Спасибо, изучу этот вариант, может с ним реально проще.
Но в целом у меня затык не в связке Pi-Hole с Unbound, а в настройке сервера и клиента. Уже почти разобрался со своей схемой, осталось только понять что выставлять в конфиге pi-hole - tun или lo.
Мне ближе вариант с ключами, но я его никак не могу побороть, не работает почему-то. Платить за статичный айпишник я не хочу. А мои "клиенты" - тем более.
Ну вот в том-то у меня и вопрос - смысл блочить через ufw порты, которые не слушает даже мой сервер? Ufw ставить боюсь, и без него гемора с настройками хватает.
Для меня (как обычного смертного) это все равно шок)
а так - fail2ban поставить и забить
Edit: погуглю, спасибо. А можно просто тупо поставить какой-то timout подключений для одного IP в настройках nginx? Чтобы меня битый час не пробивал один и тот же айпишник в поисках 100500 уязвимостей?)
только возникает вопрос как nginx может слушать localhost, если он у Вас доступен публично?))
Просто 99% трафика на 443 передается другим сервисом на порт в localhost, который слушает nginx. Хотя не исключаю, что это я неправильно понимаю принцип работы nginx (если условно сам сервис nginx доступен и извне, а по localhost слушает только для выдачи конкретного сайта). Но насколько я понимаю - сами сервисы и их файлы доступны же только по SSH, верно?
Спасибо! Помучался с третьим вариантом - и с haproxy (не смог даже запустить трафик на веб-сервер через haproxy, до xray не добрался), и c nginx (веб-сервер запустился, xray в клиенте - нет, даже после отключения reality и vision).
В итоге снёс сервер, перенес сайт на nginx и без проблем реализовал вариант 1.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Но в целом у меня затык не в связке Pi-Hole с Unbound, а в настройке сервера и клиента. Уже почти разобрался со своей схемой, осталось только понять что выставлять в конфиге pi-hole - tun или lo.