Кстати я придумал как быть с реверс прокси. Оно там сейчас на 80 порту отдает админку pi-hole, только внутри впн. Сделаю 443 порт торчать наружу, вроде мастодону только это надо. Все прям на той же реверс проксе. Скорее всего проблем не будет, хотя я lighthttp никогда не видел, придется доку читать и потом еще iptables крутить. Разберусь.
Лучше, просто с eth0 80 443 редиректну на другие порты, а на реверс прокси эти порты прокину на инстанс в впн. Тогда полный комплект и никаких пересечений.
@3draven а в чем проблема на уровне доменов решить ? Один nginx висит на 80 / 443 и раскидывает по домену на разные внутренние порты
@kurator88 pi hole админку мне надо наружу вообще не вытаскивать. Сейчас прокся висит на 80 порту внутри впн, наружу ничего не торчит. И открывать 80 порт наружу не хочется совсем. Но домены хороший вариант, редирект+vhost мне нравится больше чем редирект+ip
@kurator88 в итоге схема будет такая. Прокся будет висеть на 8443 8080 локалхосте+ 80 впн интерфейсе. Редирект с wan будет на нее пересылать 443 80 на локалхост...или там еще dnat надо будет, не знаю. 80 порт с админкой так и останется скрыт. При этом vhost будет у редирекченого mtdn.anyqn.com и по нему прокся отдаст новый инстанс, когда я рубильник дерну.
@kurator88 мне надо будет еще поглядеть как днс настроить на диджитал океане, он сейчас ведет на дроплет с мастодоном, а должен будет переключится на дроплет с впн гейтом.
@3draven @kurator88
Якщо у Вас на проксі - клієнтах статична ip адреса, то може спробувати на рівні FW їх редіректити на проксі, а всіх інших на заглушку?..
ssh я уже запретил снаружи, только внутри vpn, так что снаружи хост только попинговать можно и то не часто, а раз в 1 с. Но может и пинги запрещу.