Ospita un sito web anonimamente da casa con Raspberry Pi

Ospitare un sito pubblico su Raspberry Pi nella rete domestica può rivelare molto più di un singolo IP. Questa configurazione riduce tale esposizione in modo pratico:

• Nascondi l'IP domestico dietro un nodo di uscita VPN per impedire che il traffico del Raspberry Pi venga collegato alla tua posizione.
• Elimina il port forwarding in ingresso poiché il Raspberry Pi mantiene solo connessioni in uscita tramite Cloudflare Tunnel.
• Lascia che Cloudflare gestisca TLS, caching e assorbimento DDoS mentre l'origine Raspberry Pi rimane privata.
• Mantieni il basso costo e la flessibilità dell'hosting autonomo su Raspberry Pi senza affittare un server separato.

Questo design del Raspberry Pi utilizza un unico percorso in uscita e zone di fiducia chiare per evitare che l'origine diventi pubblicamente raggiungibile:

1. I visitatori risolvono il tuo dominio nel DNS di Cloudflare e terminano HTTPS sul edge di Cloudflare.
2. Il tuo Raspberry Pi esegue cloudflared, che mantiene un tunnel solo in uscita verso Cloudflare.
3. Il Raspberry Pi instrada il traffico del tunnel attraverso un'interfaccia VPN così Cloudflare vede solo l'IP di uscita VPN.
4. Il server web sul Raspberry Pi risponde e le risposte tornano attraverso la VPN e il nodo Cloudflare.

Poiché il Raspberry Pi si connette solo in uscita, il router non apre porte verso internet, riducendo drasticamente la superficie di attacco domestica.

Raccogli l'hardware e gli account seguenti prima di trasformare il tuo Raspberry Pi in un server web privato dietro Cloudflare Tunnel:

• Un Raspberry Pi 4 o più recente con almeno 4 GB di RAM, alimentazione affidabile e una microSD o SSD ad alta durata.
• Raspberry Pi OS Lite con SSH abilitato e hardening di base applicato.
• Un account Cloudflare con il tuo dominio gestito nel DNS di Cloudflare.
• Accesso alla dashboard Cloudflare Zero Trust per creare tunnel e policy.
• Un provider VPN senza log che supporta file di configurazione WireGuard o OpenVPN.
• Opzionale: un reverse proxy come Nginx, Caddy o Traefik per routing e header.

Kit starter Raspberry Pi consigliato

Scelta hardware

Kit starter Raspberry Pi 4

Un kit compatto con scheda, alimentatore e storage ti aiuta a portare online rapidamente l'hosting anonimo.

Acquista su Amazon

Se ti serve una VPN focalizzata sulla privacy, provider verificati come Proton VPN o NordVPN supportano WireGuard su Raspberry Pi e offrono controlli kill switch.

Rafforza il sistema base del Raspberry Pi per mantenerlo stabile anche quando il sito diventa accessibile pubblicamente tramite Cloudflare:

1. Aggiorna il sistema operativo con sudo apt update e sudo apt full-upgrade, poi riavvia.
2. Crea un utente non root con privilegi sudo e disabilita l'accesso SSH con password.
3. Abilita gli aggiornamenti automatici per installare le patch di sicurezza senza interventi manuali.
4. Applica regole firewall che consentano solo il traffico in uscita necessario per VPN e Cloudflare.
5. Rinforza SSH con accesso solo tramite chiave e abilita fail2ban o CrowdSec per rallentare i tentativi di forza bruta.
6. Esegui la tua stack web su Raspberry Pi sotto systemd per far riavviare automaticamente i servizi dopo crash.

Successivamente, assicurati che il tunnel del Raspberry Pi possa accedere a internet solo tramite un percorso VPN criptato:

1. Genera profili WireGuard o OpenVPN dal tuo provider VPN. WireGuard è solitamente più veloce su Raspberry Pi.
2. Importa la configurazione. Per WireGuard, posizionala in /etc/wireguard/wg0.conf.
3. Avvia la VPN e imposta l'interfaccia VPN come percorso predefinito per il traffico in uscita del Raspberry Pi.
4. Abilita l'avvio automatico all'accensione usando systemd networkd o NetworkManager.
5. Implementa un kill switch con iptables o nftables in modo che cloudflared non possa connettersi senza VPN.
6. Conferma l'IP di uscita con curl https://ifconfig.me così sai che Cloudflare vedrà solo l'indirizzo VPN.

Con la VPN attiva, crea un Cloudflare Tunnel sul Raspberry Pi che proxy le richieste HTTPS al server web locale:

1. Installa cloudflared dal repository ufficiale o usa il binario standalone.
2. Autenticati con cloudflared tunnel login per collegare il tuo account.
3. Crea un tunnel nominato come cloudflared tunnel create anonymous-site e annota l'UUID.
4. Scrivi /etc/cloudflared/config.yml con regole di ingress che mappano il tuo hostname al servizio web in esecuzione sul Raspberry Pi.
5. Forza il tunnel a usare il percorso VPN mantenendo la rotta predefinita sull'interfaccia VPN e applicando le regole del kill switch.
6. Crea un servizio systemd affinché il tunnel si avvii all'accensione e si riavvii in caso di errori.
7. Crea il record DNS Cloudflare (CNAME) che punta il tuo hostname all'UUID del tunnel sotto cfargotunnel.com.

Dopo questo, i visitatori accedono al sito tramite Cloudflare mentre l'origine Raspberry Pi rimane privata e non raggiungibile da scansioni dirette.

Consulta la documentazione ufficiale di Cloudflare Tunnel per indicazioni più approfondite sulle policy.

Le difese a strati mantengono l'hosting domestico su Raspberry Pi resiliente anche se un controllo fallisce:

• Proteggi i percorsi sensibili usando policy Cloudflare Zero Trust o token di servizio.
• Abilita regole WAF, protezione bot e limitazione della velocità per ridurre gli abusi.
• Usa certificati di origine limitati al tunnel e applica HTTPS end-to-end.
• Esegui fail2ban o CrowdSec sul Pi per bloccare tentativi di autenticazione ripetuti.
• Separa i contenuti pubblici dai pannelli di amministrazione e proteggi gli strumenti privati con Cloudflare Access.
• Invia log sanitizzati a un collettore remoto tramite VPN per minimizzare l'esposizione dei metadati.

Monitora ogni livello del Raspberry Pi per evitare che interruzioni causino perdite accidentali dell'IP di origine:

• Esegui cloudflared tunnel info per confermare che il connettore è attivo.
• Interroga il DNS con dig +short e verifica che risolva in IP edge di Cloudflare.
• Controlla l'interfaccia VPN con wg show o openvpn --status per confermare che la crittografia sia attiva.
• Monitora CPU, memoria, stato disco e banda del Raspberry Pi con Netdata, Prometheus Node Exporter o Grafana Agent.
• Programma controlli di uptime per ricevere avvisi rapidi se il tunnel o la VPN cadono.
• Esamina le analisi Cloudflare per picchi, blocchi e schemi che suggeriscono tentativi di sondaggio.

Un sito web ospitato su Raspberry Pi può posizionarsi bene se la consegna è rapida e costante:

• Abilita caching e funzionalità di performance di Cloudflare per caricare rapidamente i contenuti in tutto il mondo.
• Usa Brotli e HTTP/3 per ridurre la latenza tra i visitatori e il edge di Cloudflare.
• Sposta gli asset statici su Cloudflare Workers o Pages mantenendo la logica dinamica sul Raspberry Pi.
• Aggiungi dati strutturati JSON-LD per migliorare l'idoneità ai risultati arricchiti dove rilevante.
• Automatizza le distribuzioni tramite il tunnel per evitare di esporre porte di gestione.
• Monitora i Core Web Vitals con analisi rispettose della privacy e correggi le regressioni tempestivamente.

Separando la consegna dalla gestione dell'origine Raspberry Pi, ottieni prestazioni globali senza compromettere la privacy.

Approfondisci con queste risorse su privacy e sicurezza: