Гид по технологиям

Защитите свой Plex: скрытие сервера, TLS и настройка через Raspberry Pi

7 min read Безопасность Обновлено 20 Apr 2026
Как защитить Plex через Raspberry Pi и HTTPS
Как защитить Plex через Raspberry Pi и HTTPS

Что такое Plex и почему это важно

Plex — это серверное ПО для домашней медиатеки. Вы храните фильмы, сериалы и музыку на ПК, NAS или Raspberry Pi и получаете к ним доступ через приложения или браузер. Plex Pass добавляет функции вроде записи эфирного ТВ и синхронизации прогресса.

Определение: TLS — протокол, который шифрует трафик между клиентом и сервером и защищает от перехвата (MITM).

Почему открытый порт 32400 — проблема

По умолчанию Plex слушает порт 32400. Если вы хотите смотреть контент вне дома, пользователи часто открывают этот порт на роутере и пробрасывают его на сервер. Тогда сервер доступен через your.public.ip.address:32400.

Проблемы:

  • Трафик по IP и порту 32400 обычно не шифруется. Это делает соединение уязвимым для перехвата (MITM).
  • Уязвимости в старых версиях Plex позволяют завладеть хостом. Если Plex не обновлён, риск возрастает.
  • Инструменты типа MASSCAN позволяют быстро найти все открытые порты 32400 в интернете.

Важно: не все уязвимости раскрываются моментально, поэтому регулярное обновление Plex — первая и обязательная мера безопасности.

Домашний медиасервер Plex с подключёнными устройствами

Общее решение: доменное имя + TLS + обратный прокси

Идея проста: не показывать порт 32400 в интернете. Вместо этого регистрации домена и настройка обратного прокси через стандартные веб-порты (80/443). Прокси принимает HTTPS-запросы и перенаправляет их на локальный Plex, при этом внешний мир видит только ваш домен и защищённое HTTPS-соединение.

Преимущества:

  • TLS защищает от MITM и перехвата паролей.
  • Порт-сканеры не «светят» Plex на нестандартном порту.
  • Можно применять дополнительные правила безопасности на прокси: фильтрация, аутентификация, ограничения по IP и т.д.

Домены бывают дешёвыми и даже бесплатными (например, некоторые провайдеры предлагают бесплатные домены). Альтернатива — использовать Dynamic DNS, если у вас динамический внешний IP.

Что понадобится

  • Недорогой Raspberry Pi Zero W или другой недорогой одноплатник (примерно $10 за Zero W). Можно использовать старый ПК или виртуальную машину, но Pi удобен и энергоэффективен.
  • Домен или сервис DDNS.
  • Доступ к панели управления вашего регистратора и к административной панели роутера.
  • Базовые навыки работы с SSH и Linux.

Админ-панель роутера: проброс HTTP/HTTPS

Пошаговая инструкция: настройка Raspberry Pi как обратного прокси для Plex

  1. В панели регистратора откройте «Advanced DNS». Удалите лишние записи, создайте A-запись:
  • Хост: @
  • Значение: ваш публичный IP
  • TTL: минимально возможное (чтобы быстрее применялись изменения)
  1. На роутере пробросьте порты:
  • Пробросьте 80 и 443 на локальный IP вашего Raspberry Pi.
  • Закройте прямой проброс порта 32400 на Plex-хост.
  1. Установите Raspberry Pi OS на Pi и подключитесь по SSH:
ssh pi@your.pi.local.ip
  1. Обновите систему:
sudo apt update
sudo apt upgrade
  1. Установите Apache и модули проксирования:
sudo apt install apache2
sudo systemctl start apache2
sudo systemctl enable apache2
  1. Установите Certbot для получения сертификата от Let’s Encrypt:
sudo add-apt-repository ppa:certbot/certbot
sudo apt update
sudo apt-get install python3-certbot-apache
  1. Создайте конфигурацию Apache для проксирования на Plex. Перейдите в рабочую папку и откройте редактор:
sudo nano plex.conf

Вставьте в файл следующее содержимое (замените your-domain-name.tld и локальный IP Plex):


ServerName your-domain-name.tld
ProxyPreserveHost On
ProxyPass / http://your.plex.server.local.ip:32400/
RewriteEngine on
RewriteCond %{HTTP:Upgrade} websocket [NC]
RewriteCond %{HTTP:Connection} upgrade [NC]

Сохраните и выйдите: Ctrl+O, Enter, Ctrl+X.

  1. Включите сайт и перезапустите Apache:
sudo a2ensite plex.conf
sudo service apache2 restart
  1. Запустите certbot и получите сертификат:
sudo certbot

Следуйте интерактивным подсказкам: укажите email, согласитесь с условиями и выберите домен. Certbot автоматически настроит HTTPS и обновит конфигурацию Apache.

  1. Перезапустите Apache и выйдите из SSH:
sudo service apache2 restart
exit

Важно: после этого все внешние запросы будут идти через https://your-domain-name.tld и попадать на ваш Plex за прокси. Порт 32400 больше не будет доступен из интернета.

Дополнительные меры безопасности

  • Регулярно обновляйте Plex и систему на сервере. Обновления патчат уязвимости.
  • Включите двухфакторную аутентификацию для аккаунта Plex, если доступно.
  • Ограничьте доступ к домену по географическим или IP-правилам на прокси, если вы всегда подключаетесь из ограниченного набора локаций.
  • Настройте fail2ban или аналог для блокировки подозрительных попыток входа.
  • Делайте бэкапы метаданных Plex и конфигураций.

Альтернативные подходы

  1. VPN: Поднятие VPN-сервера (WireGuard, OpenVPN) на роутере или Pi. Вы подключаетесь к домашней сети через VPN и используете Plex как будто вы дома. Плюсы: высокий уровень защиты и отсутствие необходимости открывать веб-порты. Минусы: требует конфигурации клиента и может быть сложнее для гостей.

  2. Тоннелирование через облачный сервер (например, reverse SSH tunnel). Плюсы: не нужен публичный IP на домашней сети. Минусы: требует внешнего VPS и дополнительных настроек.

  3. Использовать встроенные облачные функции Plex (Relay). Плюсы: простота. Минусы: потенциальные ограничения по скорости и приватности.

Когда описанная схема может не подойти

  • Если у вас полностью динамический IP и вы не хотите/не можете использовать DDNS.
  • Если вы не хотите приобретать домен и не готовы к дополнительной поддержке сертификатов.
  • Если вы хотите, чтобы к серверу могли легко подключаться неподготовленные друзья — в этом случае VPN может быть неудобен.

Проверка и тесты после настройки

Проверьте доступность домена и сертификата:

  • Откройте https://your-domain-name.tld в браузере и убедитесь, что сертификат действителен.
  • Убедитесь, что порт 32400 недоступен снаружи (используйте онлайн-проверки портов или другой внешний хост).
  • Проверьте потоковое воспроизведение: логин, воспроизведение видео, переключение качества.

Критерии приёмки:

  • Порт 32400 недоступен с публичного IP.
  • HTTPS соединение с доменом возвращает валидный сертификат от Let’s Encrypt.
  • Plex-клиенты соединяются и воспроизводят контент через доменное имя.

Чеклист администратора

  • Зарегистрирован домен или активирован DDNS
  • A-запись указывает на текущий публичный IP
  • На роутере проброшены порты 80 и 443 на Pi
  • Прямой проброс 32400 закрыт
  • Apache настроен и работает
  • Certbot установлен и сертификат выдан
  • Plex обновлён до последней стабильной версии
  • Дополнительные правила безопасности (fail2ban, WAF) включены

Модель мышления и принятия решений

  • Защита от перехвата: TLS — базовый уровень. Если хотите защитить учётные данные и целостность трафика, используйте HTTPS.
  • Скрыть сервис от сканеров: порт 32400 должен быть закрыт или доступен только локально.
  • Гибкость доступа: VPN обеспечивает более приватный доступ, прокси — удобен для быстрого доступа из браузера.

