Защитите свой Plex: скрытие сервера, TLS и настройка через Raspberry Pi

Что такое Plex и почему это важно

Plex — это серверное ПО для домашней медиатеки. Вы храните фильмы, сериалы и музыку на ПК, NAS или Raspberry Pi и получаете к ним доступ через приложения или браузер. Plex Pass добавляет функции вроде записи эфирного ТВ и синхронизации прогресса.

Определение: TLS — протокол, который шифрует трафик между клиентом и сервером и защищает от перехвата (MITM).

Почему открытый порт 32400 — проблема

По умолчанию Plex слушает порт 32400. Если вы хотите смотреть контент вне дома, пользователи часто открывают этот порт на роутере и пробрасывают его на сервер. Тогда сервер доступен через your.public.ip.address:32400.

Проблемы:

• Трафик по IP и порту 32400 обычно не шифруется. Это делает соединение уязвимым для перехвата (MITM).
• Уязвимости в старых версиях Plex позволяют завладеть хостом. Если Plex не обновлён, риск возрастает.
• Инструменты типа MASSCAN позволяют быстро найти все открытые порты 32400 в интернете.

Важно: не все уязвимости раскрываются моментально, поэтому регулярное обновление Plex — первая и обязательная мера безопасности.

Общее решение: доменное имя + TLS + обратный прокси

Идея проста: не показывать порт 32400 в интернете. Вместо этого регистрации домена и настройка обратного прокси через стандартные веб-порты (80/443). Прокси принимает HTTPS-запросы и перенаправляет их на локальный Plex, при этом внешний мир видит только ваш домен и защищённое HTTPS-соединение.

Преимущества:

• TLS защищает от MITM и перехвата паролей.
• Порт-сканеры не «светят» Plex на нестандартном порту.
• Можно применять дополнительные правила безопасности на прокси: фильтрация, аутентификация, ограничения по IP и т.д.

Домены бывают дешёвыми и даже бесплатными (например, некоторые провайдеры предлагают бесплатные домены). Альтернатива — использовать Dynamic DNS, если у вас динамический внешний IP.

Что понадобится

• Недорогой Raspberry Pi Zero W или другой недорогой одноплатник (примерно $10 за Zero W). Можно использовать старый ПК или виртуальную машину, но Pi удобен и энергоэффективен.
• Домен или сервис DDNS.
• Доступ к панели управления вашего регистратора и к административной панели роутера.
• Базовые навыки работы с SSH и Linux.

Пошаговая инструкция: настройка Raspberry Pi как обратного прокси для Plex

1. В панели регистратора откройте «Advanced DNS». Удалите лишние записи, создайте A-запись:

• Хост: @
• Значение: ваш публичный IP
• TTL: минимально возможное (чтобы быстрее применялись изменения)

2. На роутере пробросьте порты:

• Пробросьте 80 и 443 на локальный IP вашего Raspberry Pi.
• Закройте прямой проброс порта 32400 на Plex-хост.

3. Установите Raspberry Pi OS на Pi и подключитесь по SSH:

ssh pi@your.pi.local.ip

4. Обновите систему:

sudo apt update
sudo apt upgrade

5. Установите Apache и модули проксирования:

sudo apt install apache2
sudo systemctl start apache2
sudo systemctl enable apache2

6. Установите Certbot для получения сертификата от Let’s Encrypt:

sudo add-apt-repository ppa:certbot/certbot
sudo apt update
sudo apt-get install python3-certbot-apache

7. Создайте конфигурацию Apache для проксирования на Plex. Перейдите в рабочую папку и откройте редактор:

sudo nano plex.conf

Вставьте в файл следующее содержимое (замените your-domain-name.tld и локальный IP Plex):

ServerName your-domain-name.tld
ProxyPreserveHost On
ProxyPass / http://your.plex.server.local.ip:32400/
RewriteEngine on
RewriteCond %{HTTP:Upgrade} websocket [NC]
RewriteCond %{HTTP:Connection} upgrade [NC]

Сохраните и выйдите: Ctrl+O, Enter, Ctrl+X.

8. Включите сайт и перезапустите Apache:

sudo a2ensite plex.conf
sudo service apache2 restart

9. Запустите certbot и получите сертификат:

sudo certbot

Следуйте интерактивным подсказкам: укажите email, согласитесь с условиями и выберите домен. Certbot автоматически настроит HTTPS и обновит конфигурацию Apache.

10. Перезапустите Apache и выйдите из SSH:

sudo service apache2 restart
exit

Важно: после этого все внешние запросы будут идти через https://your-domain-name.tld и попадать на ваш Plex за прокси. Порт 32400 больше не будет доступен из интернета.

Дополнительные меры безопасности

• Регулярно обновляйте Plex и систему на сервере. Обновления патчат уязвимости.
• Включите двухфакторную аутентификацию для аккаунта Plex, если доступно.
• Ограничьте доступ к домену по географическим или IP-правилам на прокси, если вы всегда подключаетесь из ограниченного набора локаций.
• Настройте fail2ban или аналог для блокировки подозрительных попыток входа.
• Делайте бэкапы метаданных Plex и конфигураций.

