Как скрыть IP Minecraft сервера: полный гайд

Зачем вообще скрывать IP сервера

Если атакующий знает IP вашего сервера, он может залить его трафиком напрямую. Никакой Cloudflare на сайте, никакой плагин на сервере не поможет, если UDP-флуд идёт прямо на ваш адрес. Сервер ляжет, хостер может заблокировать машину, игроки уйдут.

Скрытие реального IP - это не параноя, а базовая гигиена. Точно так же, как вы не публикуете пароль от root. Если IP не известен, атаковать просто некуда.

Как атакующие находят ваш IP

Прежде чем прятать IP, нужно понять, откуда он утекает. Вот основные каналы:

DNS-история

Самый частый случай. Вы купили домен, сначала направили A-запись на реальный сервер, потом подключили прокси-защиту. Но старая запись осталась в истории DNS. Сервисы вроде SecurityTrails, ViewDNS.info или DNSHistory хранят все изменения записей. Атакующий просто смотрит, какой IP был раньше.

Shodan и Censys

Эти поисковики сканируют весь интернет и индексируют открытые порты. Если ваш сервер отвечает на порту 25565 (или любом другом), Shodan найдёт его. Дальше простой поиск по MOTD или названию сервера выдаст ваш IP.

Discord и форумы

Классика. Кто-то кидает IP в чат Discord-сервера, на форум, в Minecraft-мониторинг. Даже если вы потом переехали за прокси, старый IP уже в открытом доступе.

Прямое подключение и логи

Если вы когда-то давали игрокам прямой IP (не домен), этот IP разошёлся по их клиентам. История серверов в лаунчере хранится годами. Кроме того, некоторые плагины и моды могут сливать IP сервера в запросах к внешним API.

Панели управления и сайт

Часто админы размещают панель (Pterodactyl, AMP, Multicraft) на том же IP, что и сервер. Или сайт на том же хосте. Веб-сервер отвечает на 80/443 порту, Shodan видит его и связывает с вашим сервером.

Email-сервер

Если с того же IP отправляется почта, заголовки письма содержат реальный IP отправителя. Достаточно получить одно письмо с вашего домена.

Основной принцип защиты: домен + обратный прокси

Идея простая. Игроки подключаются не к IP, а к домену (например, play.yourserver.com). Домен указывает не на ваш реальный сервер, а на прокси. Прокси принимает трафик, фильтрует его и перенаправляет чистый трафик на ваш настоящий сервер.

Реальный IP знает только прокси. Игроки видят только IP прокси. Атакующий может DDoS-ить прокси, но это уже задача прокси-сервиса - выдержать атаку.

Именно так работает MineGuard и аналогичные сервисы защиты. Вы получаете защищённый адрес, на который направляете домен, а реальный IP остаётся скрытым.

Настройка DNS: A, CNAME и SRV записи

Тут многие путаются, поэтому разберём подробно.

A-запись

A-запись связывает домен с IP-адресом. Например:

play.yourserver.com → 104.167.24.91 (IP прокси)

Это основа. A-запись должна указывать на IP прокси-защиты, никогда на реальный сервер.

CNAME-запись

CNAME - это алиас, ссылка на другой домен. Некоторые прокси-сервисы дают вам не IP, а домен для подключения:

play.yourserver.com → CNAME → yourserver.proxy-service.com

CNAME удобнее тем, что если прокси-сервис сменит IP, вам не нужно ничего менять. Но у CNAME есть ограничение - его нельзя ставить на корневой домен (yourserver.com без поддомена). Только на поддомены вроде play.yourserver.com.

SRV-запись

SRV-запись позволяет указать конкретный порт для подключения. Minecraft клиент автоматически ищет SRV-запись для домена.

_minecraft._tcp.yourserver.com → SRV → 0 5 25565 play.yourserver.com

Это значит: "для подключения к yourserver.com по протоколу Minecraft используй play.yourserver.com на порту 25565". Игрок просто вводит yourserver.com и подключается.

SRV-запись полезна, когда прокси работает на нестандартном порту. Игроку не нужно вводить порт вручную.

Какую схему выбрать

Для большинства серверов оптимальная схема:

1. A-запись play.yourserver.com → IP прокси
2. SRV-запись _minecraft._tcp.yourserver.com → play.yourserver.com:25565

Так игроки могут подключаться просто по yourserver.com, а реальный IP скрыт за прокси.

Как проверить, не утёк ли ваш IP

После настройки обязательно проверьте, что реальный IP нигде не светится.

SecurityTrails

Зайдите на securitytrails.com, введите ваш домен. Посмотрите историю DNS-записей. Если там есть ваш реальный IP, его уже могли увидеть. Хорошая новость - SecurityTrails показывает только то, что было. Если вы сменили IP после настройки прокси, старые записи ведут в никуда.

Shodan

Зайдите на shodan.io, введите ваш реальный IP. Если Shodan видит открытый порт 25565 и показывает MOTD вашего сервера, это проблема. Нужно закрыть порт для всех, кроме IP прокси (об этом ниже).

Также попробуйте поискать по MOTD или названию сервера в Shodan. Если находит - значит, сервер отвечает всем подряд.

nslookup и dig

Проверьте, что DNS-записи указывают куда надо:

nslookup play.yourserver.com
dig +short play.yourserver.com
dig SRV _minecraft._tcp.yourserver.com

Убедитесь, что в ответе нет вашего реального IP. Только IP прокси.

Проверка через ping

ping yourserver.com

Если ping возвращает ваш реальный IP, значит корневой домен (или какой-то поддомен) всё ещё смотрит на реальный сервер. Исправьте это.

Типичные ошибки, которые сводят защиту к нулю

Ошибка 1: A-запись на реальный IP

Самая частая ошибка. Вы настроили прокси для play.yourserver.com, но корневой домен yourserver.com или поддомен www всё ещё указывает на реальный IP. Атакующий просто проверит все поддомены.

Решение: все DNS-записи должны указывать либо на прокси, либо на отдельный хостинг. Ни одна запись не должна вести на IP игрового сервера.

Ошибка 2: Панель на том же IP

Pterodactyl, AMP или любая другая панель на том же IP, что и сервер. Панель работает на порту 80 или 443, Shodan её видит, IP раскрыт.

Решение: панель управления должна быть на отдельном сервере или хотя бы за Cloudflare. Если панель на том же хосте, закройте порты 80/443 для внешнего доступа через файрвол и используйте VPN или SSH-тоннель для управления.

Ошибка 3: Email с того же сервера

Если на вашем домене настроена почта и MX-запись указывает на тот же IP, любой может отправить письмо на любой@yourserver.com и получить реальный IP из заголовков ответа (или неответа).

Решение: не используйте почту на IP игрового сервера. Используйте внешний почтовый сервис (Gmail, Yandex, Mailgun).

Ошибка 4: Сервер принимает подключения от всех

Даже за прокси, если ваш сервер отвечает на порту 25565 всем, кто попробует подключиться, его можно найти сканированием. Shodan сканирует весь IPv4 за несколько часов.

Решение: настройте файрвол так, чтобы порт 25565 был открыт только для IP-адресов прокси. Всем остальным - drop.

# Пример для iptables
iptables -A INPUT -p tcp --dport 25565 -s PROXY_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 25565 -j DROP
iptables -A INPUT -p udp --dport 25565 -s PROXY_IP -j ACCEPT
iptables -A INPUT -p udp --dport 25565 -j DROP

Для MineGuard список IP-адресов прокси можно найти в панели управления.

Ошибка 5: Утечка через плагины

Некоторые плагины (Dynmap, BlueMap, Votifier, план-трекеры) открывают дополнительные порты или делают запросы к внешним API, раскрывая IP.

Решение: проверьте все открытые порты на сервере (ss -tlnp). Закройте всё ненужное. Dynmap и веб-карты проксируйте через Cloudflare на отдельном поддомене.

Что делать, если IP уже утёк

Если ваш реальный IP уже в открытом доступе, прятать его бессмысленно. Вам нужен новый IP.

Вариант 1: Новый IP у хостера

Обратитесь к хостинг-провайдеру с просьбой сменить IP. Некоторые делают это бесплатно, некоторые за небольшую плату. После смены IP сразу настройте всё правильно: файрвол, прокси, DNS.

Вариант 2: Переезд на другой сервер

Если хостер не меняет IP, переезжайте на другой сервер. Да, это неудобно, но это единственный надёжный вариант. Перенесите данные, настройте новый сервер и сразу закройте порты.

Вариант 3: GRE/IP-тоннель

Более продвинутый вариант. Вы получаете новый IP через GRE-тоннель от прокси-сервиса, а реальный IP сервера вообще не используется для игрового трафика. Трафик идёт внутри тоннеля.

После смены IP

1. Обновите DNS-записи (только на прокси)
2. Настройте файрвол на новом IP
3. Не публикуйте новый IP нигде
4. Проверьте через Shodan через 2-3 дня, что новый IP не светится
5. Удалите старый IP из всех мониторингов, DNS-записей, конфигов

Пошаговый чеклист

Вот конкретный план действий для защиты IP сервера:

• Домен куплен и настроен. Игроки подключаются по домену, не по IP.
• Прокси-защита подключена. DNS-записи указывают на прокси (MineGuard или аналог), не на реальный сервер.
• Файрвол настроен. Порт 25565 (и другие игровые порты) открыт только для IP прокси.
• Нет утечек через DNS. Все поддомены проверены, ни один не указывает на реальный IP.
• Нет утечек через Shodan. Реальный IP не отвечает на порту 25565 при внешнем сканировании.
• Панели на отдельном хосте. Pterodactyl, AMP и прочее не на IP сервера (или порты закрыты).
• Почта через внешний сервис. MX-записи не ведут на IP сервера.
• Плагины проверены. Dynmap, Votifier и прочее не раскрывают IP.
• IP не опубликован нигде. В Discord, на форумах, в мониторингах - только домен.
• SSH доступ ограничен. Порт 22 доступен только с ваших IP или через VPN.

Заключение

Скрытие IP - это не одноразовое действие, а процесс. Каждый раз, когда вы меняете конфигурацию сервера, добавляете плагин или поддомен, нужно проверять, не появилась ли новая точка утечки.

Главное правило: реальный IP сервера не должен знать никто, кроме вас и прокси-сервиса. Если следовать чеклисту выше, найти ваш IP будет практически невозможно, а значит, и атаковать сервер напрямую не получится.