Jak ukryć IP serwera Minecraft: pełny poradnik

Po co w ogóle ukrywać IP serwera

Jeśli atakujący zna IP twojego serwera, może go zalać ruchem bezpośrednio. Żadne Cloudflare na stronie, żaden plugin na serwerze nie pomoże, jeśli UDP flood leci wprost na twój adres. Serwer padnie, hoster może zablokować maszynę, gracze odejdą.

Ukrywanie prawdziwego IP to nie paranoja, tylko podstawowa higiena. Tak samo jak nie publikujesz hasła roota. Jeśli IP nie jest znany, atakować po prostu nie ma gdzie.

Jak atakujący znajdują twój IP

Zanim schowasz IP, musisz zrozumieć, skąd wycieka. Oto główne kanały:

Historia DNS

Najczęstszy przypadek. Kupiłeś domenę, najpierw skierowałeś rekord A na prawdziwy serwer, potem podłączyłeś ochronę proxy. Ale stary rekord został w historii DNS. Serwisy w stylu SecurityTrails, ViewDNS.info albo DNSHistory trzymają wszystkie zmiany rekordów. Atakujący po prostu patrzy, jaki IP był wcześniej.

Shodan i Censys

Te wyszukiwarki skanują cały internet i indeksują otwarte porty. Jeśli twój serwer odpowiada na porcie 25565 (albo dowolnym innym), Shodan go znajdzie. Dalej proste wyszukanie po MOTD albo nazwie serwera wyda twój IP.

Discord i fora

Klasyka. Ktoś wrzuca IP na czat Discorda, na forum, na monitoring Minecraft. Nawet jeśli potem przeniosłeś się za proxy, stary IP jest już dostępny publicznie.

Bezpośrednie połączenie i logi

Jeśli kiedyś podawałeś graczom bezpośredni IP (nie domenę), ten IP rozszedł się po ich klientach. Historia serwerów w launcherze trzyma się latami. Oprócz tego niektóre pluginy i mody mogą wyciekać IP serwera w zapytaniach do zewnętrznych API.

Panele zarządzania i strona

Często adminowie stawiają panel (Pterodactyl, AMP, Multicraft) na tym samym IP co serwer. Albo stronę na tym samym hoście. Serwer WWW odpowiada na porcie 80/443, Shodan widzi go i łączy z twoim serwerem.

Serwer pocztowy

Jeśli z tego samego IP wysyłana jest poczta, nagłówki maila zawierają prawdziwy IP nadawcy. Wystarczy dostać jedno pismo z twojej domeny.

Podstawowa zasada ochrony: domena + reverse proxy

Idea prosta. Gracze łączą się nie z IP, tylko z domeną (na przykład play.yourserver.com). Domena wskazuje nie na twój prawdziwy serwer, tylko na proxy. Proxy odbiera ruch, filtruje go i przekazuje czysty ruch do twojego prawdziwego serwera.

Prawdziwy IP zna tylko proxy. Gracze widzą tylko IP proxy. Atakujący może DDoS-ować proxy, ale to już zadanie serwisu proxy - wytrzymać atak.

Dokładnie tak działa MineGuard i podobne usługi ochrony. Dostajesz chroniony adres, na który kierujesz domenę, a prawdziwy IP zostaje ukryty.

Konfiguracja DNS: rekordy A, CNAME i SRV

Wielu się tu gubi, więc rozbierzmy szczegółowo.

Rekord A

Rekord A łączy domenę z adresem IP. Na przykład:

play.yourserver.com -> 104.167.24.91 (IP proxy)

To podstawa. Rekord A musi wskazywać na IP ochrony proxy, nigdy na prawdziwy serwer.

Rekord CNAME

CNAME to alias, link do innej domeny. Niektóre serwisy proxy dają ci nie IP, tylko domenę do podłączenia:

play.yourserver.com -> CNAME -> yourserver.proxy-service.com

CNAME jest wygodniejszy o tyle, że jeśli serwis proxy zmieni IP, nie musisz nic zmieniać. Ale CNAME ma ograniczenie - nie można go postawić na domenę główną (yourserver.com bez subdomeny). Tylko na subdomeny w stylu play.yourserver.com.

Rekord SRV

Rekord SRV pozwala wskazać konkretny port do połączenia. Klient Minecrafta automatycznie szuka rekordu SRV dla domeny.

_minecraft._tcp.yourserver.com -> SRV -> 0 5 25565 play.yourserver.com

To znaczy: "do połączenia z yourserver.com po protokole Minecraft użyj play.yourserver.com na porcie 25565". Gracz po prostu wpisuje yourserver.com i łączy się.

Rekord SRV jest przydatny, gdy proxy działa na niestandardowym porcie. Gracz nie musi wpisywać portu ręcznie.

Jaki schemat wybrać

Dla większości serwerów optymalny schemat:

1. Rekord A play.yourserver.com -> IP proxy
2. Rekord SRV _minecraft._tcp.yourserver.com -> play.yourserver.com:25565

W ten sposób gracze mogą łączyć się po prostu przez yourserver.com, a prawdziwy IP jest ukryty za proxy.

Jak sprawdzić, czy twój IP nie wyciekł

Po konfiguracji koniecznie sprawdź, że prawdziwy IP nigdzie się nie świeci.

SecurityTrails

Wejdź na securitytrails.com, wpisz swoją domenę. Zobacz historię rekordów DNS. Jeśli jest tam twój prawdziwy IP, mogli go już zobaczyć. Dobra wiadomość - SecurityTrails pokazuje tylko to, co było. Jeśli zmieniłeś IP po konfiguracji proxy, stare rekordy prowadzą donikąd.

Shodan

Wejdź na shodan.io, wpisz swój prawdziwy IP. Jeśli Shodan widzi otwarty port 25565 i pokazuje MOTD twojego serwera, to problem. Trzeba zamknąć port dla wszystkich oprócz IP proxy (o tym niżej).

Spróbuj też poszukać po MOTD albo nazwie serwera w Shodanie. Jeśli znajdzie, to znaczy, że serwer odpowiada każdemu.

nslookup i dig

Sprawdź, że rekordy DNS wskazują tam, gdzie trzeba:

nslookup play.yourserver.com
dig +short play.yourserver.com
dig SRV _minecraft._tcp.yourserver.com

Upewnij się, że w odpowiedzi nie ma twojego prawdziwego IP. Tylko IP proxy.

Sprawdzenie przez ping

ping yourserver.com

Jeśli ping zwraca twój prawdziwy IP, to znaczy, że domena główna (albo jakaś subdomena) wciąż patrzy na prawdziwy serwer. Popraw to.

Typowe błędy, które sprowadzają ochronę do zera

Błąd 1: Rekord A na prawdziwy IP

Najczęstszy błąd. Skonfigurowałeś proxy dla play.yourserver.com, ale domena główna yourserver.com albo subdomena www nadal wskazuje na prawdziwy IP. Atakujący po prostu sprawdzi wszystkie subdomeny.

Rozwiązanie: wszystkie rekordy DNS muszą wskazywać albo na proxy, albo na osobny hosting. Żaden rekord nie powinien prowadzić na IP serwera gry.

Błąd 2: Panel na tym samym IP

Pterodactyl, AMP albo inny panel na tym samym IP co serwer. Panel działa na porcie 80 albo 443, Shodan go widzi, IP ujawniony.

Rozwiązanie: panel zarządzania powinien być na osobnym serwerze albo chociaż za Cloudflare. Jeśli panel jest na tym samym hoście, zamknij porty 80/443 dla dostępu zewnętrznego przez firewall i używaj VPN-a albo tunelu SSH do zarządzania.

Błąd 3: Email z tego samego serwera

Jeśli na twojej domenie skonfigurowana jest poczta i rekord MX wskazuje na ten sam IP, każdy może wysłać pismo na dowolny@yourserver.com i dostać prawdziwy IP z nagłówków odpowiedzi (albo braku odpowiedzi).

Rozwiązanie: nie używaj poczty na IP serwera gry. Używaj zewnętrznego serwisu pocztowego (Gmail, Yandex, Mailgun).

Błąd 4: Serwer przyjmuje połączenia od wszystkich

Nawet za proxy, jeśli twój serwer odpowiada na porcie 25565 każdemu, kto spróbuje się podłączyć, można go znaleźć skanowaniem. Shodan skanuje cały IPv4 w parę godzin.

Rozwiązanie: skonfiguruj firewall tak, żeby port 25565 był otwarty tylko dla adresów IP proxy. Wszystkim innym - drop.

# Przyklad dla iptables
iptables -A INPUT -p tcp --dport 25565 -s PROXY_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 25565 -j DROP
iptables -A INPUT -p udp --dport 25565 -s PROXY_IP -j ACCEPT
iptables -A INPUT -p udp --dport 25565 -j DROP

Dla MineGuard lista adresów IP proxy jest dostępna w panelu zarządzania.

Błąd 5: Wyciek przez pluginy

Niektóre pluginy (Dynmap, BlueMap, Votifier, trackery planów) otwierają dodatkowe porty albo robią zapytania do zewnętrznych API, ujawniając IP.

Rozwiązanie: sprawdź wszystkie otwarte porty na serwerze (ss -tlnp). Zamknij wszystko zbędne. Dynmap i mapy webowe przepuszczaj przez Cloudflare na osobnej subdomenie.

Co robić, jeśli IP już wyciekł

Jeśli twój prawdziwy IP jest już publicznie dostępny, chowanie go nie ma sensu. Potrzebujesz nowego IP.

Wariant 1: Nowy IP u hostera

Zwróć się do dostawcy hostingu z prośbą o zmianę IP. Niektórzy robią to za darmo, niektórzy za niewielką opłatą. Po zmianie IP od razu skonfiguruj wszystko prawidłowo: firewall, proxy, DNS.

Wariant 2: Przeprowadzka na inny serwer

Jeśli hoster nie zmienia IP, przenoś się na inny serwer. Tak, to niewygodne, ale to jedyny pewny wariant. Przenieś dane, skonfiguruj nowy serwer i od razu zamknij porty.

Wariant 3: Tunel GRE/IP

Bardziej zaawansowany wariant. Dostajesz nowy IP przez tunel GRE od serwisu proxy, a prawdziwy IP serwera w ogóle nie jest używany do ruchu gry. Ruch leci wewnątrz tunelu.

Po zmianie IP

1. Zaktualizuj rekordy DNS (tylko na proxy)
2. Skonfiguruj firewall na nowym IP
3. Nie publikuj nowego IP nigdzie
4. Sprawdź przez Shodana za 2-3 dni, że nowy IP się nie świeci
5. Usuń stary IP ze wszystkich monitoringów, rekordów DNS, configów

Checklista krok po kroku

Oto konkretny plan działań do ochrony IP serwera:

• Domena kupiona i skonfigurowana. Gracze łączą się po domenie, nie po IP.
• Ochrona proxy podłączona. Rekordy DNS wskazują na proxy (MineGuard albo odpowiednik), nie na prawdziwy serwer.
• Firewall skonfigurowany. Port 25565 (i inne porty gry) otwarty tylko dla IP proxy.
• Brak wycieków przez DNS. Wszystkie subdomeny sprawdzone, żadna nie wskazuje na prawdziwy IP.
• Brak wycieków przez Shodana. Prawdziwy IP nie odpowiada na porcie 25565 przy zewnętrznym skanie.
• Panele na osobnym hoście. Pterodactyl, AMP i reszta nie na IP serwera (albo porty zamknięte).
• Poczta przez zewnętrzny serwis. Rekordy MX nie prowadzą na IP serwera.
• Pluginy sprawdzone. Dynmap, Votifier i reszta nie ujawniają IP.
• IP nie opublikowany nigdzie. Na Discordzie, na forach, w monitoringach - tylko domena.
• Dostęp SSH ograniczony. Port 22 dostępny tylko z twoich IP albo przez VPN.

Podsumowanie

Ukrywanie IP to nie jednorazowa akcja, tylko proces. Za każdym razem, gdy zmieniasz konfigurację serwera, dodajesz plugin albo subdomenę, trzeba sprawdzać, czy nie pojawił się nowy punkt wycieku.

Główna zasada: prawdziwego IP serwera nie powinien znać nikt oprócz ciebie i serwisu proxy. Jeśli trzymać się checklisty wyżej, znalezienie twojego IP będzie praktycznie niemożliwe, a więc i atakowanie serwera bezpośrednio nie wyjdzie.