استضافة موقع إلكتروني بشكل مجهول من المنزل باستخدام Raspberry Pi

تشغيل موقع عام من Raspberry Pi على شبكتك المنزلية قد يكشف أكثر من مجرد عنوان IP واحد. هذا الإعداد يقلل من هذا التعرض بطرق عملية:

• اخفِ عنوان IP المنزلي خلف نقطة خروج VPN حتى لا يتمكن المراقبون من ربط حركة مرور Raspberry Pi بموقعك.
• قم بإلغاء إعادة توجيه المنافذ الواردة لأن Raspberry Pi يحافظ فقط على اتصالات نفق Cloudflare الصادرة.
• دع Cloudflare يتولى إدارة TLS والتخزين المؤقت وامتصاص هجمات DDoS بينما يبقى مصدر Raspberry Pi خاصًا.
• حافظ على التكلفة المنخفضة ومرونة الاستضافة الذاتية على Raspberry Pi دون الحاجة لاستئجار خادم منفصل.

يستخدم تصميم Raspberry Pi هذا مسارًا صادرًا واحدًا ومناطق ثقة واضحة حتى لا يصبح المصدر قابلاً للوصول علنًا.

1. يقوم الزوار بحل اسم النطاق الخاص بك عبر DNS الخاص بـ Cloudflare وتنتهي جلسة HTTPS على حافة Cloudflare.
2. يعمل جهاز Raspberry Pi الخاص بك على تشغيل cloudflared الذي يحافظ على نفق صادر فقط إلى Cloudflare.
3. يجبر Raspberry Pi حركة المرور عبر النفق على المرور بواجهة VPN بحيث ترى Cloudflare فقط عنوان IP خروج VPN.
4. يستجيب خادم الويب على Raspberry Pi، وتعود الردود عبر VPN وحافة Cloudflare.

نظرًا لأن Raspberry Pi يتصل فقط بشكل صادر، فإن جهاز التوجيه الخاص بك لا يفتح أي منافذ للإنترنت، مما يقلل بشكل كبير من نقاط الهجوم في الشبكة المنزلية.

اجمع الأجهزة والحسابات التالية قبل تحويل Raspberry Pi إلى خادم ويب منزلي خاص خلف نفق Cloudflare:

• جهاز Raspberry Pi 4 أو أحدث مع 4 جيجابايت رام على الأقل، طاقة موثوقة، وبطاقة microSD أو SSD عالية التحمل.
• نظام تشغيل Raspberry Pi OS Lite مع تمكين SSH وتطبيق إجراءات تقوية أساسية.
• حساب Cloudflare مع إدارة نطاقك في DNS الخاص بـ Cloudflare.
• الوصول إلى لوحة تحكم Cloudflare Zero Trust لإنشاء الأنفاق والسياسات.
• مزود VPN لا يحتفظ بالسجلات ويدعم ملفات تكوين WireGuard أو OpenVPN.
• اختياري: وكيل عكسي مثل Nginx أو Caddy أو Traefik للتوجيه والرؤوس.

طقم Raspberry Pi الموصى به للبداية

اختيار العتاد

طقم Raspberry Pi 4 للمبتدئين

طقم مدمج مع اللوحة ومزوّد الطاقة والتخزين يساعدك على تشغيل إعداد الاستضافة المجهولة بسرعة.

تسوّق عبر أمازون

إذا كنت تحتاج إلى VPN يركز على الخصوصية، مزودون مدققون مثل Proton VPN أو NordVPN يدعمون WireGuard على Raspberry Pi ويوفرون تحكمات مفتاح الإيقاف.

قم بتقوية نظام Raspberry Pi الأساسي ليظل مستقرًا حتى عندما يصبح الموقع متاحًا للجمهور عبر Cloudflare:

1. قم بتحديث نظام التشغيل باستخدام sudo apt update و sudo apt full-upgrade, ثم أعد التشغيل.
2. أنشئ مستخدماً غير جذر بصلاحيات sudo وعطّل تسجيل الدخول عبر SSH باستخدام كلمة المرور.
3. فعّل التحديثات التلقائية لتثبيت تصحيحات الأمان تلقائياً.
4. طبق قواعد جدار الحماية التي تسمح فقط بحركة المرور الصادرة المطلوبة لـ VPN وCloudflare.
5. قوِّ SSH باستخدام تسجيل الدخول بالمفتاح فقط وفعّل fail2ban أو CrowdSec لإبطاء محاولات القوة الغاشمة.
6. شغّل حزمة الويب على Raspberry Pi تحت نظام systemd ليتم إعادة تشغيل الخدمات تلقائيًا بعد الأعطال.

