"Underbed"-hosting is een jargonnaam voor een server die zich in een gewoon woonappartement bevindt en is verbonden met het internetkanaal thuis. Dergelijke servers hostten meestal een openbare FTP-server, de startpagina van de eigenaar en soms zelfs de volledige hosting voor andere projecten. Het fenomeen was gebruikelijk in de begindagen van de opkomst van betaalbaar thuisinternet via een speciaal kanaal, toen het huren van een speciale server in een datacenter te duur was en virtuele servers nog niet wijdverspreid en handig genoeg waren.
Meestal werd een oude computer toegewezen aan de "onderbed"-server, waarin alle gevonden harde schijven waren geïnstalleerd. Het kan ook dienen als thuisrouter en firewall. Elke zichzelf respecterende telecommedewerker had zo’n server zeker in huis.
Met de komst van betaalbare clouddiensten zijn thuisservers minder populair geworden, en tegenwoordig is het meest dat in woonappartementen te vinden is een NAS voor het opslaan van fotoalbums, films en back-ups.
Het artikel bespreekt merkwaardige gevallen die verband houden met thuisservers en de problemen waarmee hun beheerders worden geconfronteerd. Laten we eens kijken hoe dit fenomeen er tegenwoordig uitziet en kiezen welke interessante dingen u vandaag op uw privéserver kunt hosten.
Thuisnetwerkservers in Novaya Kakhovka. Foto van de site nag.ru
Correct IP-adres
De belangrijkste vereiste voor een thuisserver was de aanwezigheid van een echt IP-adres, dat wil zeggen routeerbaar vanaf internet. Veel aanbieders boden een dergelijke dienst niet aan particulieren aan en moesten via een speciale overeenkomst worden verkregen. Vaak moest de aanbieder voor de levering van dedicated IP een apart contract afsluiten. Soms betekende deze procedure zelfs het aanmaken van een aparte NIC-handle voor de eigenaar, waardoor zijn volledige naam en thuisadres direct beschikbaar waren via het Whois-commando. Hier moesten we voorzichtig zijn bij ruzie op internet, aangezien de grap over "berekenen via IP" geen grap meer was. Trouwens, nog niet zo lang geleden was er een schandaal , die besloot de persoonsgegevens van al haar klanten in whois te plaatsen.
Permanent IP-adres versus DynDNS
Het is goed als het je lukt om een permanent IP-adres te krijgen - dan kun je gemakkelijk alle domeinnamen ernaar verwijzen en het vergeten, maar dit was niet altijd mogelijk. Veel grote ADSL-providers op federaal niveau gaven klanten alleen een echt IP-adres voor de duur van de sessie, dat wil zeggen dat het één keer per dag kon veranderen, of als de modem opnieuw werd opgestart of de verbinding werd verbroken. In dit geval kwamen de Dyn (dynamische) DNS-diensten te hulp. Meest populaire dienst , dat lange tijd gratis was, maakte het mogelijk om een subdomein in de zone te krijgen *.dyndns.org, die snel kan worden bijgewerkt wanneer het IP-adres verandert. Een speciaal script aan de clientzijde klopte voortdurend op de DynDNS-server en als het uitgaande adres ervan veranderde, werd het nieuwe adres onmiddellijk in het A-record van het subdomein geïnstalleerd.
Gesloten poorten en verboden protocollen
Veel providers, vooral grote ADSL, waren tegen gebruikers die openbare diensten op hun adressen hosten, dus verboden ze inkomende verbindingen met populaire poorten zoals HTTP. Er zijn gevallen bekend waarbij providers poorten van gameservers blokkeerden, zoals Counter-Strike en Half-Life. Deze praktijk is nog steeds populair, wat soms problemen veroorzaakt. Bijna alle providers blokkeren bijvoorbeeld RPC- en NetBios Windows-poorten (135-139 en 445) om de verspreiding van virussen te voorkomen, evenals vaak binnenkomende poorten voor het Email SMTP-, POP3- en IMAP-protocol.
Aanbieders die naast internet ook IP-telefoniediensten aanbieden, blokkeren graag SIP-protocolpoorten om klanten te dwingen alleen hun telefoniediensten te gebruiken.
