Skip to main content

Hallo, ik heb een website gemaakt en wil die graag hosten met nodejs op mijn laptop. Ik heb begrepen dat ik daarvoor een public IP adres nodig heb. Zou ik van KPN een public IP voor mijn laptop kunnen krijgen of kopen?

 

Of is het mogelijk om gebruik te maken van de public IP van mijn router?

 

Ik ben ook van plan om deze website later op een raspberry PI te hosten, dus ik wil ook graag vragen of een public static IP over kan worden gezet van apparaat naar apparaat?

U heeft een public ip. U moet een poort forwarden... dat is basiskennis voor iemand die een website wil hosten...


Niet om het een of het ander, maar zorg ervoor dat je de boel wel heel goed dichtgetimmerd hebt. Sowieso geen root access, en gebruik iets als fail2ban.

Let er ook op dat dit enkel bedoeld is voor hobbyprojecten. 

 


Een website hosten op een laptop? Daar wordt toch meestal een goed dichtgetimmerde (hardened) webserver voor gebruikt. Op je router moet poort 80 en 443 opengezet worden naar de webserver (laptop?). En wees je dan bewust dat door die open poorten ook verkeer komt dat je niet wil. Dus firewall goed instellen.

Wat wil je hosten? Een simpele site? Of complex? Gaming (gevaar voor DDoS)?


Onthoud wel dat als iemand je wilt DDossen, dat ze je hele internetverbinding dicht kunnen gooien. Als je jouw site bij een webhosting-bedrijf onderbrengt, dan is daar wel expertise aanwezig om dat af te wenden, en beinvloed het niet jouw eigen privenetwerk.


Laat je niet afschrikken door die waarschuwingen rond firewalls en DDoSsen, dat is mijns inziens allemaal niet zo spannend.

Als jij op de Experia/KPN Box een port-forwarding maakt voor TCP Poort 80 (http) en 443 (https) naar het LAN IP adres van de machine waar die webserver op draait en de firewall op die machine inkomend open zet voor die twee poorten dan kan er weinig misgaan.

Ook ik draai al sinds jaar en dag meerdere websites op een Synology NAS die bij mij thuis staat.

Overweeg overigens ook om een domein te registreren zodat jij jouw site gewoon via dat domein kunt benaderen. En als je dan een Let's Encrypt ssl certificaat laat genereren op die machine dan kan je ook volwaardig https aan.


Laat je niet afschrikken door die waarschuwingen rond firewalls en DDoSsen, dat is mijns inziens allemaal niet zo spannend.

Het ligt eraan wat je host, en wat je reputatie is, en of het niet controversieel is. Als iemand een ddos-attack uitvoert, ligt je internetverbinding plat. En nee, KPN lost een Ddos niet voor je op, en het is een kwestie van afwachten. Vooral in de gamingwereld is dit een dingetje. 

Over firewalls: Ook dit is wel belangrijk, want je wilt niet dat criminele botjes je server overnemen om er een spambak van te maken, of om andere aanvallen uit te voeren. Dus: updaten, updaten en root-access dichtgooien, ssh bij voorkeur niet naar buiten openen. 


Laat je niet afschrikken door die waarschuwingen rond firewalls en DDoSsen, dat is mijns inziens allemaal niet zo spannend.

 

Bam, in 1 keer de hele security wereld als niet-spannend weggezet. Lees jij wel eens een krant? Een groot deel van de security incidenten wordt veroorzaakt door verkeerd geconfigureerde firewalls en DDoS attacks vinden voortdurend plaats. En niet alleen bij bedrijven, gamers - gewone consumenten - maken elkaar ook het leven zuur.

En iemand die niet weet hoe een laptop (?) ingericht moet worden als webserver en wat een publiek IP adres is, moet hier helemaal niet aan beginnen maar voor een paar euro webruimte bij een hoster huren. Of gratis een VPS, bijvoorbeeld in de Oracle Cloud, gebruiken. Die partijen zorgen dan voor de basis security.

En die Synology NAS zou ik bijzonder goed up-to-date houden. En zorgen voor een backup elders. Er zijn recent behoorlijke incidenten op het Synology NAS OS geweest. Consumenten spul met consumenten security. Niet geschikt voor zakelijk gebruik.


@AriënC schreef:

Over firewalls: Ook dit is wel belangrijk …

Uiteraard is een firewall belangrijk, heel belangrijk zelfs, maar je moet er niet zo "bang" voor zijn. Zoals ik aangaf, als je TCP Poort 80 (http) en TCP Poort 443 (https) open zet dan kan er weinig misgaan.

 

En een DDoS aanval ... hoe groot denk je dat die kans is als je met die site niemand in het harnas jaagt?

Juist, heel heel klein, DDoS aanvallen op consumentenaansluitingen zien we eigenlijk alleen in de "gaming-scene" en bij persoonlijke vetes.


@Ernst-Jan schreef:

Bam, in 1 keer de hele security wereld als niet-spannend weggezet. Lees jij wel eens een krant?

Ach, ik zit pas 37 jaar "in het vak". 


@Ernst-Jan schreef:

Bam, in 1 keer de hele security wereld als niet-spannend weggezet. Lees jij wel eens een krant?

Ach, ik zit pas 37 jaar "in het vak". 

Dan vind ik eerlijk gezegd je post bijzonder gewaagd.


@Ernst-Jan schreef:

Bam, in 1 keer de hele security wereld als niet-spannend weggezet. Lees jij wel eens een krant?

Ach, ik zit pas 37 jaar "in het vak". 

Dan vind ik eerlijk gezegd je post bijzonder gewaagd.

Daar is niets gewaagds aan want ik weet echt wel waarover ik het heb. Jullie willen waarschijnlijk niet lezen wat er staat maar nogmaals, als je TCP Poort 80 (http) en TCP Poort 443 (https) open zet dan kan er weinig misgaan.


@Ernst-Jan schreef:

Bam, in 1 keer de hele security wereld als niet-spannend weggezet. Lees jij wel eens een krant?

Ach, ik zit pas 37 jaar "in het vak". 

Dan vind ik eerlijk gezegd je post bijzonder gewaagd.

Daar is niets gewaagd aan want ik weet echt wel waarover ik het heb. Jullie willen waarschijnlijk niet lezen wat er staat maar nogmaals, als je TCP Poort 80 (http) en TCP Poort 443 (https) open zet dan kan er weinig misgaan.

En er was nog een aspect.

Dat je het vermoedelijk en misschien niet meegemaakt hebt wil niet zeggen dat het er niet is. Met een consumentenlijntje is extra voorzichtigheid geboden bij het openen van poorten. 

Ik zeg ook niet dat ik het keihard afraad, maar als je betrouwbaarheid wilt is een webhosting-bedrijf een beter alternatief.


@AriënC schreef:

Dat je het vermoedelijk en misschien niet meegemaakt hebt wil niet zeggen dat het er niet is. Met een consumentenlijntje is extra voorzichtigheid geboden bij het openen van poorten. 

Nogmaals, ik heb het over het openen van TCP Poort 80 (http) en TCP Poort 443 (https) en daar kan weinig mee misgaan, ook niet op een "consumentenlijntje". Waarom doet men toch altijd zo "paranoia" over dit soort dingen, het is echt niet zo spannend.

Ik denk dat het risico van het aansluiten van een bewakingscamera of video-deurbel die zonder port-forwardings via een app bekeken/bediend kan worden een beduidend hoger veiligheidsrisico met zich meebrengt.


Er zijn meer dingen dan dat wat je noemt.


Er zijn meer dingen dan dat wat je noemt.

Zoals?


Serieus? Ik snap dat zondag een luie dag is, maar hopelijk toch niet zo lui genoeg om dit topic niet door te lezen?


Serieus? Ik snap dat zondag een luie dag is, maar hopelijk toch niet zo lui genoeg om dit topic niet door te lezen?

Ja serieus, wat mij betreft is er niets mis met het zelf hosten van een site en ik zie ook geen enkel onoverkomelijk bezwaar of risico.


Serieus? Ik snap dat zondag een luie dag is, maar hopelijk toch niet zo lui genoeg om dit topic niet door te lezen?

Ja serieus, wat mij betreft is er niets mis met het zelf hosten van een site en ik zie ook geen enkel onoverkomelijk bezwaar of risico.

Er is meer verantwoordelijkheid dan op een hostingpakketje bij een hostingboer. Je draait dit op je eigen privé netwerk, en je moet inderdaad de boel goed up2date houden. En ook ondersteunen er belachelijk weinig routers een VLAN, zodat je jouw netwerk gescheiden kan houden.

Ook met poort 80 en 443 openzetten, kan je alsnog ellende op de hals halen als je de updates niet in orde hebt. Ook daar liggen exploits op de loer. En mij is bekend dat persoonlijke NAS-systemen minder up-to-date zijn dan gemiddelde servers binnen bedrijven.

Verder is het leuk voor de hobby, maar voor publiekelijk voor iedereen, dat kan consequenties hebben.


@AriënC schreef:

Ook met poort 80 en 443 openzetten, kan je alsnog ellende op de hals halen als je de updates niet in orde hebt. Ook daar liggen exploits op de loer.

Uiteraard moet je jouw software up-to-date houden en zorgen dat security patches niet op de plank blijven liggen.


@AriënC schreef:

Ook met poort 80 en 443 openzetten, kan je alsnog ellende op de hals halen als je de updates niet in orde hebt. Ook daar liggen exploits op de loer.

