"Підліжковий" хостинг - жаргонне назва сервера, розташованого в звичайній житловій квартирі і підключеного до домашнього інтернет-каналу. На таких серверах зазвичай розміщувався публічний FTP-сервер, домашня сторінка власника і іноді навіть хостинг для інших проектів. Явище було поширене в ранні часи появи доступного домашнього інтернету виділеним каналом, коли оренда виділеного сервера в дата-центрі була занадто дорогою, а віртуальні сервери ще не були поширені і досить зручні.
Найчастіше для «підліжкового» сервера виділявся старий комп'ютер, на якому встановлювалися всі знайдені жорсткі диски. Він також міг виконувати роль домашнього роутера та файрвола. Такий сервер обов'язково був удома у кожного поважаючого себе співробітника телекому.
З появою доступних хмарних сервісів домашні сервери стали менш популярними, і сьогодні максимум, що можна зустріти в житлових квартирах – це NAS для зберігання фотоальбомів, фільмів та бекапів.
У статті розглядаються курйозні випадки, пов'язані з домашніми серверами, та проблеми, з якими стикаються їхні адміністратори. Подивимося, як це явище виглядає в наші дні і виберемо, що цікавого можна захистити на своєму підкроватному сервері сьогодні.
Сервери будинкової мережі у м. Нова Каховка Фото із сайт nag.ru
Правильна IP-адреса
Головною вимогою для домашнього сервера була наявність реального, тобто IP-адреси, що маршрутизується з інтернету. Багато провайдерів не надавали такої послуги фізичним особам, і видобувати його доводилося за особливою домовленістю. Часто провайдер вимагав укласти окрему угоду на надання виділеного IP. Іноді навіть ця процедура передбачала створення окремого NIC Handle для власника, внаслідок чого його ПІБ та домашня адреса були доступні прямо за допомогою команди Whois. Тут вже доводилося бути обережним при суперечках в інтернеті, тому що жарт про «обчислити по IP» переставав бути жартом. До речі, нещодавно був скандал , який вирішив розміщувати в ньому персональні дані всіх своїх клієнтів.
Постійна IP-адреса vs DynDNS
Добре, якщо вдавалося отримати постійну IP-адресу - тоді можна було легко направити всі доменні імена на неї і забути, але це вдавалося не завжди. Багато великих ADSL провайдери федерального масштабу видавали клієнтам реальну IP-адресу тільки на час життя сесії, тобто вона могла змінитися або раз на добу, або у разі перезавантаження модему або обриву зв'язку. У такому разі приходили на допомогу послуги Dyn (dynamic) DNS. Найпопулярніший сервіс , який довгий час був безкоштовним, давав можливість отримати піддомен у зоні *.dyndns.org, який міг швидко оновлюватись при зміні IP-адреси. Спеціальний скрипт на стороні клієнта постійно стукався на сервер DynDNS, і, якщо його вихідна адреса змінилася, нова адреса відразу встановлювалася в А-запис піддомену.
Закриті порти та заборонені протоколи
Багато провайдерів, особливо великі ADSL, були проти того, щоб користувачі відвідували свої адреси будь-які публічні сервіси, тому забороняли вхідні з'єднання на популярні порти на кшталт HTTP. Відомі випадки, коли провайдери блокували порти ігрових серверів, на кшталт Counter-Strike та Half-Life. Ця практика популярна і досі, через що іноді викликає проблеми. Наприклад, майже всі провайдери блокують порти RPC і NetBios Windows (135-139 і 445), щоб запобігти поширенню вірусів, а також порти, що часто входять для протоколу Email SMTP, POP3, IMAP.
Провайдери, що надають окрім інтернету послуги IP-телефонії, люблять блокувати порти протоколу SIP, щоб таким чином змусити клієнтів використовувати тільки їхні телефонні послуги.
PTR та надсилання пошти
Хостинг власного поштового сервера – це окрема велика тема. Тримати в себе під ліжком особистий поштовий сервер, який вам повністю підконтрольний — ідея дуже спокуслива. Але реалізація практично виявлялася який завжди можливої. Більшість діапазонів IP-адрес домашніх провайдерів знаходяться в перманентному блоці в спам-листах (), тому поштові сервери просто відмовляються приймати вхідні з'єднання на SMTP з IP-адрес домашніх провайдерів. В результаті відправити листа з такого сервера було практично неможливо.
Крім цього для успішного відправлення пошти потрібно встановити коректний PTR-запис на IP-адресу, тобто зворотне перетворення IP-адреси в доменне ім'я. Переважна більшість провайдерів погоджувалася на це лише за особливої домовленості або під час укладання окремого договору.
Шукаємо підкроватні сервери сусідів
Використовуючи PTR записи, можемо подивитися, хто з наших сусідів з IP-адрес домовився про встановлення особливого DNS-запису для свого IP. Для цього візьмемо нашу домашню IP-адресу, виконаємо для неї команду Хто є хто, та отримаємо діапазон адрес, які провайдер видає клієнтам. Таких діапазонів може бути багато, але для експерименту перевіримо один.
У нашому випадку, це провайдер Онлайм (Ростелеком). Заходимо на і отримуємо нашу IP адресу:
До речі, Онлайм один із тих провайдерів, який видає клієнтам постійну IP завжди, навіть без підключеної послуги виділеної IP-адреси. При цьому адреса може не змінюватись місяцями.
Відрізняємо весь діапазон адрес 95.84.192.0/18 (близько 16 тисяч адрес) за допомогою nmap. Опція -sL по суті не виконує активного сканування хостів, а лише надсилає DNS-запити, так що в результатах ми побачимо тільки рядки, що містять домен прив'язаний до IP-адреси.
$ nmap -sL -vvv 95.84.192.0/18
......
Nmap scan report for broadband-95-84-195-131.ip.moscow.rt.ru (95.84.195.131)
Nmap scan report for broadband-95-84-195-132.ip.moscow.rt.ru (95.84.195.132)
Nmap scan report for broadband-95-84-195-133.ip.moscow.rt.ru (95.84.195.133)
Nmap scan report for broadband-95-84-195-134.ip.moscow.rt.ru (95.84.195.134)
Nmap scan report for broadband-95-84-195-135.ip.moscow.rt.ru (95.84.195.135)
Nmap scan report for mx2.merpassa.ru (95.84.195.136)
Nmap scan report for broadband-95-84-195-137.ip.moscow.rt.ru (95.84.195.137)
Nmap scan report for broadband-95-84-195-138.ip.moscow.rt.ru (95.84.195.138)
Nmap scan report for broadband-95-84-195-139.ip.moscow.rt.ru (95.84.195.139)
Nmap scan report for broadband-95-84-195-140.ip.moscow.rt.ru (95.84.195.140)
Nmap scan report for broadband-95-84-195-141.ip.moscow.rt.ru (95.84.195.141)
Nmap scan report for broadband-95-84-195-142.ip.moscow.rt.ru (95.84.195.142)
Nmap scan report for broadband-95-84-195-143.ip.moscow.rt.ru (95.84.195.143)
Nmap scan report for broadband-95-84-195-144.ip.moscow.rt.ru (95.84.195.144)
.....
Майже всі адреси мають стандартний PTR запис виду broadband-адреса.ip.moscow.rt.ru крім пари штук, серед яких mx2.merpassa.ru. Судячи з піддомену mx це поштовий сервер (mail exchange). Спробуємо перевірити цю адресу у сервісі
Видно, що весь діапазон IP знаходиться в перманентному блок-листі, і листи, надіслані з цього сервера, вкрай рідко доходитимуть до адресата. Враховуйте це при виборі сервера вихідної пошти.
Тримати поштовий сервер в IP-діапазоні домашнього провайдера завжди погана ідея. Такий сервер буде мати проблеми з надсиланням та отриманням пошти. Майте на увазі, якщо ваш системний адміністратор пропонує розгорнути поштовий сервер прямо на офісній IP-адресі.
Використовуйте справжній хостинг, або email-сервіс. Так вам доведеться рідше дзвонити, щоб уточнити чи дійшли ваші листи.
Хостинг на WiFi-роутері
З появою одноплатних комп'ютерів на зразок Raspberry Pi нікого не здивуєш сайтом, запущеним на пристрої розміром з пачку цигарок, але ще до появи Raspberry Pi ентузіасти запускали домашні сторінки прямо на роутері WiFi!
Легендарний роутер WRT54G, з якого розпочався проект OpenWRT у 2004 році
Роутер Linksys WRT54G, з якого розпочався проект OpenWRT, не мав USB портів, проте умільці знайшли в ньому розпаяні піни GPIO, які можна було використовувати як SPI. Так з'явився мод, який додає пристрій SD-карту. Це відкривало величезну свободу творчості. Можна навіть зібрати цілий PHP! Я особисто пам'ятаю, як майже не вміючи паяти, припаював SD-карту до цього роутера. Пізніше вже в роутерах з'являться порти USB і можна буде просто вставити флешку.
Раніше в інтернеті було відразу кілька проектів, які були повністю запущені на домашньому Wi-Fi роутері, про це буде приписка внизу. На жаль, мені не вдалося знайти жодного живого сайту. Можливо ви знаєте такі?
Серверні шафи зі столиків IKEA
Якось хтось виявив, що популярний журнальний столик з IKEA під назвою Lack відмінно підходить як стійка для стандартних 19-дюймових серверів. Через ціну $9 цей столик став дуже популярний для створення домашніх дата-центрів. Такий спосіб монтажу назвали .
Столик Ікеа Лакк ідеально підходить замість серверної шафи.
Столики можна було встановлювати один на один і будувати справжні серверні шафи. На жаль, через тендітний ЛДСП від важких серверів столики розвалювалися. Для надійності їх зміцнювали металевими куточками.
Як школярі позбавили мене інтернету
У мене, як належить, теж був свій підліжковий сервер, на якому крутився простенький форум, присвячений навколоігровій темі. Якось незадоволений баном агресивний школяр підмовив своїх товаришів, і ті разом почали DDoS-ти мій форум зі своїх домашніх комп'ютерів. Так як весь канал в інтернеті тоді був близько 20 Мегабіт, їм вдалося повністю паралізувати мій домашній інтернет. Жодні блокування на файрволі не допомагали, тому що відбувалося повне вичерпання каналу.
Збоку виглядало дуже смішно:
- Алло, чому ти мені не відповідаєш в асьці?
— Пробач, інтернету немає, мене досягають.
Звернення до провайдера не допомогли, мені відповіли, що розбиратися з цим не входить до їхніх обов'язків, і вони можуть тільки заблокувати мені трафік, що повністю входить. Так я просидів два дні без інтернету, доки атакуючим не набридло.
Висновок
Тут мала бути добірка сучасних P2P-сервісів, які можна розгорнути на домашньому сервері, на зразок ZeroNet, IPFS, Tahoe-LAFS, BitTorrent, I2P. Але за останні кілька років моя думка сильно змінилася. Я вважаю, що розміщення будь-яких публічних сервісів на домашній IP-адресі, а тим більше тих, які передбачають завантаження контенту користувача, створює невиправданий ризик для всіх мешканців, які проживають у квартирі. Тепер я раджу максимально заборонити вхідні з'єднання з інтернету, відмовитись від виділених IP-адрес, а всі свої проекти тримати на віддалених серверах в інтернеті.
Підписуйтесь на нашого розробника в Instagram
Джерело: habr.com