Это многостраничная версия для печати этого раздела. Нажмите здесь для печати.

Вернуться к обычному представлению страницы.

Docs

1 - Введение в DNS: адресная книга интернета

Что такое DNS?

Добро пожаловать в серию наших статей о DNS! Прежде чем мы углубимся в технические детали, давайте начнём с простого вопроса: что такое DNS?

Представьте себе телефонную книгу вашего телефона. Вам не нужно запоминать номер каждого друга, достаточно запомнить имя. Когда вы хотите позвонить другу «Чжан Сан», вам всего лишь нужно найти его имя в контактах и нажать «позвонить». Телефон сам найдёт номер Чжан Сана и наберёт его.

DNS (Domain Name System, система доменных имён) играет роль «адресной книги интернета». Она отвечает за «перевод» легко запоминаемых доменных имён (например, www.google.com) в понятные компьютеру IP-адреса (например, 172.217.160.78). Без DNS мы были бы вынуждены запоминать длинные неповторяющиеся цифры, чтобы зайти на сайт, что практически невозможно.

Как работает DNS?

Этот «перевод» обычно происходит за мгновение за кулисами. Когда вы вводите адрес в браузер, происходит примерно следующее:

  1. Запрос: ваш компьютер или телефон отправляет DNS-резольверу запрос: «Какой IP-адрес у www.example.com?».
  2. Операция поиска: DNS-резольвер словно детектив, послойно (от корневого сервера к серверу верхнего уровня, затем к авторитетному серверу) ищет ответ.
  3. Ответ: найдя нужные данные, резольвер возвращает IP-адрес вашему устройству.
  4. Подключение: браузер использует этот IP-адрес для установки соединения с сервером сайта, после чего загружает содержимое страницы.

Что мы рассмотрим в этой серии?

Мир DNS гораздо насыщеннее и сложнее, чем в этом простом сравнении. В этой серии статей мы проведём вас по всем аспектам DNS:

  • Ключевые понятия: погружение в домены, IP-адреса и взаимосвязь между ними.
  • Типы записей: изучение назначения разных DNS-записей: A, CNAME, MX и других.
  • Типы серверов: разбор ролей рекурсивных и авторитетных серверов.
  • Процесс DNS-запроса: подробный разбор полного цикла запроса DNS.
  • DNS-кэш: изучение того, как кэш DNS ускоряет доступ к сайтам.
  • Частный DNS: создание и использование собственной DNS-службы для повышения безопасности и конфиденциальности.

Будь вы новичок, только начинающий изучать сетевые технологии, или разработчик, желающий укрепить базу знаний — эта серия даст вам понятные и доступные объяснения.

Поехали в путешествие по DNS!

2 - Общественные услуги

Прежде всего следует отметить, что в некоторых домашних сетях при подписании соглашения о предоставлении услуг запрещено их коммерческое использование. На практике неважно, используются ли услуги в коммерческих целях: при большом количестве входящих http/https-подключений (по некоторым данным, от 250) скорость обслуживания снижается, что вызывает различные сетевые проблемы. Поэтому, если вы собираетесь предоставлять ресурсы широкой публике, рассматривайте это как коммерческий сервис и лучше всего арендовать VPS у облачного провайдера для обеспечения общедоступных услуг.

3 - Устройство

Здесь обсуждаются варианты устройств, на которых можно разместить домашние сервисы.

Аппаратная платформа

Для домашнего использования множество вариантов: старый ноутбук, простаивающий ПК, платы для разработки, NAS, роутеры на х86, Mac и другое — всё подходит, главное — соответствие задачам.

При выборе «железа» не стоит слишком ориентироваться на x86-платформу; ARM уже зрелая архитектура — дешёвая, достаточно производительная, энергоэффективная и с богатой экосистемой. Если нет необходимости запускать древнее программное обеспечение, ARM отлично подойдёт для дома.

Устанавливать Windows/Linux на Apple-устройства, или macOS/BlackNAS на «чужое» железо под силу любителям поломать голову — но честно говоря, в этом особого смысла нет.

Критерии выбора устройства

  • CPU: соотношение энергопотребление/производительность
  • Память: минимум 4 ГБ
  • Носитель: избыточность и масштабируемость
  • Сеть: гигабитная сетевая карта — базовое требование
  • Охлаждение: круглосуточная работа требует надёжного отвода тепла
  • Шум: требования определяют место установки

Операционная система

Самая обширная экосистема и софт — у Linux; командная строка для кого-то оказывается проще, а автоматизация доступна «из коробки».
Для не специалистов можно начать с Ubuntu Desktop. Чёрный диск Synology тоже есть, но проблемы придётся отлавливать самостоятельно.

Windows имеет самую широкую аудиторию; большинство задач закрываются средствами IIS (Internet Information Services) без единой команды в консоли.
Рекомендации по установке Windows — massgrave.dev.

Apple продаёт отличные ARM-чипы; Mac Mini стал интересным по цене железом, но macOS предполагает чередование GUI и CLI — подходит тем, кто не боится терминала.

Рекомендации по выбору ОС

  • Новичкам: Windows + Docker Desktop
  • Продвинутым: Ubuntu Server/Debian
  • Требуется стабильность: RHEL/Rocky Linux
  • Под конкретные задачи:
    • Медиа-сервер: unRAID
    • С упором на хранилище: TrueNAS
    • Полноценный NAS: DSM Synology

Рекомендуемые конфигурации

Специалисты запрашивают всё сразу, а non-profit-сценарий сводится к одному NAS: зайдите в онлайн-магазин, выберите NAS, пользуйтесь.

Хотите сэкономить — поставьте Windows Server 2022/2025 или чёрную DSM на старое или дёшево купленное железо.

Безопасность данных

Отказ жёсткого диска

Поломка начинается с редких ошибок чтения; когда диск полностью «умрёт», восстановление либо дорогое, либо невозможно.
Поэтому рекомендуем докупить корпус RAID и собрать массив. Если вероятность отказа HDD за 5 лет — 10 %, то двухдисковый RAID снижает риск до 1 %, при условии, что диски ломаются не одновременно.

Кража данных

Если диск украдут, а данные не зашифрованы — последствия могут быть тяжёлыми, особенно для конфиденциальных файлов и резервных копий паролей. Рекомендуем включить дисковое шифрование. Защита затратит немного ресурсов; чувствительным к производительности можно отказаться, но будьте осторожны с физической безопасностью носителей.

Распределённые резервные копии

Домашние диски не застрахованы от кражи, детей, наводнений или атак вымогателей; храните копии в надёжном облаке.

Сетевая безопасность

Не выставляйте прямой IP наружу

Настройки провайдеров могут выдать устройству IPv6 с прямым доступом — он окажется доступен для сканирования портов. После обнаружения уязвимые сервисы легко эксплуатировать.
Поэтому, если нет особой необходимости, оставьте внутри NAT6 (Network Address Translation IPv6). Устройства, которым нужны внешние сервисы, разместите в DMZ. Для собственных нужд поднимите VPN на wireguard/tailscale/zerotier/cloudflare и подключайтесь к дому по каналу.

Не ставьте софт без разбора

Всё ПО — и популярное, и экзотическое — может иметь уязвимости. Подпишитесь на обновления, ставьте свежие версии, удаляйте лишнее и не давайте приложениям лишних привилегий.

Используйте межсетевой экран

«Отключи-файрвол-и-всё-работает» закончится тогда, когда кто-то взломает. Немного времени на изучение правил фаервола — и сон спокойнее.

Установите антивирус

Есть бесплатные продукты с базовой защитой — лучше, чем ничего.

Итоги по безопасности

  • Сегрегация: VLAN-разбор
  • Управление доступом: обратный прокси + аутентификация
  • Мониторинг: контроль состояния оборудования
  • Стратегия резервного копирования: правило 3-2-1
    • 3 резервные копии
    • 2 типа носителей
    • 1 копия вне дома