L'hébergement « Underbed » est un nom d'argot désignant un serveur situé dans un appartement résidentiel ordinaire et connecté au canal Internet domestique. Ces serveurs hébergeaient généralement un serveur FTP public, la page d'accueil du propriétaire et parfois même un hébergement complet pour d'autres projets. Le phénomène était courant au début de l'émergence d'un Internet domestique abordable via un canal dédié, lorsque la location d'un serveur dédié dans un centre de données était trop chère et que les serveurs virtuels n'étaient pas encore assez répandus et pratiques.
Le plus souvent, un vieil ordinateur était attribué au serveur « sous le lit », dans lequel tous les disques durs trouvés étaient installés. Il pourrait également servir de routeur domestique et de pare-feu. Tout employé des télécommunications qui se respecte était assuré de disposer d'un tel serveur chez lui.
Avec l'avènement des services cloud abordables, les serveurs domestiques sont devenus moins populaires et aujourd'hui, tout ce que l'on peut trouver dans les appartements résidentiels est un NAS pour stocker des albums photo, des films et des sauvegardes.
L'article traite de cas curieux associés aux serveurs domestiques et aux problèmes rencontrés par leurs administrateurs. Voyons à quoi ressemble ce phénomène de nos jours et choisissons les choses intéressantes que vous pouvez héberger sur votre serveur privé aujourd'hui.
Serveurs de réseau domestique à Novaya Kakhovka. Photo du site nag.ru
Adresse IP correcte
La principale exigence pour un serveur domestique était la présence d'une véritable adresse IP, c'est-à-dire routable depuis Internet. De nombreux prestataires ne fournissaient pas un tel service aux particuliers et il fallait l'obtenir au moyen d'un accord spécial. Souvent, le fournisseur est tenu de conclure un contrat séparé pour la fourniture d'une propriété intellectuelle dédiée. Parfois même, cette procédure impliquait la création d'un identifiant NIC distinct pour le propriétaire, de sorte que son nom complet et son adresse personnelle étaient disponibles directement à l'aide de la commande Whois. Ici, nous devions être prudents lorsque nous discutions sur Internet, car la blague sur le « calcul par IP » a cessé d'être une blague. Au fait, il n'y a pas si longtemps, il y a eu un scandale , qui a décidé de placer les données personnelles de tous ses clients dans whois.
Adresse IP permanente vs DynDNS
C'est bien si vous parvenez à obtenir une adresse IP permanente - vous pouvez alors facilement y diriger tous les noms de domaine et l'oublier, mais cela n'a pas toujours été possible. De nombreux grands fournisseurs ADSL à l'échelle fédérale ont donné aux clients une véritable adresse IP uniquement pendant la durée de la session, c'est-à-dire qu'elle pouvait changer soit une fois par jour, soit si le modem était redémarré ou si la connexion était perdue. Dans ce cas, les services DNS Dyn (dynamiques) sont venus à la rescousse. Service le plus populaire , qui a longtemps été gratuit, permettait d'obtenir un sous-domaine dans la zone *.dyndns.org, qui pourrait être rapidement mis à jour lorsque l'adresse IP change. Un script spécial côté client frappait constamment sur le serveur DynDNS, et si son adresse sortante changeait, la nouvelle adresse était immédiatement installée dans l'enregistrement A du sous-domaine.
Ports fermés et protocoles interdits
De nombreux fournisseurs, en particulier les grands fournisseurs d'ADSL, s'opposaient aux utilisateurs hébergeant des services publics sur leurs adresses, ils ont donc interdit les connexions entrantes vers des ports populaires comme HTTP. Il existe des cas connus où des fournisseurs ont bloqué les ports de serveurs de jeux, tels que Counter-Strike et Half-Life. Cette pratique est encore populaire aujourd’hui, ce qui pose parfois problème. Par exemple, presque tous les fournisseurs bloquent les ports Windows RPC et NetBios (135-139 et 445) pour empêcher la propagation de virus, ainsi que les ports fréquemment entrants pour le protocole Email SMTP, POP3, IMAP.
Les fournisseurs qui fournissent des services de téléphonie IP en plus d'Internet aiment bloquer les ports du protocole SIP afin de forcer les clients à utiliser uniquement leurs services de téléphonie.