بعد ذلك، تأكد من أن نفق Raspberry Pi يمكنه الوصول إلى الإنترنت فقط عبر مسار VPN مشفر:

1. أنشئ ملفات تعريف WireGuard أو OpenVPN من مزود VPN الخاص بك. عادةً ما يكون WireGuard أسرع على Raspberry Pi.
2. استورد التكوين. بالنسبة لـ WireGuard، ضعه في /etc/wireguard/wg0.conf.
3. ابدأ تشغيل VPN واجعل واجهة VPN هي المسار الافتراضي لحركة مرور Raspberry Pi الصادرة.
4. فعّل التشغيل التلقائي عند الإقلاع باستخدام systemd networkd أو NetworkManager.
5. نفذ مفتاح إيقاف باستخدام iptables أو nftables حتى لا يتمكن cloudflared من الاتصال بدون VPN.
6. تأكد من عنوان IP الخروج باستخدام curl https://ifconfig.me حتى تعرف أن Cloudflare سترى فقط عنوان VPN.

مع تفعيل VPN، أنشئ نفق Cloudflare على Raspberry Pi يقوم بتمرير طلبات HTTPS إلى خادم الويب المحلي:

1. قم بتثبيت cloudflared من المستودع الرسمي أو استخدم الملف التنفيذي المستقل.
2. قم بالمصادقة مع cloudflared tunnel login لربط حسابك.
3. أنشئ نفقاً مسمى مثل cloudflared tunnel create anonymous-site وسجل معرف UUID.
4. اكتب /etc/cloudflared/config.yml مع قواعد الدخول التي تربط اسم المضيف الخاص بك بخدمة الويب التي تعمل على Raspberry Pi.
5. أجبر النفق على استخدام مسار VPN بالحفاظ على المسار الافتراضي على واجهة VPN وفرض قواعد مفتاح الإيقاف.
6. أنشئ خدمة systemd ليبدأ النفق عند الإقلاع ويعاد تشغيله عند الفشل.
7. أنشئ سجل DNS في Cloudflare (CNAME) يشير إلى اسم المضيف الخاص بك باستخدام UUID النفق تحت cfargotunnel.com.

بعد ذلك، يصل الزوار إلى الموقع عبر Cloudflare بينما يبقى مصدر Raspberry Pi خاصًا وغير قابل للفحص المباشر.

راجع التوثيق الرسمي لنفق Cloudflare لمزيد من الإرشادات حول السياسات.

تضمن الدفاعات متعددة الطبقات بقاء استضافة Raspberry Pi المنزلية قوية حتى في حال فشل أحد الضوابط:

• احمِ المسارات الحساسة باستخدام سياسات Cloudflare Zero Trust أو رموز الخدمة.
• فعّل قواعد WAF، وحماية الروبوتات، وتحديد المعدل لتقليل سوء الاستخدام.
• استخدم شهادات المصدر المقيدة للنفق وفرض HTTPS من الطرف إلى الطرف.
• شغّل fail2ban أو CrowdSec على الجهاز لمنع محاولات المصادقة المتكررة.
• فصل المحتوى العام عن لوحات الإدارة وحماية الأدوات الخاصة باستخدام Cloudflare Access.
• أرسل سجلات منقحة إلى جامع عن بُعد عبر VPN لتقليل تعرض البيانات الوصفية.

راقب كل طبقة من Raspberry Pi لضمان عدم تسرب عنوان IP الأصلي عن طريق الخطأ أثناء الانقطاعات:

• شغّل cloudflared tunnel info لتأكيد أن الموصل يعمل بشكل سليم.
• استعلم عن DNS باستخدام dig +short وتحقق من أنه يحل إلى عناوين IP لحافة Cloudflare.
• افحص واجهة VPN باستخدام wg show أو openvpn --status لتأكيد أن التشفير نشط.
• تابع حالة وحدة المعالجة المركزية والذاكرة وصحة القرص وعرض النطاق الترددي لـ Raspberry Pi باستخدام Netdata أو Prometheus Node Exporter أو Grafana Agent.
• حدد جداول لفحص وقت التشغيل لتتلقى تنبيهات سريعة إذا انقطع النفق أو VPN.
• راجع تحليلات Cloudflare للبحث عن ارتفاعات، حظر، وأنماط تشير إلى محاولات استكشاف.

يمكن لموقع يستضاف على Raspberry Pi أن يحافظ على ترتيب جيد إذا كان التوصيل سريعًا ومستقرًا:

• فعّل التخزين المؤقت وميزات الأداء في Cloudflare لتحميل المحتوى بسرعة عالمياً.
• استخدم Brotli وHTTP/3 لتقليل زمن الاستجابة بين الزوار وحافة Cloudflare.
• قم بتفريغ الأصول الثابتة إلى Cloudflare Workers أو Pages مع الاحتفاظ بالمنطق الديناميكي على Raspberry Pi.
• أضف بيانات منظمة بصيغة JSON-LD لتحسين فرص ظهور النتائج الغنية حيثما كان ذلك مناسباً.
• قم بأتمتة عمليات النشر عبر النفق لتجنب كشف منافذ الإدارة.
• راقب مؤشرات Core Web Vitals باستخدام تحليلات تحترم الخصوصية وقم بإصلاح التراجع مبكراً.

من خلال فصل التوصيل عن إدارة مصدر Raspberry Pi، تحصل على أداء عالمي دون التضحية بالخصوصية.

تعمق أكثر مع هذه الموارد الخاصة بالخصوصية والأمان: