پروکسی برای سرور خانگی Plex و Jellyfin: چگونه محتوای رسانه‌ای را به دوستان به‌طور ایمن به اشتراک بگذاریم

شما یک سرور رسانه خانگی بر روی Plex یا Jellyfin راه‌اندازی کرده‌اید، آن را با فیلم‌ها، سریال‌ها و موسیقی پر کرده‌اید و می‌خواهید به دوستان یا خانواده دسترسی بدهید. اما باز کردن پورت‌های روتر ترسناک است: این یک حفره مستقیم به شبکه خانگی شماست. سرور پروکسی این مشکل را به‌طور زیبا حل می‌کند: او به‌عنوان واسطه‌ای بین سرور شما و بینندگان عمل می‌کند، IP واقعی را پنهان می‌کند و نیازی به تنظیمات خطرناک روتر ندارد.

چرا نمی‌توان فقط پورت را باز کرد: خطرات سرور خانگی

واضح‌ترین راه برای دادن دسترسی به دوستتان به Plex یا Jellyfin — باز کردن پورت روی روتر است. به‌عنوان مثال، باز کردن پورت 32400 (Plex) یا 8096 (Jellyfin) و ارسال لینک به دوستتان به شکل http://آی‌پی-شما:32400. از نظر فنی این کار می‌کند. اما از نظر امنیتی — این یک فاجعه است.

اینجا چه اتفاقی می‌افتد وقتی که شما پورت روتر خانگی خود را به اینترنت باز می‌کنید:

• آی‌پی خانگی شما عمومی می‌شود. هر کسی که آدرس سرور شما را بداند، آی‌پی واقعی خانگی شما را می‌داند. این شامل مکان جغرافیایی، ارائه‌دهنده، و آدرس شما با دقت به منطقه است.
• اسکنرهای رباتی شما را در عرض چند ساعت پیدا می‌کنند. Shodan، Censys و هزاران اسکنر خودکار به‌طور مداوم در حال جستجوی اینترنت هستند. پورت باز Plex یا Jellyfin شناسایی خواهد شد و در عرض چند ساعت پس از باز شدن، تلاش‌های هک را دریافت خواهد کرد.
• آسیب‌پذیری‌های نرم‌افزاری = هک شبکه. Plex و Jellyfin نرم‌افزارهای پیچیده‌ای با تاریخچه‌ای از آسیب‌پذیری‌ها هستند. اگر در نسخه شما یک حفره بسته نشده وجود داشته باشد، مهاجم از طریق آن می‌تواند به نه تنها سرور رسانه، بلکه به کل شبکه خانگی شما دسترسی پیدا کند: لپ‌تاپ‌ها، NAS، و دستگاه‌های هوشمند.
• DDoS و شکایات سوءاستفاده. ارائه‌دهنده خانگی شما موظف به محافظت از شما در برابر حملات DDoS نیست. در صورت حمله گسترده، شما به‌سادگی قطع خواهید شد.
• آی‌پی دینامیک. برای اکثر کاربران خانگی، آی‌پی تغییر می‌کند. هر بار باید به دوستانتان آدرس جدید را اطلاع دهید یا سرویس DDNS را تنظیم کنید.

نتیجه‌گیری واضح است: پورت باز — راه‌حلی برای سرور رسانه خانگی نیست که افراد غریبه به آن متصل شوند. به یک واسطه نیاز است که درخواست‌ها را از بینندگان دریافت کند و آنها را به سرور شما منتقل کند، بدون اینکه آی‌پی واقعی شما را فاش کند و حفره‌هایی در شبکه خانگی ایجاد کند.

چگونه پروکسی به اشتراک‌گذاری رسانه کمک می‌کند: طرح کار

پروکسی در زمینه سرور رسانه خانگی به‌عنوان یک نقطه میانی عمل می‌کند. دوستان شما به‌طور مستقیم به آی‌پی خانگی شما متصل نمی‌شوند، بلکه به آی‌پی سرور پروکسی متصل می‌شوند. پروکسی درخواست را دریافت می‌کند، آن را به سرور شما منتقل می‌کند، پاسخ (جریان ویدیو، متاداده، کاور) را دریافت می‌کند و به بیننده بازمی‌گرداند.

طرح به این شکل است:

این در عمل چه مزیتی دارد:

• آی‌پی خانگی شما پنهان است. بینندگان فقط آی‌پی سرور پروکسی را می‌بینند. حتی اگر دوستتان لینک را با کسی دیگر به اشتراک بگذارد — آنها نمی‌توانند به‌طور مستقیم به شبکه خانگی شما حمله کنند.
• نیازی به باز کردن پورت‌های روتر نیست. سرور شما خود به‌طور خودکار یک اتصال خروجی به پروکسی (یا تونل) ایجاد می‌کند. اتصالات ورودی از اینترنت به شبکه شما نمی‌آیند.
• آدرس ثابت و پایدار. سرور پروکسی دارای آی‌پی ثابتی است. حتی اگر آی‌پی خانگی شما تغییر کند — بینندگان از این موضوع مطلع نخواهند شد.
• رمزگذاری SSL. پروکسی می‌تواند HTTPS را ترمینیت کند و رمزگذاری ترافیک بین بیننده و پروکسی را فراهم کند.
• کنترل دسترسی. در سطح پروکسی می‌توان محدود کرد که چه کسی می‌تواند به سرور متصل شود.

مهم است که تفاوت بین دو سناریوی استفاده از پروکسی برای سرور رسانه را درک کنید. سناریوی اول — شما یک سرور پروکسی (یا VPS) اجاره می‌کنید و بر روی آن یک پروکسی معکوس (reverse proxy) تنظیم می‌کنید: nginx، Caddy یا Traefik. این سرور درخواست‌های بینندگان را دریافت می‌کند و آنها را به سرور خانگی شما پروکسی می‌کند. سناریوی دوم — شما از یک سرویس پروکسی تجاری به‌عنوان تونل یا گره میانی برای ناشناس‌سازی درخواست‌های خروجی از سرور خود استفاده می‌کنید.

در این مقاله، هر دو رویکرد را بررسی خواهیم کرد، اما تمرکز اصلی بر روی تنظیمات عملی است که به دوستان شما اجازه می‌دهد بدون پیچیدگی‌های فنی از سرور شما محتوا را تماشا کنند.

کدام نوع پروکسی برای Plex و Jellyfin مناسب است

همه انواع پروکسی به‌طور یکسان برای استریم ویدیو مناسب نیستند. در اینجا یک جدول مقایسه‌ای با توجه به ویژگی‌های سرورهای رسانه خانگی آورده شده است:

نتیجه‌گیری در مورد انواع: برای استریم دائمی محتوای رسانه، انتخاب بهینه — پروکسی معکوس (reverse proxy) بر روی VPS اجاره‌ای یا پروکسی دیتاسنتر با ظرفیت بالا است. پروکسی‌های مسکونی در سناریوی دیگری مفید هستند: زمانی که Plex یا Jellyfin به منابع خارجی متاداده یا پلاگین‌هایی که آی‌پی سرور را مسدود می‌کنند، دسترسی پیدا می‌کند.

تنظیم پروکسی برای Plex Media Server: گام به گام

بیایید سناریوی عملی‌ترین را بررسی کنیم: شما یک سرور خانگی با Plex دارید و می‌خواهید به دوستانتان از طریق پروکسی معکوس بر روی VPS دسترسی بدهید. این کار یک URL پایدار، گواهی SSL و پنهان کردن آی‌پی خانگی شما را فراهم می‌کند.

چه چیزی نیاز دارید:

• کامپیوتر خانگی یا NAS با نصب Plex Media Server
• VPS (هر نوع، حتی ارزان‌ترین — 1 vCPU، 1 GB RAM برای پروکسی‌سازی کافی است)
• دامنه (می‌تواند رایگان باشد: DuckDNS، FreeDNS)
• حدود 30-60 دقیقه زمان

گام 1. Plex را بر روی سرور خانگی تنظیم کنید

Plex Web را بر روی سرور خانگی باز کنید. به تنظیمات → دسترسی از راه دور بروید. اطمینان حاصل کنید که گزینه "اجازه دسترسی از راه دور" فعال است. پورت را به خاطر بسپارید — به‌طور پیش‌فرض 32400 است. فعلاً این پورت را در روتر باز نکنید — ما همه چیز را از طریق پروکسی انجام خواهیم داد.

