「Underbed」託管是位於普通住宅公寓並連接到家庭網路通道的伺服器的俚語名稱。 此類伺服器通常託管公共 FTP 伺服器、擁有者的主頁,有時甚至託管其他專案。 這種現像在透過專用通道提供經濟實惠的家庭網路出現的早期很常見,當時在資料中心租用專用伺服器過於昂貴,而且虛擬伺服器還不夠普及和方便。
大多數情況下,一台舊電腦被分配給「底層」伺服器,所有找到的硬碟都安裝在其中。 它也可以用作家庭路由器和防火牆。 每一個有自尊心的電信員工家裡一定有這樣一台伺服器。
隨著價格實惠的雲端服務的出現,家庭伺服器不再那麼受歡迎,如今住宅公寓中最多的是用於儲存相簿、電影和備份的 NAS。
本文討論了與家庭伺服器相關的奇怪案例及其管理員面臨的問題。 讓我們看看現在這種現像是什麼樣子,並選擇今天可以在您的私人伺服器上託管哪些有趣的東西。
新卡霍夫卡的家庭網路伺服器。 照片來自 nag.ru 網站
正確的IP位址
家庭伺服器的主要要求是存在真實的 IP 位址,即可從網路路由。 許多提供者並不為個人提供此類服務,必須透過特殊協議才能獲得。 提供者通常需要簽訂一份單獨的合約來提供專用智慧財產權。 有時,甚至此過程還涉及為擁有者建立一個單獨的 NIC 句柄,因此可以使用 Whois 命令直接獲取他的全名和家庭地址。 在這裡,我們在網路上爭論時要小心,因為「按IP計算」的笑話不再是笑話了。 順便說一句,不久前還發生過一起醜聞 ,決定將所有客戶的個人資料放入 whois 中。
永久 IP 位址與 DynDNS
如果您設法獲得永久 IP 位址,那就太好了 - 然後您可以輕鬆地將所有網域定向到該位址並忘記它,但這並不總是可能的。 許多大型聯邦規模的 ADSL 提供者僅在會話期間為客戶提供真實的 IP 位址,也就是說,它可能每天更改一次,或在數據機重新啟動或連接遺失時更改。 在這種情況下,Dyn(動態)DNS 服務就派上用場了。 最受歡迎的服務 ,長期免費,使得在該區域獲得子域名成為可能 *.dyndns.org,當IP位址發生變化時可以快速更新。 用戶端的一個特殊腳本不斷敲擊DynDNS伺服器,如果其傳出位址發生變化,新位址會立即安裝在子網域的A記錄中。
關閉的連接埠和禁止的協議
許多供應商,尤其是大型 ADSL,反對用戶在其位址上託管任何公共服務,因此他們禁止對 HTTP 等流行連接埠的傳入連線。 在一些已知的案例中,提供者封鎖了《反恐精英》和《半條命》等遊戲伺服器的連接埠。 這種做法至今仍然很流行,但有時會引起問題。 例如,幾乎所有提供者都會阻止 RPC 和 NetBios Windows 連接埠(135-139 和 445)以防止病毒傳播,以及電子郵件 SMTP、POP3、IMAP 協定的頻繁傳入連接埠。
除了 Internet 之外還提供 IP 電話服務的提供者喜歡阻止 SIP 協定端口,以強制客戶端僅使用其電話服務。
PTR和郵件發送
託管您自己的郵件伺服器是一個單獨的大主題。 在你的床下放置一個完全由你控制的個人電子郵件伺服器是一個非常誘人的想法。 但在實務中實施並不總是可行的。 大多數家庭 ISP IP 位址範圍在垃圾郵件清單中被永久封鎖 (),因此郵件伺服器只是拒絕接受來自本機提供者的 IP 位址的傳入 SMTP 連線。 結果,從這樣的伺服器上發送信件幾乎是不可能的。
另外,要成功傳送郵件,還需要在IP位址上安裝正確的PTR記錄,也就是IP位址到網域名稱的逆向轉換。 絕大多數提供者只有在簽訂特別協議或簽訂單獨合約時才同意這一點。
我們正在尋找鄰居的床下伺服器
使用 PTR 記錄,我們可以查看哪些 IP 位址鄰居同意為其 IP 設定特殊的 DNS 記錄。 為此,請取得我們的家庭 IP 位址並為其執行命令 域名,我們得到提供者向客戶發布的地址範圍。 可能有很多這樣的範圍,但為了實驗的目的,讓我們檢查一個。
在我們的例子中,這是線上提供者 (Rostelecom)。 讓我們去 並取得我們的IP位址:
順便說一句,即使沒有專用的 IP 位址服務,Online 也是始終向客戶頒發永久 IP 的提供者之一。 但是,該地址可能幾個月都不會改變。
讓我們使用 nmap 解析整個位址範圍 95.84.192.0/18(約 16 個位址)。 選項 -sL 基本上不會主動掃描主機,而只會傳送 DNS 查詢,因此在結果中我們只會看到包含與 IP 位址關聯的網域的行。
$ nmap -sL -vvv 95.84.192.0/18
......
