さて、NextCloudネタです。
NextCloudは大変すばらしいファイルストレージソフトですが、
インターネット上に公開しなければメリットが生かせません。
VPN網の中でひっそり使うのもありですが。
それはメールでリンクを送りダウンロードしてもらえる機能があるからです。
ファイル便とかの個人版ですな。
リンクは世界中からアクセスできないといけないので公開サーバーに
なります。
でもログイン画面は世界中からアクセスしなくてもいい訳です。
私の場合、おひとり様サーバーですので。
自分だけで十分です。リンク公開の場合、相手はログインする必要は
ありません。
ログイン画面を世界中にさらすのはいやですよね。
この解決ですが、昔はIP制限ができたのですが、今はできないので
自前で対策します。
まずはnginxのリバースプロキシ配下にnextcloudを立ち上げてください。
LXDがお薦めですが、別にLXD配下にする必要はありません。
リバースプロキシでURL制限をすることでログイン画面を対策します。
をURLで転送する設定にIPアドレス制限を入れればOKです。
アクセスすると見事蹴られます。
クライアントソフト(同期ソフト)は一度認証されれば、以降は
TOP URLを使わないので大丈夫です。
これですと再認証時や直接ログイン時は困るので、DHCP環境では
IPが固定でないので困ります。
ですので、別途VPNサーバーのIPを登録してください。
これでVPNでVPNサーバー経由のルーティングした設定を通して
接続すればVPNサーバーからのアクセスとなりIP制限がかかりません。
VPNサーバーも仮想HUBの使い分けで設定が返られます。
私も通常はVPN網へはパケット流さず運用しています。
上記NextCloudへログインする時のみVPNでVPNへパケットを全部流す
設定の仮想HUBへ接続して目的を達成しています。
VPNの接続設定での切替ですので、そんなに負担はありません。
それでもログインに2FA認証をかけるなどさらなる対策は必要です。
お試しください。
ではでは。