Uiteraard moet je jouw software up-to-date houden en zorgen dat security patches niet op de plank blijven liggen.

En die lopen bij consumenten-producten vaak achter.
Ik zie die mensen nog geen yum update doen en wachten totdat de fabrikant een update uitbrengt in een pakket.


@Ernst-Jan schreef:

Bam, in 1 keer de hele security wereld als niet-spannend weggezet. Lees jij wel eens een krant?

Ach, ik zit pas 37 jaar "in het vak". 

Dan kunnen we elkaar een hand geven. Hier 40 jaar. BCM, security, ISO27001 certificatie auditor, consultant,… dat werk.


Ik denk dat jullie beiden gelijk hebben. Samenvattend: Mits je het goed doet is het niet spannend.

Het spannende hier vind ik dat de Topic poster, nog niets weet van publieke IP etc, en daarmee voor mij wel aangeeft nog weinig kennis te hebben.

Een fout is zo gemaakt als beginnend web master 🙂 Daarmee is het dan toch weer een risico geworden. Ik denk zelf wel dat het handig zou zijn zo snel mogelijk een goede webserver op te zetten, RPi oid met up to date patches en goede distro gemaakt voor webhosting. Webhosting op een laptop, die zou ik niet snel aanbevelen aan starters.

 


Oke, dank jullie wel allemaal voor jullie reacties. Ik wat meer research erover gedaan, en ik denk nu te weten hoe het werkt met het forwarden van een port. Ik lees ook dat jullie je zorgen maken over de veiligheid hiervan. Het is een hobbyproject en ik ga het gebruiken om te oefenen met het programmeren in de backend. Ik ga er ook geen domeinnaam voor aanvragen en iedereen die de website dus bezoekt zullen bekenden zijn die door mij het ip-adres hebben gekregen om de standaard GET / request te maken in de browser. De veiligheid lijkt mij dus niet zo’n groot probleem maar ik heb er niet zo veel verstand van dus als jullie denken van wel laat het alstjeblieft weten. Nogmaals bedankt allemaal voor de reacties!


Om een idee te geven; ik vang op mijn glasvezel met iptables op de router alle portscans af. Dat zijn er tussen de 5.000 en 10.000 per dag (!) waarvan een groot deel op poort 80 en 443, vrijwel allemaal Rusland, China en ander Oostblok.

Dus als dan op een laptop (!) een webserver draait die niet goed geconfigureerd is of een webserver gerealiseerd met door een hobbyist gebouwde software, of een niet goed gepatchte webserver, dan is dit vragen om grote ellende. Abuse van KPN zal direct je lijn blokkeren en dan zit je met de gebakken peren.

Uiteraard kan het veilig. Op de laptop (!) een hardened (SE Linux) OS zetten, Apache of nginx goed installeren en configureren, iptables, fw4 of andere firewall goed configureren, certificaat store (HTTPS)  inrichten etc.

En regelmatig log files bekijken. Weten dat je gehackt bent is ook wat waard.

Maar komt dat goed voor TS die een vraag stelt waaruit geen diepgaande kennis blijkt? 
 


Oke, dank jullie wel allemaal voor jullie reacties. Ik wat meer research erover gedaan, en ik denk nu te weten hoe het werkt met het forwarden van een port. Ik lees ook dat jullie je zorgen maken over de veiligheid hiervan. Het is een hobbyproject en ik ga het gebruiken om te oefenen met het programmeren in de backend. Ik ga er ook geen domeinnaam voor aanvragen en iedereen die de website dus bezoekt zullen bekenden zijn die door mij het ip-adres hebben gekregen om de standaard GET / request te maken in de browser. De veiligheid lijkt mij dus niet zo’n groot probleem maar ik heb er niet zo veel verstand van dus als jullie denken van wel laat het alstjeblieft weten. Nogmaals bedankt allemaal voor de reacties!

Zoals al genoemd, je zult op je router om de webserver toegankelijk te maken poorten 80 en 443 open moeten zetten. Dat je alleen bekenden je IP adres geeft zodat ze de webserver kunnen benaderen is een beetje struisvogel spelen; je IP adres is openbaar en zal net als bij elk ander IP adres duizenden keren per dag gescand worden door script kiddies, criminelen en statelijke actoren.

Maak 1 foutje in je configuratie en die hacker is binnen. 

Loffelijk dat je leergierig bent, maar doe jezelf en eventuele huisgenoten een plezier: doe experimenten met services op je netwerk in andermans netwerk: de cloud.

Kijk eens hier: https://www.oracle.com/cloud/free/

Geheel gratis een spectaculair krachtige Ubuntu server op 24-core cpu met 4Gbps. naar internet. Op YouTube diverse filmpjes hoe daarop een webserver in te richten, bijvoorbeeld: 


Gratis tot 4 back-ups maken in Oracle etc., perfect als “speeltuin”.

Succes!