프록시를 이용한 Plex 및 Jellyfin 홈 서버: 친구들과 안전하게 미디어 콘텐츠 공유하는 방법

Plex 또는 Jellyfin으로 홈 미디어 서버를 구축하고 영화, 시리즈 및 음악으로 채운 후 친구나 가족에게 접근을 제공하고 싶습니다. 그러나 라우터의 포트를 여는 것은 두렵습니다: 이는 귀하의 홈 네트워크에 직접적인 구멍을 만드는 것입니다. 프록시 서버는 이 문제를 우아하게 해결합니다: 서버와 시청자 사이의 중개자 역할을 하여 실제 IP를 숨기고 위험한 라우터 설정을 요구하지 않습니다.

왜 단순히 포트를 열 수 없는가: 홈 서버의 위험

친구에게 Plex 또는 Jellyfin에 접근할 수 있도록 하는 가장 명백한 방법은 라우터에서 포트를 포워딩하는 것입니다. 예를 들어, 포트 32400(Plex) 또는 8096(Jellyfin)을 열고 친구에게 http://귀하의-IP:32400와 같은 링크를 보내는 것입니다. 기술적으로는 작동합니다. 그러나 보안 측면에서는 재앙입니다.

홈 라우터의 포트를 인터넷에 열면 다음과 같은 일이 발생합니다:

• 귀하의 홈 IP가 공개됩니다. 서버의 주소를 아는 누구나 귀하의 실제 홈 IP를 알 수 있습니다. 이는 지리적 위치, 제공업체, 귀하의 주소를 지역 단위로 정확하게 알 수 있게 합니다.
• 봇 스캐너가 몇 시간 내에 귀하를 찾습니다. