Torna al blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Proxy per server domestico Plex e Jellyfin: come condividere contenuti multimediali in sicurezza con gli amici

Vuoi dare ai tuoi amici accesso alla tua libreria multimediale Plex o Jellyfin, ma non sai come farlo in modo sicuro? Un server proxy risolve il problema senza aprire le porte del router e il rischio di hacking della rete domestica.

📅11 maggio 2026
```html

Hai creato un server multimediale domestico su Plex o Jellyfin, lo hai riempito di film, serie e musica — e vuoi dare accesso a amici o familiari. Ma aprire le porte del router è spaventoso: è una vera e propria falla nella tua rete domestica. Un server proxy risolve elegantemente questo problema: funge da intermediario tra il tuo server e gli spettatori, nascondendo il vero IP e non richiedendo impostazioni pericolose del router.

Perché non si può semplicemente aprire una porta: i rischi del server domestico

Il modo più ovvio per dare accesso a un amico a Plex o Jellyfin è aprire una porta sul router. Ad esempio, aprire la porta 32400 (Plex) o 8096 (Jellyfin) e inviare all'amico un link del tipo http://il-tuo-IP:32400. Tecnologicamente funziona. Ma dal punto di vista della sicurezza — è una catastrofe.

Ecco cosa succede quando apri una porta del router domestico su Internet:

  • Il tuo IP domestico diventa pubblico. Chiunque conosca l'indirizzo del tuo server conosce il tuo vero IP domestico. Questo significa geolocalizzazione, provider, il tuo indirizzo con precisione fino al quartiere.
  • I bot scanner ti troveranno in poche ore. Shodan, Censys e migliaia di scanner automatici esplorano costantemente l'intero Internet. Una porta aperta di Plex o Jellyfin verrà scoperta e inizierà a ricevere tentativi di hacking entro poche ore dall'apertura.
  • Vulnerabilità nel software = hacking della rete. Plex e Jellyfin sono software complessi con una storia di vulnerabilità. Se nella tua versione c'è una falla non chiusa, un attaccante può accedere non solo al server multimediale, ma all'intera rete domestica: laptop, NAS, dispositivi smart.
  • DDoS e segnalazioni di abuso. Il tuo provider domestico non è obbligato a proteggerti dagli attacchi DDoS. In caso di attacco massiccio, ti disconnetteranno semplicemente.
  • IP dinamico. La maggior parte degli utenti domestici ha un IP che cambia. Ogni volta dovrai comunicare agli amici il nuovo indirizzo o configurare un servizio DDNS.

La conclusione è ovvia: una porta aperta non è una soluzione per un server multimediale domestico a cui si connettono persone estranee. Serve un intermediario che riceve le richieste dagli spettatori e le inoltra al tuo server, senza rivelare il tuo vero IP e senza creare falle nella rete domestica.

Come il proxy aiuta a condividere media: schema di funzionamento

Il proxy nel contesto di un server multimediale domestico funziona come un punto intermedio. I tuoi amici non si connettono direttamente al tuo IP domestico, ma all'IP del server proxy. Il proxy riceve la richiesta, la inoltra al tuo server, riceve la risposta (stream video, metadati, copertine) e la rimanda indietro allo spettatore.

Lo schema è il seguente:

Amico (spettatore) → Server proxy (IP pubblico) → Il tuo server domestico Plex/Jellyfin
Il tuo server domestico → Server proxy → Amico (spettatore)

Cosa significa questo nella pratica:

  • Il tuo IP domestico è nascosto. Gli spettatori vedono solo l'IP del server proxy. Anche se un amico condivide il link con qualcun altro — non potranno attaccare direttamente la tua rete domestica.
  • Non è necessario aprire porte sul router. Il tuo server avvia autonomamente una connessione in uscita con il proxy (o tunnel). Le connessioni in ingresso da Internet alla tua rete non vengono effettuate.
  • Un unico indirizzo stabile. Il server proxy ha un IP fisso. Anche se il tuo IP domestico cambia — gli spettatori non lo sapranno.
  • Crittografia SSL. Il proxy può terminare HTTPS, garantendo la crittografia del traffico tra lo spettatore e il proxy.
  • Controllo accessi. A livello di proxy puoi limitare chi può connettersi al server.

È importante comprendere la differenza tra due scenari di utilizzo del proxy per il server multimediale. Il primo scenario — affitti un server proxy (o VPS) e configuri un reverse proxy (proxy inverso) su di esso: nginx, Caddy o Traefik. Questo server riceve le richieste degli spettatori e le proxy verso il tuo server domestico. Il secondo scenario — utilizzi un servizio proxy commerciale come tunnel o nodo intermedio per anonimizzare le richieste in uscita dal tuo server.

In questo articolo esamineremo entrambi gli approcci, ma il focus principale sarà sulla configurazione pratica che permetterà ai tuoi amici di guardare contenuti dal tuo server senza complicazioni tecniche da parte loro.

Quale tipo di proxy è adatto per Plex e Jellyfin

Non tutti i tipi di proxy sono adatti per lo streaming video. Ecco una tabella comparativa tenendo conto delle specificità dei server multimediali domestici:

Tipo di proxy Velocità Stabilità Adatto per lo streaming Nota
Proxy dei data center ★★★★★ ★★★★★ ✅ Eccellente Alta larghezza di banda, ping stabile. Ideale per tunnelizzare lo streaming.
Proxy residenziali ★★★☆☆ ★★★☆☆ ⚠️ Limitato Utili per aggirare le restrizioni geografiche quando si accede a servizi esterni da Plex. Per lo streaming — instabili.
Proxy mobili ★★★☆☆ ★★★☆☆ ❌ Non raccomandato Alto costo del traffico, velocità instabile. Non ottimale per flussi video.
Reverse Proxy (nginx/Caddy su VPS) ★★★★★ ★★★★★ ✅ Ideale L'approccio più corretto per un uso costante. Richiede l'affitto di un VPS.

Conclusione sui tipi: per lo streaming costante di contenuti multimediali, la scelta ottimale è un reverse proxy (proxy inverso) su un VPS affittato, oppure proxy dei data center con alta larghezza di banda. I proxy residenziali sono utili in un altro scenario: quando Plex o Jellyfin si connette a fonti esterne di metadati o plugin che bloccano gli IP dei server.

💡 Punto importante

Plex ha un proprio servizio di relay cloud (Plex Relay), che funziona come un proxy integrato attraverso i server di Plex Inc. È gratuito, ma limita la velocità a ~2 Mbps, che non è sufficiente per 1080p. Per una qualità normale è necessaria una connessione diretta (con porta aperta) o un proprio proxy.

Configurazione del proxy per Plex Media Server: passo dopo passo

Consideriamo lo scenario più pratico: hai un server domestico con Plex e vuoi dare accesso agli amici tramite un reverse proxy su VPS. Questo offre un URL stabile, un certificato SSL e nasconde il tuo IP domestico.

Cosa serve:

  • PC domestico o NAS con Plex Media Server installato
  • VPS (qualsiasi, anche il più economico — 1 vCPU, 1 GB di RAM è sufficiente per il proxy)
  • Dominio (può essere gratuito: DuckDNS, FreeDNS)
  • Circa 30-60 minuti di tempo

Passo 1. Configura Plex sul server domestico

Apri Plex Web sul server domestico. Vai su Impostazioni → Accesso remoto. Assicurati che l'opzione "Consenti accesso remoto" sia attivata. Ricorda la porta — di default è 32400. Per ora NON aprire questa porta sul router — faremo tutto tramite il proxy.

Passo 2. Installa Nginx su VPS

Connettiti a VPS tramite SSH. Installa Nginx e Certbot per SSL: 

sudo apt update
sudo apt install nginx certbot python3-certbot-nginx -y

Passo 3. Configura il tunnel da VPS al server domestico

Questo è il punto chiave. Abbiamo bisogno che il VPS possa raggiungere il tuo Plex domestico. Ci sono due modi:

Metodo A (più semplice): tunnel SSH dal server domestico a VPS. Sul tuo server domestico esegui il comando che crea un tunnel permanente — inoltra la porta 32400 del Plex domestico sulla porta 32400 del VPS: 

ssh -N -R 32400:localhost:32400 user@IL_TUO_IP_VPS

Per mantenere il tunnel attivo, aggiungilo a systemd o utilizza autossh per la riconnessione automatica in caso di disconnessione.

Metodo B (più affidabile): Tailscale o WireGuard VPN tra il server domestico e il VPS. Questo crea un tunnel crittografato permanente senza la necessità di aprire porte. Maggiori dettagli nella sezione sulle alternative.

Passo 4. Configura Nginx come reverse proxy

Crea una configurazione per il tuo dominio. Crea un file /etc/nginx/sites-available/plex: 

server {
    listen 80;
    server_name plex.il-tuo-dominio.com;

    location / {
        proxy_pass http://localhost:32400;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # Importante per lo streaming video:
        proxy_buffering off;
        proxy_read_timeout 36000s;
        proxy_send_timeout 36000s;
        client_max_body_size 0;
    }
}

Passo 5. Ottieni un certificato SSL

sudo certbot --nginx -d plex.il-tuo-dominio.com

Certbot aggiornerà automaticamente la configurazione di Nginx e aggiungerà HTTPS. Dopo di che, i tuoi amici potranno accedere a https://plex.il-tuo-dominio.com — e vedere il tuo Plex con crittografia SSL.

Passo 6. Specifica l'URL del proxy nelle impostazioni di Plex

In Plex Media Server vai su Impostazioni → Rete. Nel campo "URL personalizzati del server" specifica il tuo dominio: https://plex.il-tuo-dominio.com:443. Questo dirà a Plex che i client devono connettersi tramite questo indirizzo, invece di cercare un percorso diretto.

Configurazione del proxy per Jellyfin: passo dopo passo

Jellyfin è un'alternativa completamente gratuita e open source a Plex. La configurazione di un reverse proxy per Jellyfin è leggermente diversa, ma la logica è la stessa. Jellyfin funziona di default sulla porta 8096 (HTTP) e 8920 (HTTPS).

Passo 1. Configura Jellyfin per funzionare dietro un proxy

Apri il pannello di controllo di Jellyfin. Vai su Pannello di controllo → Rete. Trova il campo "URL di base" e lascialo vuoto (se Jellyfin sarà sulla radice). Assicurati che l'opzione "Consenti connessioni remote" sia attivata.

Passo 2. Configurazione di Nginx per Jellyfin

La configurazione di Nginx per Jellyfin è un po' più complessa, poiché il server utilizza WebSocket per la sincronizzazione: 

server {
    listen 80;
    server_name jellyfin.il-tuo-dominio.com;

    location / {
        proxy_pass http://localhost:8096;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # Supporto WebSocket (importante per Jellyfin!)
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        # Streaming senza buffering
        proxy_buffering off;
        proxy_read_timeout 36000s;
    }
}

Alternativa: Caddy invece di Nginx

Se non vuoi occuparti di Nginx, prova Caddy — ottiene automaticamente certificati SSL e ha una sintassi di configurazione più semplice. La configurazione per Jellyfin in Caddy appare così: 

jellyfin.il-tuo-dominio.com {
    reverse_proxy localhost:8096
}

Sì, sono letteralmente due righe. Caddy configurerà automaticamente HTTPS, otterrà un certificato Let's Encrypt e lo aggiornerà automaticamente. Per la maggior parte degli utenti domestici, Caddy è una scelta più comoda.

Passo 3. Configura il tunnel (simile a Plex)

Usa lo stesso tunnel SSH o approccio VPN descritto nella sezione su Plex, ma con la porta 8096: 

ssh -N -R 8096:localhost:8096 user@IL_TUO_IP_VPS

💡 Consiglio di sicurezza

Dopo aver configurato il proxy, assicurati che Jellyfin ascolti solo su localhost (127.0.0.1), e non su tutte le interfacce (0.0.0.0). Questo impedirà l'accesso diretto al server bypassando il proxy. Nelle impostazioni di Jellyfin → Rete → "Collegati all'indirizzo locale" specifica 127.0.0.1.

Alternative: Tailscale, Cloudflare Tunnel e proxy — confronto

Oltre al classico reverse proxy tramite VPS, ci sono soluzioni più moderne. Esaminiamo i loro pro e contro:

Tailscale (e Headscale)

Tailscale è una VPN basata su WireGuard che crea una rete privata tra i tuoi dispositivi. Installa Tailscale sul server domestico e sui dispositivi degli amici — e ottengono accesso diretto e crittografato al server tramite la rete virtuale.

  • Pro: molto semplice da configurare, massima sicurezza, nessun ritardo dal proxy, gratuito fino a 3 utenti
  • Contro: gli amici devono installare il client Tailscale, dipendenza dai server di Tailscale Inc., più difficile da scalare per un grande numero di spettatori
  • Quando scegliere: se hai 2-5 amici tecnicamente esperti che non hanno problemi a installare l'app

Cloudflare Tunnel (precedentemente Argo Tunnel)

Cloudflare Tunnel consente di pubblicare il tuo server domestico su Internet tramite l'infrastruttura di Cloudflare senza aprire porte. Installa cloudflared sul server domestico, crea un tunnel in uscita verso Cloudflare, e il tuo server diventa accessibile tramite il tuo dominio attraverso la CDN di Cloudflare.

  • Pro: gratuito, non serve VPS, protezione DDoS da Cloudflare, SSL automatico
  • Contro: Cloudflare vieta l'uso del piano gratuito per lo streaming video nei suoi ToS. Per grandi volumi di traffico è necessario un piano a pagamento. Inoltre, Cloudflare vede tutto il tuo traffico.
  • Quando scegliere: per testare o per accesso sporadico a Jellyfin/Plex

Tabella comparativa delle soluzioni

Soluzione Difficoltà Costo Velocità Requisiti per gli spettatori
Nginx/Caddy su VPS Media ~$3-5/mese (VPS) ★★★★★ Solo browser o client Plex/Jellyfin
Tailscale Bassa Gratuito (fino a 3 utenti) ★★★★★ Installa Tailscale
Cloudflare Tunnel Bassa Gratuito / da $20/mese ★★★☆☆ Solo browser o client
Plex Relay (integrato) Zero Gratuito ★★☆☆☆ Solo client Plex

Velocità e qualità dello streaming tramite proxy: cosa influisce

La domanda principale quando si utilizza un proxy per un server multimediale è: la qualità video diminuirà? Esaminiamo cosa influisce realmente sulla velocità di streaming tramite proxy.

Larghezza di banda di Internet domestico

Questo è il vincolo più importante. Tutto il flusso video passa attraverso il tuo canale domestico verso Internet (upload). I requisiti tipici per la velocità di upload sono:

  • Qualità SD (480p): ~2-4 Mbps per spettatore
  • Qualità HD (720p): ~5-8 Mbps per spettatore
  • Full HD (1080p): ~8-15 Mbps per spettatore
  • 4K HDR: ~25-40 Mbps per spettatore

Se hai un piano domestico con 50 Mbps di upload, potrai supportare simultaneamente 3-4 spettatori in 1080p. Il proxy qui non crea ulteriori vincoli — si limita a reindirizzare il traffico.

Transcodifica vs flusso diretto

Plex e Jellyfin possono transcodificare video al volo — convertendo il formato in base alle capacità del dispositivo client. La transcodifica carica il processore del server domestico, ma non è collegata al proxy. Se il dispositivo client supporta la riproduzione diretta (Direct Play) — il carico è minimo.

Raccomandazione: configura le app client Plex/Jellyfin per la massima qualità e riproduzione diretta — questo ridurrà il carico sul server e eliminerà i ritardi di transcodifica.

Ritardo (latency) del proxy

Il proxy aggiunge un ulteriore "salto" nel percorso. Per lo streaming video, un ritardo di 20-50 ms è praticamente impercettibile — il buffering del lettore video lo compensa. È critico scegliere un VPS in una regione vicina ai tuoi spettatori: se gli amici sono a Mosca — prendi un VPS a Mosca o in Europa, non negli Stati Uniti.

Consigli pratici per l'ottimizzazione

  • Disabilita il buffering in Nginx (proxy_buffering off) — questo è critico per lo streaming video
  • Aumenta i timeout (proxy_read_timeout 36000s) — altrimenti i film lunghi verranno interrotti
  • Abilita HTTP/2 in Nginx — riduce l'overhead per molte richieste parallele
  • Utilizza gzip solo per le risposte testuali (metadati, API), ma non per i flussi video
  • Configura la cache delle copertine e dei metadati a livello di proxy — ridurrà il carico sul server domestico

Sicurezza: come proteggere il server e i dati degli utenti

Configurando un proxy, hai già migliorato notevolmente la sicurezza rispetto all'apertura di una porta. Ma ci sono ancora alcune misure importanti da implementare.

Autenticazione a livello di proxy

Aggiungi un'autenticazione HTTP di base a livello di Nginx come barriera aggiuntiva. Anche se qualcuno trova il tuo URL — senza login e password non vedrà l'interfaccia di Plex/Jellyfin. Crea un file di password: 

sudo htpasswd -c /etc/nginx/.htpasswd nome_utente

Tuttavia, tieni presente: l'autenticazione di base di Nginx può entrare in conflitto con l'API di Plex/Jellyfin. È meglio fare completamente affidamento sull'autenticazione integrata di questi servizi — è abbastanza sicura.

Limitazione per IP

Se i tuoi amici hanno IP statici (o sono disposti a comunicarti i loro IP in caso di cambiamento) — aggiungi una whitelist in Nginx: 

location / {
    allow 1.2.3.4;   # IP amico 1
    allow 5.6.7.8;   # IP amico 2
    deny all;
    proxy_pass http://localhost:32400;
}

Fail2ban contro il brute force

Installa Fail2ban su VPS — blocca automaticamente gli indirizzi IP che effettuano troppe tentativi di accesso non riusciti. Questo proteggerà sia Nginx che SSH sul VPS stesso: 

sudo apt install fail2ban -y
sudo systemctl enable fail2ban

Aggiornamenti regolari

Aggiorna regolarmente Plex/Jellyfin, Nginx e il sistema operativo del VPS. La maggior parte degli attacchi ai server multimediali avviene tramite vulnerabilità note in versioni obsolete del software. Configura aggiornamenti automatici di sicurezza su VPS: 

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades

Monitoraggio e log

Configura la visualizzazione dei log di Nginx per monitorare attività sospette. Comando per visualizzare le ultime richieste in tempo reale: 

sudo tail -f /var/log/nginx/access.log

Fai attenzione alle richieste con User-Agent insoliti, richieste massicce a /admin, /wp-admin e altri percorsi standard — sono segni di scansione automatica.

Checklist di sicurezza per il server multimediale domestico

  • ✅ Il proxy nasconde il vero IP domestico
  • ✅ Il certificato SSL è installato e si aggiorna automaticamente
  • ✅ Le porte Plex/Jellyfin NON sono aperte direttamente sul router
  • ✅ Plex/Jellyfin ascolta solo su localhost
  • ✅ Fail2ban è installato su VPS
  • ✅ SSH su VPS funziona solo con chiavi (non con password)
  • ✅ Gli aggiornamenti di sicurezza automatici sono attivi
  • ✅ Per ogni spettatore è stato creato un account separato in Plex/Jellyfin
  • ✅ L'accesso alla sezione di amministrazione è limitato

Conclusione e raccomandazioni

Configurare un proxy per un server multimediale domestico Plex o Jellyfin è un equilibrio tra comodità, sicurezza e velocità. Aprire una porta del router offre la massima velocità, ma crea reali rischi per l'intera rete domestica. Il proxy risolve questo problema, aggiungendo un ritardo minimo, ma garantendo una protezione adeguata.

La scelta migliore per la maggior parte degli utenti domestici è un reverse proxy su un VPS economico tramite Caddy (più semplice) o Nginx (più flessibile) in combinazione con un tunnel SSH o WireGuard/Tailscale. Questo offre un URL stabile, crittografia SSL e pieno controllo su chi e come si connette al tuo server.

Se utilizzi Plex o Jellyfin non solo per condividere contenuti con amici, ma anche per accedere a fonti esterne di metadati, trailer o plugin che bloccano gli IP dei server — per queste richieste sono ottimi i proxy residenziali: imitano il traffico di un normale utente domestico e non suscitano sospetti nei servizi esterni.

Per chi cerca la massima velocità di tunneling del flusso video con ritardi minimi, è consigliabile considerare i proxy dei data center — offrono alta larghezza di banda e uptime stabile, critici per uno streaming ininterrotto in Full HD e 4K.

```