Альтернативные подходы

1. VPN: Поднятие VPN-сервера (WireGuard, OpenVPN) на роутере или Pi. Вы подключаетесь к домашней сети через VPN и используете Plex как будто вы дома. Плюсы: высокий уровень защиты и отсутствие необходимости открывать веб-порты. Минусы: требует конфигурации клиента и может быть сложнее для гостей.

2. Тоннелирование через облачный сервер (например, reverse SSH tunnel). Плюсы: не нужен публичный IP на домашней сети. Минусы: требует внешнего VPS и дополнительных настроек.

3. Использовать встроенные облачные функции Plex (Relay). Плюсы: простота. Минусы: потенциальные ограничения по скорости и приватности.

Когда описанная схема может не подойти

• Если у вас полностью динамический IP и вы не хотите/не можете использовать DDNS.
• Если вы не хотите приобретать домен и не готовы к дополнительной поддержке сертификатов.
• Если вы хотите, чтобы к серверу могли легко подключаться неподготовленные друзья — в этом случае VPN может быть неудобен.

Проверка и тесты после настройки

Проверьте доступность домена и сертификата:

• Откройте https://your-domain-name.tld в браузере и убедитесь, что сертификат действителен.
• Убедитесь, что порт 32400 недоступен снаружи (используйте онлайн-проверки портов или другой внешний хост).
• Проверьте потоковое воспроизведение: логин, воспроизведение видео, переключение качества.

Критерии приёмки:

• Порт 32400 недоступен с публичного IP.
• HTTPS соединение с доменом возвращает валидный сертификат от Let’s Encrypt.
• Plex-клиенты соединяются и воспроизводят контент через доменное имя.

Чеклист администратора

• Зарегистрирован домен или активирован DDNS
• A-запись указывает на текущий публичный IP
• На роутере проброшены порты 80 и 443 на Pi
• Прямой проброс 32400 закрыт
• Apache настроен и работает
• Certbot установлен и сертификат выдан
• Plex обновлён до последней стабильной версии
• Дополнительные правила безопасности (fail2ban, WAF) включены

Модель мышления и принятия решений

• Защита от перехвата: TLS — базовый уровень. Если хотите защитить учётные данные и целостность трафика, используйте HTTPS.
• Скрыть сервис от сканеров: порт 32400 должен быть закрыт или доступен только локально.
• Гибкость доступа: VPN обеспечивает более приватный доступ, прокси — удобен для быстрого доступа из браузера.

Риски и способы их смягчения

• Риск: устаревший Plex с уязвимостью. Смягчение: автоматические обновления или план проверки обновлений ежемесячно.
• Риск: компрометация прокси (Apache). Смягчение: держать OS и Apache в актуальном состоянии, ограничить доступ к SSH, использовать ключи вместо паролей.
• Риск: утечка учетных данных Plex. Смягчение: включить двухфакторную аутентификацию и использовать уникальные пароли.

Быстрые команды и подсказки

• Проверить открытые порты на домашнем сервере: sudo ss -tuln
• Перезапустить Apache: sudo service apache2 restart
• Обновить все пакеты: sudo apt update && sudo apt upgrade -y

Краткое руководство для гостей (короткая инструкция)

1. Перейдите по https://your-domain-name.tld
2. Авторизуйтесь своим Plex-аккаунтом (если требуется)
3. Наслаждайтесь воспроизведением — ничего дополнительно настраивать не нужно

Советы по совместимости и миграции

• Если Plex у вас работает на NAS, проверьте, что локальный IP хоста статичен или зарезервирован в DHCP роутера.
• Перед переносом библиотеки делайте резервные копии папки Plex Media Server/Library.
• При миграции к новому хосту сохраняйте UID/GID для доступа к файлам мультимедиа.

Заключение

Настройка обратного прокси на Raspberry Pi и внедрение TLS — практичный способ значительно повысить безопасность Plex-сервера без потери удобства. Преимущества: шифрование, скрытие нестандартного порта, гибкость правил доступа. В дополнение, регулярно обновляйте Plex, используйте двухфакторную аутентификацию и подумайте о VPN при повышенных требованиях к приватности.

Краткое резюме:

• Закройте порт 32400 для интернета.
• Проксируйте Plex через HTTPS на стандартном порту 443.
• Используйте Certbot/Let’s Encrypt для бесплатных сертификатов.
• Рассмотрите VPN как альтернативу при повышенных требованиях к безопасности.

FAQ: если что-то не работает — проверьте логи Apache (/var/log/apache2/), статус Certbot и доступность локального Plex по http://your.plex.server.local.ip:32400.

1-line glossary:

• TLS: протокол защиты сетевого трафика от перехвата.

Short announcement (100–200 слов):

Организуйте безопасный удалённый доступ к Plex за 30–60 минут. Простая схема: зарегистрируйте домен, установите Raspberry Pi в качестве обратного прокси, получите бесплатный сертификат от Let’s Encrypt и закройте порт 32400. Вы получите зашифрованное HTTPS-соединение, сократите риск сбоев и уязвимостей, а также спрячете ваш Plex-сервер от массовых сканеров портов. Эта методика подходит для домашних пользователей и небольших офисов — не требует дорогих облачных сервисов и даёт контроль над доступом к вашей медиатеке.