گام 2. Nginx را بر روی VPS نصب کنید

به VPS از طریق SSH متصل شوید. Nginx و Certbot برای SSL را نصب کنید:

sudo apt update
sudo apt install nginx certbot python3-certbot-nginx -y

گام 3. تونل را از VPS به سرور خانگی تنظیم کنید

این یک نکته کلیدی است. ما نیاز داریم که VPS بتواند به Plex خانگی شما دسترسی پیدا کند. دو روش وجود دارد:

روش A (ساده‌تر): تونل SSH از سرور خانگی به VPS. بر روی سرور خانگی خود، دستوری را اجرا کنید که یک تونل دائمی ایجاد می‌کند — پورت 32400 Plex خانگی را به پورت 32400 VPS منتقل می‌کند:

ssh -N -R 32400:localhost:32400 user@آی‌پی_VPS_شما

برای اینکه تونل به‌طور دائمی کار کند، آن را به systemd اضافه کنید یا از autossh برای اتصال خودکار در صورت قطع استفاده کنید.

روش B (قابل اعتمادتر): Tailscale یا WireGuard VPN بین سرور خانگی و VPS. این یک تونل رمزگذاری شده دائمی ایجاد می‌کند بدون نیاز به باز کردن پورت‌ها. جزئیات بیشتر — در بخش مربوط به جایگزین‌ها.

گام 4. Nginx را به‌عنوان پروکسی معکوس تنظیم کنید

یک پیکربندی برای دامنه خود ایجاد کنید. فایل /etc/nginx/sites-available/plex را ایجاد کنید:

server {
    listen 80;
    server_name plex.دامنه-شما.com;

    location / {
        proxy_pass http://localhost:32400;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # مهم برای استریم ویدیو:
        proxy_buffering off;
        proxy_read_timeout 36000s;
        proxy_send_timeout 36000s;
        client_max_body_size 0;
    }
}

گام 5. گواهی SSL دریافت کنید

sudo certbot --nginx -d plex.دامنه-شما.com

Certbot به‌طور خودکار پیکربندی Nginx را به‌روز کرده و HTTPS را اضافه می‌کند. پس از این، دوستان شما می‌توانند به https://plex.دامنه-شما.com وارد شوند و Plex شما را با رمزگذاری SSL مشاهده کنند.

گام 6. URL پروکسی را در تنظیمات Plex مشخص کنید

در Plex Media Server به تنظیمات → شبکه بروید. در فیلد "آدرس‌های URL سفارشی سرور" دامنه خود را وارد کنید: https://plex.دامنه-شما.com:443. این به Plex می‌گوید که مشتریان باید از این آدرس متصل شوند، نه اینکه به‌دنبال مسیر مستقیم باشند.

تنظیم پروکسی برای Jellyfin: گام به گام

Jellyfin یک جایگزین کاملاً رایگان و متن‌باز برای Plex است. تنظیم پروکسی معکوس برای Jellyfin کمی متفاوت است، اما منطق همان است. Jellyfin به‌طور پیش‌فرض بر روی پورت 8096 (HTTP) و 8920 (HTTPS) کار می‌کند.

گام 1. Jellyfin را برای کار در پشت پروکسی تنظیم کنید

پنل مدیریت Jellyfin را باز کنید. به پنل مدیریت → شبکه بروید. فیلد "آدرس پایه" را پیدا کنید و آن را خالی بگذارید (اگر Jellyfin در مسیر ریشه باشد). اطمینان حاصل کنید که گزینه "اجازه دسترسی از راه دور" فعال است.

گام 2. پیکربندی Nginx برای Jellyfin

پیکربندی Nginx برای Jellyfin کمی پیچیده‌تر است، زیرا سرور از WebSocket برای همگام‌سازی استفاده می‌کند:

server {
    listen 80;
    server_name jellyfin.دامنه-شما.com;

    location / {
        proxy_pass http://localhost:8096;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # پشتیبانی از WebSocket (مهم برای Jellyfin!)
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        # استریم بدون بافر
        proxy_buffering off;
        proxy_read_timeout 36000s;
    }
}

جایگزین: Caddy به‌جای Nginx

اگر نمی‌خواهید با Nginx سر و کار داشته باشید، Caddy را امتحان کنید — او به‌طور خودکار گواهی‌های SSL را دریافت کرده و دارای نحو پیکربندی ساده‌تری است. پیکربندی برای Jellyfin در Caddy به این شکل است:

jellyfin.دامنه-شما.com {
    reverse_proxy localhost:8096
}

بله، این واقعاً فقط دو خط است. Caddy خود HTTPS را تنظیم کرده، گواهی Let's Encrypt را دریافت کرده و به‌طور خودکار آن را به‌روز می‌کند. برای اکثر کاربران خانگی، Caddy انتخاب راحت‌تری است.

گام 3. تونل را تنظیم کنید (مشابه Plex)

از همان تونل SSH یا رویکرد VPN که در بخش Plex توضیح داده شده استفاده کنید، اما با پورت 8096:

ssh -N -R 8096:localhost:8096 user@آی‌پی_VPS_شما

جایگزین‌ها: Tailscale، Cloudflare Tunnel و پروکسی — مقایسه

علاوه بر پروکسی معکوس کلاسیک از طریق VPS، راه‌حل‌های مدرن‌تری نیز وجود دارد. بیایید مزایا و معایب آنها را بررسی کنیم:

Tailscale (و Headscale)

Tailscale یک VPN مبتنی بر WireGuard است که یک شبکه خصوصی بین دستگاه‌های شما ایجاد می‌کند. شما Tailscale را بر روی سرور خانگی و بر روی دستگاه‌های دوستانتان نصب می‌کنید — و آنها به‌طور مستقیم و رمزگذاری شده به سرور از طریق شبکه مجازی دسترسی پیدا می‌کنند.

• مزایا: تنظیم بسیار آسان، حداکثر امنیت، بدون تأخیر از پروکسی، رایگان تا 3 کاربر
• معایب: دوستان باید کلاینت Tailscale را نصب کنند، وابستگی به سرورهای Tailscale Inc، مقیاس‌پذیری سخت‌تر برای تعداد زیادی بیننده
• کی زمانی انتخاب شود: اگر 2-5 دوست فنی دارید که مشکلی با نصب برنامه ندارند

Cloudflare Tunnel (قبلاً Argo Tunnel)

Cloudflare Tunnel به شما اجازه می‌دهد تا سرور خانگی خود را در اینترنت از طریق زیرساخت Cloudflare بدون باز کردن پورت‌ها منتشر کنید. شما cloudflared را بر روی سرور خانگی نصب می‌کنید، او یک تونل خروجی به Cloudflare ایجاد می‌کند و سرور شما از طریق دامنه شما از طریق CDN Cloudflare در دسترس می‌شود.

• مزایا: رایگان، نیازی به VPS نیست، حفاظت DDoS از Cloudflare، SSL به‌طور خودکار
• معایب: Cloudflare استفاده از طرح رایگان را برای استریم ویدیو در شرایط خدمات خود ممنوع کرده است. برای حجم‌های بالای ترافیک به یک طرح پولی نیاز است. همچنین Cloudflare تمام ترافیک شما را مشاهده می‌کند.
• کی زمانی انتخاب شود: برای آزمایش یا دسترسی غیرمکرر به Jellyfin/Plex

جدول مقایسه‌ای راه‌حل‌ها

سرعت و کیفیت استریم از طریق پروکسی: چه چیزی تأثیر می‌گذارد

سوال اصلی هنگام استفاده از پروکسی برای سرور رسانه این است که آیا کیفیت ویدیو کاهش می‌یابد؟ بیایید بررسی کنیم که چه چیزی واقعاً بر سرعت استریم از طریق پروکسی تأثیر می‌گذارد.

عرضه اینترنت خانگی

این مهم‌ترین محدودیت است. تمام جریان ویدیو از طریق کانال خانگی شما به اینترنت (آپلود) می‌رود. نیازهای معمول برای سرعت آپلود:

• کیفیت SD (480p): ~2-4 مگابیت در ثانیه برای هر بیننده
• کیفیت HD (720p): ~5-8 مگابیت در ثانیه برای هر بیننده
• Full HD (1080p): ~8-15 مگابیت در ثانیه برای هر بیننده
• 4K HDR: ~25-40 مگابیت در ثانیه برای هر بیننده

اگر شما یک تعرفه خانگی با 50 مگابیت در ثانیه آپلود داشته باشید، می‌توانید به‌طور همزمان 3-4 بیننده را در 1080p تأمین کنید. پروکسی در اینجا محدودیت‌های اضافی ایجاد نمی‌کند — او فقط ترافیک را هدایت می‌کند.

ترنسکودینگ در مقابل استریم مستقیم

Plex و Jellyfin می‌توانند ویدیو را به‌صورت آنی ترنسکود کنند — فرمت را بر اساس قابلیت‌های دستگاه مشتری تبدیل کنند. ترنسکودینگ پردازنده سرور خانگی را تحت فشار قرار می‌دهد، اما هیچ ارتباطی با پروکسی ندارد. اگر دستگاه مشتری از پخش مستقیم (Direct Play) پشتیبانی کند — بار حداقل است.

توصیه: برنامه‌های کلاینت Plex/Jellyfin را بر روی حداکثر کیفیت و پخش مستقیم تنظیم کنید — این بار را بر روی سرور کاهش می‌دهد و تأخیرهای ترنسکودینگ را حذف می‌کند.

تاخیر (latency) پروکسی

پروکسی یک "پرش" اضافی در مسیر اضافه می‌کند. برای استریم ویدیو، تاخیر 20-50 میلی‌ثانیه تقریباً نامحسوس است — بافرینگ پخش‌کننده ویدیو آن را جبران می‌کند. انتخاب VPS در منطقه‌ای نزدیک به بینندگان شما بسیار مهم است: اگر دوستان شما در مسکو هستند — VPS را در مسکو یا اروپا بگیرید، نه در ایالات متحده.

نکات عملی برای بهینه‌سازی

• بافرینگ را در Nginx خاموش کنید (proxy_buffering off) — این برای استریم ویدیو حیاتی است
• زمان‌های تایم‌اوت را افزایش دهید (proxy_read_timeout 36000s) — در غیر این صورت فیلم‌های طولانی قطع خواهند شد
• HTTP/2 را در Nginx فعال کنید — بار اضافی را در درخواست‌های موازی کاهش می‌دهد
• فقط برای پاسخ‌های متنی (متاداده، API) از gzip استفاده کنید، اما نه برای جریان‌های ویدیویی
• کش کردن کاورها و متاداده‌ها را در سطح پروکسی تنظیم کنید — این بار را بر روی سرور خانگی کاهش می‌دهد

امنیت: چگونه سرور و داده‌های کاربران را محافظت کنیم

با تنظیم پروکسی، شما به‌طور قابل توجهی امنیت را نسبت به باز کردن پورت بهبود بخشیده‌اید. اما هنوز چند اقدام مهم دیگر وجود دارد که ارزش پیاده‌سازی دارد.

احراز هویت در سطح پروکسی

احراز هویت HTTP پایه را در سطح Nginx به‌عنوان یک مانع اضافی اضافه کنید. حتی اگر کسی URL شما را پیدا کند — بدون نام کاربری و رمز عبور، او نمی‌تواند به رابط Plex/Jellyfin دسترسی پیدا کند. یک فایل رمز عبور ایجاد کنید:

sudo htpasswd -c /etc/nginx/.htpasswd نام_کاربری

با این حال، توجه داشته باشید: احراز هویت پایه Nginx ممکن است با API Plex/Jellyfin تداخل داشته باشد. بهتر است به‌طور کامل به احراز هویت داخلی این سرویس‌ها تکیه کنید — این به اندازه کافی قابل اعتماد است.