PTR et envoi de mail
L'hébergement de votre propre serveur de messagerie est un autre grand sujet. Garder sous votre lit un serveur de messagerie personnel entièrement sous votre contrôle est une idée très tentante. Mais la mise en œuvre pratique n’a pas toujours été possible. La plupart des plages d'adresses IP des FAI domestiques sont bloquées de manière permanente sur les listes de spam (), les serveurs de messagerie refusent donc tout simplement d'accepter les connexions SMTP entrantes provenant des adresses IP des fournisseurs d'origine. En conséquence, il était presque impossible d’envoyer une lettre depuis un tel serveur.
De plus, pour réussir l'envoi du courrier, il était nécessaire d'installer le bon enregistrement PTR sur l'adresse IP, c'est-à-dire la conversion inverse de l'adresse IP en nom de domaine. La grande majorité des prestataires n'ont accepté cela que par un accord spécial ou lors de la conclusion d'un contrat séparé.
Nous recherchons les serveurs sous le lit des voisins
Grâce aux enregistrements PTR, nous pouvons voir lesquels de nos voisins par adresse IP ont accepté de créer un enregistrement DNS spécial pour leur IP. Pour ce faire, prenez notre adresse IP personnelle et exécutez la commande correspondante whois, et nous obtenons la gamme d'adresses que le fournisseur délivre aux clients. Il existe peut-être de nombreuses plages de ce type, mais par souci d’expérimentation, vérifions-en une.
Dans notre cas, il s'agit du fournisseur en ligne (Rostelecom). Allons à et obtenez notre adresse IP :
À propos, Online fait partie de ces fournisseurs qui attribuent toujours une adresse IP permanente aux clients, même sans service d'adresse IP dédié. Cependant, l'adresse peut ne pas changer pendant des mois.
Résolvons toute la plage d'adresses 95.84.192.0/18 (environ 16 XNUMX adresses) à l'aide de nmap. Option -SH essentiellement, n'analyse pas activement les hôtes, mais envoie uniquement des requêtes DNS, donc dans les résultats, nous ne verrons que les lignes contenant un domaine associé à une adresse IP.
$ nmap -sL -vvv 95.84.192.0/18
......
Nmap scan report for broadband-95-84-195-131.ip.moscow.rt.ru (95.84.195.131)
Nmap scan report for broadband-95-84-195-132.ip.moscow.rt.ru (95.84.195.132)
Nmap scan report for broadband-95-84-195-133.ip.moscow.rt.ru (95.84.195.133)
Nmap scan report for broadband-95-84-195-134.ip.moscow.rt.ru (95.84.195.134)
Nmap scan report for broadband-95-84-195-135.ip.moscow.rt.ru (95.84.195.135)
Nmap scan report for mx2.merpassa.ru (95.84.195.136)
Nmap scan report for broadband-95-84-195-137.ip.moscow.rt.ru (95.84.195.137)
Nmap scan report for broadband-95-84-195-138.ip.moscow.rt.ru (95.84.195.138)
Nmap scan report for broadband-95-84-195-139.ip.moscow.rt.ru (95.84.195.139)
Nmap scan report for broadband-95-84-195-140.ip.moscow.rt.ru (95.84.195.140)
Nmap scan report for broadband-95-84-195-141.ip.moscow.rt.ru (95.84.195.141)
Nmap scan report for broadband-95-84-195-142.ip.moscow.rt.ru (95.84.195.142)
Nmap scan report for broadband-95-84-195-143.ip.moscow.rt.ru (95.84.195.143)
Nmap scan report for broadband-95-84-195-144.ip.moscow.rt.ru (95.84.195.144)
.....
Presque toutes les adresses ont un enregistrement PTR standard comme adresse-à-large bande.ip.moscow.rt.ru sauf pour quelques choses, dont mx2.merpassa.ru. À en juger par le sous-domaine mx, il s'agit d'un serveur de messagerie (échange de courrier). Essayons de vérifier cette adresse dans le service
On peut voir que toute la plage IP figure sur une liste de blocage permanente et que les lettres envoyées depuis ce serveur parviendront extrêmement rarement au destinataire. Tenez-en compte lors du choix d'un serveur pour le courrier sortant.
