папулярны для стварэння хатніх дата-цэнтраў. Такі спосаб мантажу назвалі .
Столік Ікеа Лакк ідэальна падыходзіць замест сервернай шафы
Столікі можна было ўсталёўваць адзін на іншы і будаваць сапраўдныя серверныя шафы. Нажаль, з-за далікатнага ЛДСП ад цяжкіх сервераў столікі развальваліся. Для надзейнасці іх умацоўвалі металічнымі куткамі.
Як школьнікі пазбавілі мяне інтэрнэту
У мяне, як належыць, таксама быў свой подкроватный сервер, на якім круціўся просценькі форум, прысвечаны калягульнявой тэме. Аднойчы незадаволены баном агрэсіўны школьнік падгаварыў сваіх таварышаў, і тыя разам пачалі DDoS-іць мой форум са сваіх хатніх кампутараў. Так як увесь канал у інтэрнэт тады быў каля 20 Мегабіт, ім удалося цалкам паралізаваць мой хатні інтэрнэт. Ніякія блакіроўкі на файрвале не дапамагалі, таму што адбывалася поўнае вычарпанне канала.
Збоку выглядала вельмі смешна:
- Алё, чаму ты мне не адказваеш у асьцы?
- Прабач, інтэрнэту няма, мяне дсясяць.
Звароты да правайдэра не дапамаглі, мне адказалі, што разбірацца з гэтым не ўваходзіць у іх абавязкі, і яны могуць толькі заблакаваць мне цалкам уваходны трафік. Так я прасядзеў два дні без інтэрнэту, пакуль атакавалым не надакучыла.
Заключэнне
Тут павінна была быць падборка сучасных P2P-сэрвісаў, якія можна разгарнуць на хатнім серверы, накшталт ZeroNet, IPFS, Tahoe-LAFS, BitTorrent, I2P. Але за апошнія пару гадоў маё меркаванне моцна змянілася. Я лічу, што размяшчэнне якіх-небудзь публічных сэрвісаў на хатнім IP-адрасе, а тым больш тых, якія мяркуюць загрузку карыстацкага кантэнту, стварае неапраўданую рызыку для ўсіх жыхароў, якія пражываюць у кватэры. Цяпер я раю максімальна забараніць уваходныя злучэнні з інтэрнэту, адмовіцца ад выдзеленых IP-адрасоў, а ўсе свае праекты трымаць на выдаленых серверах у інтэрнэце.
Падпісвайцеся на нашага распрацоўніка ў Instagram
Крыніца: habr.com