Öppna upp nätverk

Om du har ett publikt IP är det bara att göra port forwarding eller köra en reverse proxy mot din server. En till router krånglar bara till det.

Som sagt, gör bara en enkel port forward. Du kan redan nu kontrollera om du har ett riktigt publikt IP. Om du har 100.64.x.x – 100.127.x.x så är du bakom CGNAT och behöver kontakta din ISP och be om att få ett riktigt IP. Du kollar detta genom att logga in på din router och kolla WAN.

Det du beskriver är en slags DMZ-konfiguration, där du har ett separat nätverk för dina publika servrar som du inte vill ska kunna komma åt ditt interna nätverk. Den sortens konfiguration använder man för att säkerställa att någon som tar sig in i din server inte kan använda den servern som språngbräda för att angripa resten av ditt nätverk.

Att bygga detta med två hemmaroutrar bakom varandra som du beskriver är möjligt, men det är generellt inte att rekommendera. Om du inte gör någon annan konfiguration så kommer du att ha ett nätverk med dubbel NAT. Detta är inte önskvärt, eftersom det kan skapa problem med olika sorters applikationer som använder peer-to-peer-kommunikation. (Spel, röst- och videosamtal, etc.) Det kan finnas sätt att bygga en DMZ-konfiguration med endast en router, eller konfigurera så att man slipper dubbel NAT, men det är omöjligt att veta utan att veta exakt vilken router du har och vad den kan göra.

Bättre i så fall, om din internetleverantör stödjer det (låter dig använda flera publika IP-adresser), är att koppla in två routrar bredvid varandra (inte den ena bakom den andra) med olika publika IP-adresser. Eller till och med koppla in servern direkt mot Internet utan en router bakom och istället sköta säkerheten genom en brandvägg installerad på själva servern.

Det krånglar till det, ja, men den här sortens konfiguration tillför ju på riktigt säkerhet mot olika sorters följdattacker av att servern blir hackad. Frågan är ju dock hur sannolika den här sortens attacker är på riktigt.

Hur du ska sätta upp det för att det säkerhetsmässigt ska bli bra beror ju på vad du ska köra på servern. Bara en webserver, kör med en reverse proxy. Hemma snickrad webapp utan databas så skulle jag säga samma sak om du är hemma på webutveckling. Ska du köra wordpress med en massa plugins så skulle jag råda dig att inte hosta den hemma hos dig.

Vilken slags applikation som körs har ju ingen påverkan på vad en angripa kan göra om de lyckas få ett skal servern och sedan vill ta sig vidare in i LAN:et.

Vilken slags applikation som körs påverkar hur stor sannolikhet att en angriper kan köra kod på servern. Med ditt sätt att se på det ska du inte köra någon server hemma överhuvudtaget, skaffa dig en VPS.

... eller så isolerar man servern i ett DMZ hemma, och får samma resultat.

(Personligen hade jag också kört en VPS, mest för att jag har begränsat med utrymme hemma, och inte orkar ha mer än nödvändig teknik hemma. Eller t.o.m. ett webbhotell om det bara är för att sätta upp "en hemsida". Men nu är ju TS utgångspunkt är ju att han har köpt en begagnad server som han rimligtvis vill använda.)