محدودیت بر اساس IP

اگر دوستان شما آی‌پی‌های ثابت دارند (یا آنها آماده‌اند که در صورت تغییر، آی‌پی‌های خود را به شما اطلاع دهند) — یک whitelist در Nginx اضافه کنید:

location / {
    allow 1.2.3.4;   # آی‌پی دوست 1
    allow 5.6.7.8;   # آی‌پی دوست 2
    deny all;
    proxy_pass http://localhost:32400;
}

Fail2ban در برابر brute force

Fail2ban را بر روی VPS نصب کنید — او به‌طور خودکار آی‌پی‌هایی را که تلاش‌های ورود ناموفق زیادی دارند، مسدود می‌کند. این به Nginx و SSH در خود VPS محافظت می‌کند:

sudo apt install fail2ban -y
sudo systemctl enable fail2ban

به‌روزرسانی‌های منظم

Plex/Jellyfin، Nginx و سیستم‌عامل VPS را به‌طور منظم به‌روز کنید. بیشتر هک‌های سرورهای رسانه از طریق آسیب‌پذیری‌های شناخته شده در نسخه‌های قدیمی نرم‌افزار انجام می‌شود. به‌روزرسانی‌های امنیتی خودکار را بر روی VPS تنظیم کنید:

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades

نظارت و لاگ‌ها

نظارت بر لاگ‌های Nginx را برای پیگیری فعالیت‌های مشکوک تنظیم کنید. دستور برای مشاهده آخرین درخواست‌ها به‌صورت زنده:

sudo tail -f /var/log/nginx/access.log

به درخواست‌هایی با User-Agent‌های غیرمعمول، درخواست‌های انبوه به /admin، /wp-admin و دیگر مسیرهای استاندارد توجه کنید — اینها نشانه‌های اسکن خودکار هستند.

چک‌لیست امنیتی سرور رسانه خانگی

نتیجه‌گیری و توصیه‌ها

تنظیم پروکسی برای سرور رسانه خانگی Plex یا Jellyfin — تعادلی بین راحتی، امنیت و سرعت است. باز کردن پورت روتر حداکثر سرعت را فراهم می‌کند، اما خطرات واقعی برای کل شبکه خانگی ایجاد می‌کند. پروکسی این مشکل را حل می‌کند و تأخیر حداقلی را اضافه می‌کند، اما امنیت مناسبی را فراهم می‌کند.

بهترین انتخاب برای اکثر کاربران خانگی — پروکسی معکوس بر روی VPS ارزان از طریق Caddy (ساده‌تر) یا Nginx (انعطاف‌پذیرتر) همراه با تونل SSH یا WireGuard/Tailscale است. این کار یک URL پایدار، رمزگذاری SSL و کنترل کامل بر روی اینکه چه کسی و چگونه به سرور شما متصل می‌شود را فراهم می‌کند.

اگر شما از Plex یا Jellyfin نه تنها برای اشتراک‌گذاری محتوا با دوستان، بلکه برای دسترسی به منابع خارجی متاداده، تریلرها یا پلاگین‌هایی که آی‌پی سرور را مسدود می‌کنند استفاده می‌کنید — برای این درخواست‌ها پروکسی‌های مسکونی بسیار مناسب هستند: آنها ترافیک یک کاربر خانگی عادی را شبیه‌سازی می‌کنند و باعث ایجاد شک و تردید در خدمات خارجی نمی‌شوند.

برای کسانی که می‌خواهند حداکثر سرعت تونل‌سازی ویدیو با حداقل تأخیر را داشته باشند، توجه به پروکسی‌های دیتاسنتر بسیار مهم است — آنها ظرفیت بالایی و زمان کار پایدار را فراهم می‌کنند، که برای استریم مداوم در Full HD و 4K حیاتی است.