بروكسي لخادم المنزل Plex وJellyfin: كيفية مشاركة المحتوى الإعلامي مع الأصدقاء بأمان

لقد قمت بتجميع خادم وسائط منزلي على Plex أو Jellyfin، وملأته بالأفلام والمسلسلات والموسيقى - وتريد منح الوصول للأصدقاء أو العائلة. لكن فتح منافذ الموجه أمر مخيف: إنها ثغرة مباشرة في شبكتك المنزلية. يحل خادم البروكسي هذه المشكلة بشكل أنيق: فهو يعمل كوسيط بين خادمك والمشاهدين، مخفيًا عنوان IP الحقيقي ولا يتطلب إعدادات خطيرة للموجه.

لماذا لا يمكن فتح المنفذ مباشرة: مخاطر الخادم المنزلي

الطريقة الأكثر وضوحًا لمنح صديق الوصول إلى Plex أو Jellyfin هي فتح منفذ على الموجه. على سبيل المثال، فتح المنفذ 32400 (Plex) أو 8096 (Jellyfin) وإرسال رابط لصديقك على شكل http://عنوان-IP-الخاص-بك:32400. من الناحية التقنية، هذا يعمل. ولكن من منظور الأمان - هذه كارثة.

إليك ما يحدث عندما تفتح منفذ الموجه المنزلي على الإنترنت:

• يصبح عنوان IP المنزلي عامًا. أي شخص يعرف عنوان خادمك يعرف عنوان IP المنزلي الحقيقي الخاص بك. هذه معلومات جغرافية، مزود الخدمة، عنوانك بدقة حتى المنطقة.
• ستجدك برامج الزحف في غضون ساعات. تقوم Shodan وCensys وآلاف برامج الزحف الآلية بمسح الإنترنت باستمرار. سيتم اكتشاف المنفذ المفتوح لـ Plex أو Jellyfin وستبدأ محاولات الاختراق في غضون ساعات بعد الفتح.
• الثغرات في البرمجيات = اختراق الشبكة. Plex وJellyfin هما برمجيات معقدة لها تاريخ من الثغرات. إذا كانت هناك ثغرة غير مغلقة في نسختك، يمكن للمهاجم من خلالها الوصول ليس فقط إلى خادم الوسائط، ولكن أيضًا إلى شبكتك المنزلية بالكامل: أجهزة الكمبيوتر المحمولة، NAS، والأجهزة الذكية.
• هجمات DDoS وشكاوى إساءة الاستخدام. ليس من واجب مزود الخدمة المنزلي حمايتك من هجمات DDoS. في حالة الهجوم الكثيف، سيتم قطع الاتصال بك ببساطة.
• عنوان IP ديناميكي. لدى معظم المستخدمين المنزليين عنوان IP يتغير. في كل مرة سيتعين عليك إبلاغ الأصدقاء بعنوان جديد أو إعداد خدمة DDNS.

الاستنتاج واضح: المنفذ المفتوح ليس حلاً لخادم الوسائط المنزلي الذي يتصل به أشخاص غرباء. تحتاج إلى وسيط يتلقى الطلبات من المشاهدين وينقلها إلى خادمك، دون الكشف عن عنوان IP الحقيقي الخاص بك ودون إنشاء ثغرات في الشبكة المنزلية.

كيف يساعد البروكسي في مشاركة الوسائط: مخطط العمل

يعمل البروكسي في سياق خادم الوسائط المنزلي كنقطة وسيطة. يتصل أصدقاؤك ليس بعنوان IP المنزلي الخاص بك مباشرة، ولكن بعنوان IP لخادم البروكسي. يستقبل البروكسي الطلب، وينقله إلى خادمك، ويتلقى الرد (دفق الفيديو، البيانات الوصفية، الأغلفة) ويرسله مرة أخرى إلى المشاهد.

يبدو المخطط كما يلي:

ماذا يعني ذلك عمليًا:

• عنوان IP المنزلي الخاص بك مخفي. يرى المشاهدون فقط عنوان IP لخادم البروكسي. حتى إذا شارك الصديق الرابط مع شخص آخر - فلن يتمكنوا من مهاجمة شبكتك المنزلية مباشرة.
• لا حاجة لفتح منافذ الموجه. يقوم خادمك ببدء الاتصال الصادر مع البروكسي (أو النفق). لا توجد اتصالات واردة من الإنترنت إلى شبكتك.
• عنوان ثابت ومستقر. يحتوي خادم البروكسي على عنوان IP ثابت. حتى إذا تغير عنوان IP المنزلي الخاص بك - فلن يعرف المشاهدون بذلك.
• تشفير SSL. يمكن للبروكسي إنهاء HTTPS، مما يوفر تشفيرًا للبيانات بين المشاهد والبروكسي.
• تحكم في الوصول. على مستوى البروكسي، يمكنك تقييد من يمكنه الاتصال بالخادم.

من المهم فهم الفرق بين سيناريوهين لاستخدام البروكسي لخادم الوسائط. السيناريو الأول - تقوم باستئجار خادم بروكسي (أو VPS) وتقوم بإعداد بروكسي عكسي (reverse proxy) عليه: nginx، Caddy أو Traefik. يستقبل هذا الخادم طلبات المشاهدين ويقوم بتمريرها إلى خادمك المنزلي. السيناريو الثاني - تستخدم خدمة بروكسي تجارية كنفق أو نقطة وسيطة لإخفاء الطلبات الصادرة من خادمك.

في هذه المقالة، سنستعرض كلا النهجين، لكن التركيز الرئيسي سيكون على الإعداد العملي الذي سيمكن أصدقائك من مشاهدة المحتوى من خادمك دون أي تعقيدات تقنية من جانبهم.

ما هو نوع البروكسي المناسب لـ Plex و Jellyfin

ليست جميع أنواع البروكسي مناسبة بنفس القدر لبث الفيديو. إليك جدول مقارنة يأخذ في الاعتبار خصائص خوادم الوسائط المنزلية:

الاستنتاج حول الأنواع: للبث المستمر لمحتوى الوسائط، فإن الخيار الأمثل هو البروكسي العكسي (reverse proxy) على VPS مستأجر، أو بروكسي مراكز البيانات ذو النطاق الترددي العالي. تعتبر البروكسي السكنية مفيدة في سيناريو آخر: عندما يقوم Plex أو Jellyfin بالوصول إلى مصادر بيانات خارجية أو ملحقات تحظر عناوين IP الخاصة بالخادم.

إعداد البروكسي لخادم Plex Media: خطوة بخطوة

دعونا نناقش السيناريو الأكثر عملية: لديك خادم منزلي مع Plex، وتريد منح الوصول للأصدقاء عبر بروكسي عكسي على VPS. هذا يوفر عنوان URL ثابت، وشهادة SSL، ويخفي عنوان IP المنزلي الخاص بك.

ما تحتاجه:

• جهاز كمبيوتر منزلي أو NAS مثبت عليه Plex Media Server
• VPS (أي، حتى الأرخص - 1 vCPU، 1 GB RAM يكفي للبروكسي)
• نطاق (يمكن أن يكون مجانيًا: DuckDNS، FreeDNS)
• حوالي 30-60 دقيقة من الوقت

الخطوة 1. إعداد Plex على الخادم المنزلي

افتح Plex Web على الخادم المنزلي. انتقل إلى الإعدادات → الوصول عن بُعد. تأكد من أن خيار "السماح بالوصول عن بُعد" مفعل. تذكر المنفذ - بشكل افتراضي هو 32400. حتى الآن، لا تفتح هذا المنفذ في الموجه - سنقوم بكل شيء عبر البروكسي.

الخطوة 2. تثبيت Nginx على VPS

اتصل بـ VPS عبر SSH. قم بتثبيت Nginx وCertbot لـ SSL:

sudo apt update
sudo apt install nginx certbot python3-certbot-nginx -y

الخطوة 3. إعداد النفق من VPS إلى الخادم المنزلي

هذه هي النقطة الرئيسية. نحتاج إلى أن يتمكن VPS من الوصول إلى Plex المنزلي الخاص بك. هناك طريقتان:

الطريقة أ (أسهل): نفق SSH من الخادم المنزلي إلى VPS. على خادمك المنزلي، نفذ الأمر الذي ينشئ نفقًا دائمًا - يمرر المنفذ 32400 من Plex المنزلي إلى المنفذ 32400 على VPS:

ssh -N -R 32400:localhost:32400 user@عنوان_VPS_الخاص_بك

لجعل النفق يعمل بشكل دائم، أضفه إلى systemd أو استخدم autossh

الطريقة ب (أكثر موثوقية): Tailscale أو WireGuard VPN بين الخادم المنزلي وVPS. هذا ينشئ نفقًا مشفرًا دائمًا دون الحاجة إلى فتح المنافذ. لمزيد من التفاصيل - في قسم البدائل.

الخطوة 4. إعداد Nginx كبروكسي عكسي

أنشئ تكوينًا لنطاقك. أنشئ ملفًا /etc/nginx/sites-available/plex:

server {
    listen 80;
    server_name plex.نطاقك.com;

    location / {
        proxy_pass http://localhost:32400;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # مهم لبث الفيديو:
        proxy_buffering off;
        proxy_read_timeout 36000s;
        proxy_send_timeout 36000s;
        client_max_body_size 0;
    }
}

الخطوة 5. الحصول على شهادة SSL

sudo certbot --nginx -d plex.نطاقك.com

سيقوم Certbot تلقائيًا بتحديث تكوين Nginx وإضافة HTTPS. بعد ذلك، سيتمكن أصدقاؤك من الوصول إلى https://plex.نطاقك.com - ورؤية Plex الخاص بك مع تشفير SSL.

الخطوة 6. تحديد عنوان URL للبروكسي في إعدادات Plex

في Plex Media Server، انتقل إلى الإعدادات → الشبكة. في حقل "عناوين URL مخصصة للخادم"، حدد نطاقك: https://plex.نطاقك.com:443. سيخبر هذا Plex أن العملاء يجب أن يتصلوا عبر هذا العنوان، وليس البحث عن طريق مباشر.

إعداد البروكسي لـ Jellyfin: خطوة بخطوة

Jellyfin هو بديل مجاني ومفتوح تمامًا لـ Plex. إعداد البروكسي العكسي لـ Jellyfin يختلف قليلاً، لكن المنطق هو نفسه. يعمل Jellyfin بشكل افتراضي على المنفذ 8096 (HTTP) و8920 (HTTPS).

الخطوة 1. إعداد Jellyfin للعمل خلف البروكسي

افتح لوحة التحكم الخاصة بـ Jellyfin. انتقل إلى لوحة التحكم → الشبكة. ابحث عن حقل "عنوان URL الأساسي" واتركه فارغًا (إذا كان Jellyfin سيكون على المسار الجذري). تأكد من تفعيل خيار "السماح بالاتصالات عن بُعد".

الخطوة 2. تكوين Nginx لـ Jellyfin

تكوين Nginx لـ Jellyfin أكثر تعقيدًا قليلاً، حيث يستخدم الخادم WebSocket للمزامنة:

server {
    listen 80;
    server_name jellyfin.نطاقك.com;

    location / {
        proxy_pass http://localhost:8096;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # دعم WebSocket (مهم لـ Jellyfin!)
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        # بث بدون تخزين مؤقت
        proxy_buffering off;
        proxy_read_timeout 36000s;
    }
}

بديل: Caddy بدلاً من Nginx

إذا كنت لا ترغب في التعامل مع Nginx، جرب Caddy - فهو يحصل تلقائيًا على شهادات SSL ولديه بناء جملة تكوين أبسط. يبدو تكوين Jellyfin في Caddy كما يلي:

jellyfin.نطاقك.com {
    reverse_proxy localhost:8096
}

نعم، هذه حرفيًا سطران. سيقوم Caddy بإعداد HTTPS بنفسه، والحصول على شهادة Let's Encrypt وتحديثها تلقائيًا. بالنسبة لمعظم المستخدمين المنزليين، Caddy هو الخيار الأكثر ملاءمة.

الخطوة 3. إعداد النفق (كما في Plex)

استخدم نفس نفق SSH أو نهج VPN الموضح في قسم Plex، ولكن مع المنفذ 8096:

ssh -N -R 8096:localhost:8096 user@عنوان_VPS_الخاص_بك

بدائل: Tailscale، Cloudflare Tunnel والبروكسي - مقارنة

بالإضافة إلى البروكسي العكسي التقليدي عبر VPS، هناك حلول أكثر حداثة. دعونا نناقش مزاياها وعيوبها:

Tailscale (و Headscale)

Tailscale هو VPN يعتمد على WireGuard، والذي ينشئ شبكة خاصة بين أجهزتك. تقوم بتثبيت Tailscale على الخادم المنزلي وعلى أجهزة الأصدقاء - ويحصلون على وصول مشفر مباشر إلى الخادم عبر الشبكة الافتراضية.

• المزايا: سهل الإعداد جدًا، أقصى درجات الأمان، لا يوجد تأخير من البروكسي، مجاني حتى 3 مستخدمين
• العيوب: يحتاج الأصدقاء إلى تثبيت عميل Tailscale، اعتماد على خوادم Tailscale Inc.، أصعب في التوسع لعدد كبير من المشاهدين
• متى تختار: إذا كان لديك 2-5 أصدقاء تقنيين لا يمانعون في تثبيت التطبيق

Cloudflare Tunnel (سابقًا Argo Tunnel)

يسمح Cloudflare Tunnel بنشر خادمك المنزلي على الإنترنت عبر بنية Cloudflare التحتية دون فتح المنافذ. تقوم بتثبيت cloudflared على الخادم المنزلي، ويقوم بإنشاء نفق صادر إلى Cloudflare، ويصبح خادمك متاحًا عبر نطاقك من خلال CDN Cloudflare.

• المزايا: مجاني، لا حاجة لـ VPS، حماية من DDoS من Cloudflare، SSL تلقائيًا
• العيوب: يمنع Cloudflare استخدام الخطة المجانية لبث الفيديو في شروط الخدمة الخاصة به. تحتاج إلى خطة مدفوعة لحجم حركة مرور كبير. أيضًا، ترى Cloudflare كل حركة مرورك.
• متى تختار: للاختبار أو الوصول غير المتكرر إلى Jellyfin/Plex

جدول مقارنة الحلول

سرعة وجودة البث عبر البروكسي: ما الذي يؤثر

السؤال الرئيسي عند استخدام البروكسي لخادم الوسائط هو: هل ستنخفض جودة الفيديو؟ دعونا نناقش ما الذي يؤثر فعليًا على سرعة البث عبر البروكسي.

نطاق تردد الإنترنت المنزلي

هذا هو القيد الأكثر أهمية. يمر كل دفق الفيديو عبر قناتك المنزلية إلى الإنترنت (رفع). المتطلبات النموذجية لسرعة الرفع:

• جودة SD (480p): ~2-4 ميجابت/ثانية لكل مشاهد
• جودة HD (720p): ~5-8 ميجابت/ثانية لكل مشاهد
• Full HD (1080p): ~8-15 ميجابت/ثانية لكل مشاهد
• 4K HDR: ~25-40 ميجابت/ثانية لكل مشاهد

إذا كان لديك خطة منزلية بسرعة 50 ميجابت/ثانية للرفع، يمكنك توفير 3-4 مشاهدين في 1080p في نفس الوقت. البروكسي هنا لا يضيف قيودًا إضافية - إنه فقط يعيد توجيه الحركة.

التحويل مقابل البث المباشر

يمكن لـ Plex وJellyfin تحويل الفيديو على الطاير - تحويل التنسيق وفقًا لقدرات جهاز العميل. التحويل يضغط على معالج الخادم المنزلي، لكنه ليس مرتبطًا بالبروكسي. إذا كان جهاز العميل يدعم التشغيل المباشر (Direct Play) - فإن الحمل يكون ضئيلاً.

التوصية: قم بإعداد تطبيقات العملاء Plex/Jellyfin على أعلى جودة وتشغيل مباشر - سيقلل ذلك من الحمل على الخادم ويزيل تأخيرات التحويل.

زمن الاستجابة (latency) للبروكسي

يضيف البروكسي "قفزة" إضافية في المسار. بالنسبة لبث الفيديو، فإن زمن الاستجابة من 20-50 مللي ثانية يكاد يكون غير ملحوظ - حيث تعوض التخزين المؤقت لمشغل الفيديو ذلك. من المهم اختيار VPS في منطقة قريبة من مشاهدينك: إذا كان أصدقاؤك في موسكو - احصل على VPS في موسكو أو أوروبا، وليس في الولايات المتحدة.

نصائح عملية للتحسين

• قم بإيقاف تشغيل التخزين المؤقت في Nginx (proxy_buffering off) - هذا أمر حاسم لبث الفيديو
• قم بزيادة أوقات الانتظار (proxy_read_timeout 36000s) - وإلا ستتقطع الأفلام الطويلة
• قم بتمكين HTTP/2 في Nginx - يقلل من الحمل الزائد عند وجود طلبات متوازية متعددة
• استخدم gzip فقط للاستجابات النصية (البيانات الوصفية، API)، ولكن ليس لدفقات الفيديو
• قم بإعداد التخزين المؤقت للأغلفة والبيانات الوصفية على مستوى البروكسي - سيقلل من الحمل على الخادم المنزلي

الأمان: كيفية حماية الخادم وبيانات المستخدمين

بعد إعداد البروكسي، لقد حسنت بالفعل الأمان بشكل كبير مقارنة بفتح المنفذ. لكن هناك بعض التدابير المهمة الأخرى التي يجب تنفيذها.

المصادقة على مستوى البروكسي

أضف مصادقة HTTP الأساسية على مستوى Nginx كحاجز إضافي. حتى إذا وجد شخص ما عنوان URL الخاص بك - بدون اسم المستخدم وكلمة المرور، لن يتمكن من رؤية واجهة Plex/Jellyfin. أنشئ ملف كلمات المرور:

sudo htpasswd -c /etc/nginx/.htpasswd اسم_المستخدم

ومع ذلك، ضع في اعتبارك: قد تتعارض المصادقة الأساسية لـ Nginx مع API Plex/Jellyfin. من الأفضل الاعتماد بالكامل على المصادقة المدمجة لهذه الخدمات - فهي موثوقة بما فيه الكفاية.

تقييد الوصول حسب IP

إذا كان لدى أصدقائك عناوين IP ثابتة (أو هم مستعدون لإبلاغك بعناوين IP الخاصة بهم عند التغيير) - أضف قائمة بيضاء إلى Nginx:

location / {
    allow 1.2.3.4;   # IP الصديق 1
    allow 5.6.7.8;   # IP الصديق 2
    deny all;
    proxy_pass http://localhost:32400;
}

Fail2ban ضد هجمات القوة الغاشمة

قم بتثبيت Fail2ban على VPS - سيقوم تلقائيًا بحظر عناوين IP التي تقوم بعدد كبير جدًا من محاولات الدخول الفاشلة. سيحمي هذا كل من Nginx وSSH على VPS نفسه:

sudo apt install fail2ban -y
sudo systemctl enable fail2ban

التحديثات المنتظمة

قم بتحديث Plex/Jellyfin وNginx ونظام التشغيل VPS بانتظام. تحدث معظم اختراقات خوادم الوسائط من خلال ثغرات معروفة في إصدارات البرمجيات القديمة. قم بإعداد التحديثات الأمنية التلقائية على VPS:

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades

المراقبة والسجلات

قم بإعداد عرض سجلات Nginx لمراقبة النشاط المشبوه. الأمر لعرض أحدث الطلبات في الوقت الحقيقي:

sudo tail -f /var/log/nginx/access.log

انتبه إلى الطلبات ذات وكيل المستخدم غير المعتاد، والطلبات الجماعية إلى /admin، /wp-admin والمسارات القياسية الأخرى - هذه علامات على المسح الآلي.

قائمة التحقق الأمنية لخادم الوسائط المنزلي

الخاتمة والتوصيات

إعداد البروكسي لخادم الوسائط المنزلي Plex أو Jellyfin هو توازن بين الراحة والأمان والسرعة. يتيح فتح منفذ الموجه أقصى سرعة، لكنه يخلق مخاطر حقيقية على الشبكة المنزلية بالكامل. يحل البروكسي هذه المشكلة، مضيفًا تأخيرًا طفيفًا، ولكنه يوفر حماية طبيعية.

الخيار الأفضل لمعظم المستخدمين المنزليين هو البروكسي العكسي على VPS رخيص عبر Caddy (أسهل) أو Nginx (أكثر مرونة) بالتعاون مع نفق SSH أو WireGuard/Tailscale. يوفر هذا عنوان URL ثابت، وتشفير SSL، وتحكمًا كاملاً في من وكيف يتصل بخادمك.

إذا كنت تستخدم Plex أو Jellyfin ليس فقط لمشاركة المحتوى مع الأصدقاء، ولكن أيضًا للوصول إلى مصادر بيانات خارجية، أو مقاطع دعائية، أو ملحقات تحظر عناوين IP الخاصة بالخادم - فإن البروكسي السكنية ستكون مثالية لهذه الطلبات: فهي تحاكي حركة مرور مستخدم منزلي عادي ولا تثير الشكوك لدى الخدمات الخارجية.

لأولئك الذين يرغبون في أقصى سرعة لنفق دفق الفيديو مع أقل تأخيرات، يجب الانتباه إلى بروكسي مراكز البيانات - حيث توفر سعة عالية وزمن استجابة مستقر، وهو أمر حاسم للبث المستمر بجودة Full HD و4K.