Nmap scan report for broadband-95-84-195-131.ip.moscow.rt.ru (95.84.195.131)
Nmap scan report for broadband-95-84-195-132.ip.moscow.rt.ru (95.84.195.132)
Nmap scan report for broadband-95-84-195-133.ip.moscow.rt.ru (95.84.195.133)
Nmap scan report for broadband-95-84-195-134.ip.moscow.rt.ru (95.84.195.134)
Nmap scan report for broadband-95-84-195-135.ip.moscow.rt.ru (95.84.195.135)
Nmap scan report for mx2.merpassa.ru (95.84.195.136)
Nmap scan report for broadband-95-84-195-137.ip.moscow.rt.ru (95.84.195.137)
Nmap scan report for broadband-95-84-195-138.ip.moscow.rt.ru (95.84.195.138)
Nmap scan report for broadband-95-84-195-139.ip.moscow.rt.ru (95.84.195.139)
Nmap scan report for broadband-95-84-195-140.ip.moscow.rt.ru (95.84.195.140)
Nmap scan report for broadband-95-84-195-141.ip.moscow.rt.ru (95.84.195.141)
Nmap scan report for broadband-95-84-195-142.ip.moscow.rt.ru (95.84.195.142)
Nmap scan report for broadband-95-84-195-143.ip.moscow.rt.ru (95.84.195.143)
Nmap scan report for broadband-95-84-195-144.ip.moscow.rt.ru (95.84.195.144)
.....
幾乎所有位址都有一個標準的 PTR 記錄,例如 寬頻位址.ip.moscow.rt.ru 除了幾件事之外,包括 mx2.merpassa.ru。 從mx子網域來看,這是一個郵件伺服器(郵件交換)。 讓我們嘗試在服務中檢查這個地址
可以看出,整個IP範圍都在永久封鎖清單中,從該伺服器發送的信件極少會到達收件者。 選擇發送郵件的伺服器時請考慮這一點。
將郵件伺服器保留在您的家庭提供者的 IP 範圍內始終是一個壞主意。 這樣的伺服器在發送和接收郵件時會出現問題。 如果您的系統管理員建議直接在辦公室 IP 位址上部署郵件伺服器,請記住這一點。
使用真實託管或電子郵件服務。 這樣您就不必經常打電話來檢查您的信件是否已到達。
託管在 WiFi 路由器上
隨著像 Raspberry Pi 這樣的單板電腦的出現,看到一個網站在香菸盒大小的裝置上運行並不奇怪,但即使在 Raspberry Pi 之前,愛好者就直接在 WiFi 路由器上運行主頁!
傳奇的WRT54G路由器,2004年啟動OpenWRT項目
OpenWRT專案開始的Linksys WRT54G路由器沒有USB端口,但工匠們在其中發現了焊接的GPIO引腳,可以用作SPI。 這就是為裝置添加 SD 卡的 mod 的出現方式。 這為創造力提供了巨大的自由。 您甚至可以組合整個 PHP! 我個人記得我是如何在幾乎不知道如何焊接的情況下將 SD 卡焊接到該路由器上的。 稍後,USB連接埠將出現在路由器中,您只需插入隨身碟即可。
在此之前,網路上有幾個項目是完全在家庭WiFi路由器上啟動的;下面會對此進行說明。 不幸的是,我找不到一個即時網站。 也許你知道這些?
IKEA桌子的服務器櫃
有一天,有人發現宜家一款名為 Lack 的流行咖啡桌非常適合用作標準 19 吋伺服器的機架。 由於其 9 美元的價格,這款桌子在創建家庭資料中心時非常受歡迎。 這種安裝方法叫做 .
IKEA Lakk 桌子是取代服務器櫃的理想選擇
這些桌子可以一張疊放,形成真正的伺服器機櫃。 不幸的是,由於層壓刨花板脆弱,沉重的服務器導致桌子散架。 為了可靠性,它們用金屬角加固。
學童如何剝奪我上網的權利
正如預期的那樣,我也有自己的床下伺服器,上面運行著一個簡單的論壇,專門討論與遊戲相關的主題。 有一天,一名好鬥的男生對禁令不滿,說服了他的戰友,他們一起開始從家裡的電腦上對我的論壇進行 DDoS。 由於當時整個網路通道大約有20兆,他們成功地將我家的網路完全癱瘓了。 防火牆阻止沒有任何幫助,因為通道已完全耗盡。
從外面看起來很有趣:
- 你好,為什麼不在 ICQ 上回覆我?
- 抱歉,沒有互聯網,他們正在試圖找到我。
聯絡提供者並沒有幫助,他們告訴我,處理這個問題不是他們的責任,他們只能完全阻止我傳入的流量。 所以我在沒有網路的情況下坐了兩天,直到攻擊者厭倦了。
結論
應該有一些可以部署在家庭伺服器上的現代 P2P 服務,例如 ZeroNet、IPFS、Tahoe-LAFS、BitTorrent、I2P。 但在過去的幾年裡,我的看法已經發生了很大的變化。 我認為,在家庭 IP 位址上託管任何公共服務,尤其是那些涉及下載使用者內容的公共服務,都會給居住在公寓中的所有居民帶來不合理的風險。 現在我建議您盡可能禁止來自互聯網的傳入連接,放棄專用IP位址,並將所有項目保留在互聯網上的遠端伺服器上。
在 Instagram 上關注我們的開發者
來源: www.habr.com