Риски и способы их смягчения

  • Риск: устаревший Plex с уязвимостью. Смягчение: автоматические обновления или план проверки обновлений ежемесячно.
  • Риск: компрометация прокси (Apache). Смягчение: держать OS и Apache в актуальном состоянии, ограничить доступ к SSH, использовать ключи вместо паролей.
  • Риск: утечка учетных данных Plex. Смягчение: включить двухфакторную аутентификацию и использовать уникальные пароли.

Быстрые команды и подсказки

  • Проверить открытые порты на домашнем сервере: sudo ss -tuln
  • Перезапустить Apache: sudo service apache2 restart
  • Обновить все пакеты: sudo apt update && sudo apt upgrade -y

Краткое руководство для гостей (короткая инструкция)

  1. Перейдите по https://your-domain-name.tld
  2. Авторизуйтесь своим Plex-аккаунтом (если требуется)
  3. Наслаждайтесь воспроизведением — ничего дополнительно настраивать не нужно

Советы по совместимости и миграции

  • Если Plex у вас работает на NAS, проверьте, что локальный IP хоста статичен или зарезервирован в DHCP роутера.
  • Перед переносом библиотеки делайте резервные копии папки Plex Media Server/Library.
  • При миграции к новому хосту сохраняйте UID/GID для доступа к файлам мультимедиа.

Заключение

Настройка обратного прокси на Raspberry Pi и внедрение TLS — практичный способ значительно повысить безопасность Plex-сервера без потери удобства. Преимущества: шифрование, скрытие нестандартного порта, гибкость правил доступа. В дополнение, регулярно обновляйте Plex, используйте двухфакторную аутентификацию и подумайте о VPN при повышенных требованиях к приватности.

Краткое резюме:

  • Закройте порт 32400 для интернета.
  • Проксируйте Plex через HTTPS на стандартном порту 443.
  • Используйте Certbot/Let’s Encrypt для бесплатных сертификатов.
  • Рассмотрите VPN как альтернативу при повышенных требованиях к безопасности.

FAQ: если что-то не работает — проверьте логи Apache (/var/log/apache2/), статус Certbot и доступность локального Plex по http://your.plex.server.local.ip:32400.

1-line glossary:

  • TLS: протокол защиты сетевого трафика от перехвата.

Short announcement (100–200 слов):

Организуйте безопасный удалённый доступ к Plex за 30–60 минут. Простая схема: зарегистрируйте домен, установите Raspberry Pi в качестве обратного прокси, получите бесплатный сертификат от Let’s Encrypt и закройте порт 32400. Вы получите зашифрованное HTTPS-соединение, сократите риск сбоев и уязвимостей, а также спрячете ваш Plex-сервер от массовых сканеров портов. Эта методика подходит для домашних пользователей и небольших офисов — не требует дорогих облачных сервисов и даёт контроль над доступом к вашей медиатеке.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Откат iOS 17 Beta на iOS 16 — пошагово
How-to

Откат iOS 17 Beta на iOS 16 — пошагово

Как смотреть Facebook Live — ПК и мобильные
Социальные сети

Как смотреть Facebook Live — ПК и мобильные

Экономия на играх для PS4 и PS5
Игры

Экономия на играх для PS4 и PS5

Включить FM‑радио на смартфоне
Гаджеты

Включить FM‑радио на смартфоне

Импорт расширений Chrome в Firefox
Браузеры

Импорт расширений Chrome в Firefox

Главные аппаратные проблемы MacBook и их решения
Аппаратное обеспечение

Главные аппаратные проблемы MacBook и их решения