Garder un serveur de messagerie dans la plage IP de votre fournisseur d'origine est toujours une mauvaise idée. Un tel serveur aura des problèmes pour envoyer et recevoir du courrier. Gardez cela à l'esprit si votre administrateur système suggère de déployer un serveur de messagerie directement sur une adresse IP de bureau.
Utilisez soit un hébergement réel, soit un service de messagerie. De cette façon, vous devrez appeler moins souvent pour vérifier si vos lettres sont arrivées.
Hébergement sur un routeur WiFi
Avec l'avènement des ordinateurs monocarte comme le Raspberry Pi, il n'est pas surprenant de voir un site Web fonctionner sur un appareil de la taille d'un paquet de cigarettes, mais même avant le Raspberry Pi, les passionnés exécutaient des pages d'accueil directement sur un routeur WiFi !
Le légendaire routeur WRT54G, qui a lancé le projet OpenWRT en 2004
Le routeur Linksys WRT54G, à partir duquel le projet OpenWRT a commencé, n'avait pas de ports USB, mais les artisans y ont trouvé des broches GPIO soudées qui pourraient être utilisées comme SPI. C'est ainsi qu'est apparu un mod qui ajoute une carte SD à l'appareil. Cela a ouvert une énorme liberté de créativité. Vous pourriez même créer un PHP entier ! Je me souviens personnellement comment, presque sans savoir souder, j'ai soudé une carte SD à ce routeur. Plus tard, des ports USB apparaîtront dans les routeurs et vous pourrez simplement insérer une clé USB.
Auparavant, il y avait plusieurs projets sur Internet qui étaient entièrement lancés sur un routeur WiFi domestique ; il y aura une note à ce sujet ci-dessous. Malheureusement, je n'ai pas trouvé un seul site en direct. Peut-être que vous les connaissez ?
Armoires de serveur des tables IKEA
Un jour, quelqu'un a découvert qu'une table basse populaire d'IKEA appelée Lack fonctionnait bien comme support pour des serveurs standard de 19 pouces. En raison de son prix de 9 $, cette table est devenue très populaire pour créer des centres de données domestiques. Cette méthode d'installation est appelée .
La table Ikea Lakk est idéale à la place d'une armoire serveur
Les tables pourraient être empilées les unes sur les autres et créer de véritables armoires de serveurs. Malheureusement, en raison de la fragilité des panneaux de particules stratifiés, les serveurs lourds ont provoqué l'effondrement des tables. Pour plus de fiabilité, ils ont été renforcés par des coins métalliques.
Comment les écoliers m'ont privé d'Internet
Comme prévu, j'avais également mon propre serveur sous le lit, sur lequel fonctionnait un simple forum, dédié à un sujet lié au jeu. Un jour, un écolier agressif, insatisfait de l'interdiction, a persuadé ses camarades et ensemble, ils ont commencé à faire des DDoS sur mon forum depuis leurs ordinateurs personnels. Comme l'ensemble du canal Internet à cette époque était d'environ 20 mégabits, ils ont réussi à paralyser complètement mon Internet domestique. Aucun blocage du pare-feu n'a aidé, car le canal était complètement épuisé.
De l'extérieur, ça avait l'air très drôle :
- Bonjour, pourquoi tu ne me réponds pas sur ICQ ?
- Désolé, il n'y a pas Internet, ils essaient de me trouver.
Contacter le fournisseur n'a pas aidé, ils m'ont dit que ce n'était pas de leur responsabilité de gérer cela et qu'ils ne pouvaient que bloquer complètement mon trafic entrant. Je suis donc resté assis pendant deux jours sans Internet jusqu'à ce que les attaquants en aient assez.
Conclusion
Il aurait dû y avoir une sélection de services P2P modernes pouvant être déployés sur un serveur domestique, comme ZeroNet, IPFS, Tahoe-LAFS, BitTorrent, I2P. Mais au cours des dernières années, mon opinion a beaucoup changé. Je pense que l'hébergement de tout service public sur une adresse IP domestique, et en particulier ceux qui impliquent le téléchargement de contenu utilisateur, crée un risque injustifié pour tous les résidents vivant dans l'appartement. Désormais, je vous conseille d'interdire au maximum les connexions entrantes depuis Internet, d'abandonner les adresses IP dédiées et de conserver tous vos projets sur des serveurs distants sur Internet.
Suivez notre développeur sur Instagram
Source: habr.com