PTR en e-mailverzending
Het hosten van uw eigen mailserver is een apart groot onderwerp. Het is een zeer verleidelijk idee om een persoonlijke e-mailserver onder je bed te hebben die je volledig onder controle hebt. Maar implementatie in de praktijk was niet altijd mogelijk. De meeste IP-adresbereiken van de thuis-ISP worden permanent geblokkeerd op spamlijsten (), dus mailservers weigeren eenvoudigweg inkomende SMTP-verbindingen van de IP-adressen van thuisproviders te accepteren. Hierdoor was het vrijwel onmogelijk om vanaf zo’n server een brief te versturen.
Om met succes e-mail te kunnen verzenden, was het bovendien noodzakelijk om het juiste PTR-record op het IP-adres te installeren, dat wil zeggen de omgekeerde conversie van het IP-adres naar een domeinnaam. Het overgrote deel van de aanbieders ging hier alleen mee akkoord bij een speciale overeenkomst of bij het afsluiten van een afzonderlijk contract.
We zijn op zoek naar servers onder het bed van de buren
Met behulp van PTR-records kunnen we zien welke van onze buren op IP-adressen ermee hebben ingestemd een speciaal DNS-record voor hun IP op te zetten. Om dit te doen, neemt u ons thuis-IP-adres en voert u de opdracht ervoor uit whois, en we krijgen de reeks adressen te zien die de provider aan klanten verstrekt. Er kunnen veel van dergelijke bereiken zijn, maar laten we er ter wille van het experiment één controleren.
In ons geval is dit de online aanbieder (Rostelecom). Laten we gaan naar en ontvang ons IP-adres:
Online is trouwens een van die providers die klanten altijd een permanent IP-adres verstrekt, zelfs zonder een speciale IP-adresservice. Het adres kan echter maandenlang niet veranderen.
Laten we het volledige adresbereik 95.84.192.0/18 (ongeveer 16 adressen) oplossen met behulp van nmap. Keuze -sL scant in wezen niet actief hosts, maar verzendt alleen DNS-query's, dus in de resultaten zien we alleen regels met een domein dat is gekoppeld aan een IP-adres.
$ nmap -sL -vvv 95.84.192.0/18
......
Nmap scan report for broadband-95-84-195-131.ip.moscow.rt.ru (95.84.195.131)
Nmap scan report for broadband-95-84-195-132.ip.moscow.rt.ru (95.84.195.132)
Nmap scan report for broadband-95-84-195-133.ip.moscow.rt.ru (95.84.195.133)
Nmap scan report for broadband-95-84-195-134.ip.moscow.rt.ru (95.84.195.134)
Nmap scan report for broadband-95-84-195-135.ip.moscow.rt.ru (95.84.195.135)
Nmap scan report for mx2.merpassa.ru (95.84.195.136)
Nmap scan report for broadband-95-84-195-137.ip.moscow.rt.ru (95.84.195.137)
Nmap scan report for broadband-95-84-195-138.ip.moscow.rt.ru (95.84.195.138)
Nmap scan report for broadband-95-84-195-139.ip.moscow.rt.ru (95.84.195.139)
Nmap scan report for broadband-95-84-195-140.ip.moscow.rt.ru (95.84.195.140)
Nmap scan report for broadband-95-84-195-141.ip.moscow.rt.ru (95.84.195.141)
Nmap scan report for broadband-95-84-195-142.ip.moscow.rt.ru (95.84.195.142)
Nmap scan report for broadband-95-84-195-143.ip.moscow.rt.ru (95.84.195.143)
Nmap scan report for broadband-95-84-195-144.ip.moscow.rt.ru (95.84.195.144)
.....
Bijna alle adressen hebben een standaard PTR-record zoals breedbandadres.ip.moskou.rt.ru behalve een paar dingen, waaronder mx2.merpassa.ru. Afgaande op het mx-subdomein is dit een mailserver (mailuitwisseling). Laten we proberen dit adres in de service te controleren
Het is duidelijk dat het gehele IP-bereik op een permanente blokkeerlijst staat, en brieven die vanaf deze server worden verzonden, zullen uiterst zelden de ontvanger bereiken. Houd hier rekening mee bij het kiezen van een server voor uitgaande mail.
Het is altijd een slecht idee om een mailserver binnen het IP-bereik van uw thuisprovider te houden. Zo'n server zal problemen hebben met het verzenden en ontvangen van e-mail. Houd hier rekening mee als uw systeembeheerder voorstelt om een mailserver rechtstreeks op een kantoor-IP-adres te implementeren.
Gebruik echte hosting of een e-mailservice. Zo hoeft u minder vaak te bellen om te controleren of uw brieven zijn aangekomen.
Hosting op een WiFi-router
Met de komst van single board computers zoals de Raspberry Pi is het niet verrassend dat een website draait op een apparaat ter grootte van een pakje sigaretten, maar zelfs vóór de Raspberry Pi draaiden enthousiastelingen homepagina's rechtstreeks op een WiFi-router!
De legendarische WRT54G-router, waarmee het OpenWRT-project in 2004 startte
De Linksys WRT54G-router, van waaruit het OpenWRT-project begon, had geen USB-poorten, maar vakmensen vonden er gesoldeerde GPIO-pinnen in die als SPI gebruikt konden worden. Zo verscheen er een mod die een SD-kaart aan het apparaat toevoegt. Dit opende een enorme vrijheid voor creativiteit. Je zou zelfs een hele PHP kunnen samenstellen! Persoonlijk herinner ik me hoe ik, bijna zonder te weten hoe ik moest solderen, een SD-kaart aan deze router soldeerde. Later verschijnen er USB-poorten in routers en kun je eenvoudig een flashdrive plaatsen.
Voorheen waren er verschillende projecten op internet die volledig op een wifi-router thuis werden gelanceerd; hierover volgt hieronder een opmerking. Helaas kon ik geen enkele livesite vinden. Ken jij deze misschien?
Serverkasten van IKEA tafels
Op een dag ontdekte iemand dat een populaire salontafel van IKEA, de Lack genaamd, goed werkte als rack voor standaard 19-inch servers. Vanwege de prijs van $ 9 is deze tafel erg populair geworden voor het creëren van datacenters voor thuis. Deze installatiemethode wordt aangeroepen .
Ikea Lakk tafel is ideaal in plaats van een serverkast
De tafels konden op elkaar worden gestapeld en er ontstonden echte serverkasten. Helaas zorgden de zware servers ervoor dat de tafels door de kwetsbare gelamineerde spaanplaat uit elkaar vielen. Voor betrouwbaarheid werden ze versterkt met metalen hoeken.
Hoe schoolkinderen mij van internet beroofden
Zoals verwacht had ik ook mijn eigen server onder het bed, waarop een eenvoudig forum draaide, gewijd aan een gamegerelateerd onderwerp. Op een dag overtuigde een agressieve schooljongen, ontevreden over het verbod, zijn kameraden, en samen begonnen ze vanaf hun thuiscomputers mijn forum te DDoS-en. Omdat het hele internetkanaal destijds ongeveer 20 Megabit was, slaagden ze erin mijn internet thuis volledig lam te leggen. Geen firewallblokkering hielp, omdat het kanaal volledig uitgeput was.
Van buitenaf zag het er heel grappig uit:
- Hallo, waarom antwoord je me niet op ICQ?
- Sorry, er is geen internet, ze proberen mij te vinden.
Contact opnemen met de provider hielp niet, zij vertelden mij dat het niet hun verantwoordelijkheid was om hiermee om te gaan, en zij konden alleen mijn binnenkomende verkeer volledig blokkeren. Dus zat ik twee dagen zonder internet totdat de aanvallers er genoeg van kregen.
Conclusie
Er had een selectie van moderne P2P-diensten moeten zijn die op een thuisserver kunnen worden ingezet, zoals ZeroNet, IPFS, Tahoe-LAFS, BitTorrent, I2P. Maar de afgelopen paar jaar is mijn mening veel veranderd. Ik ben van mening dat het hosten van openbare diensten op een IP-adres thuis, en vooral als het gaat om het downloaden van gebruikersinhoud, een ongerechtvaardigd risico met zich meebrengt voor alle bewoners die in het appartement wonen. Nu raad ik u aan om inkomende verbindingen vanaf internet zoveel mogelijk te verbieden, speciale IP-adressen achterwege te laten en al uw projecten op externe servers op internet te bewaren.
Volg onze ontwikkelaar op Instagram
Bron: www.habr.com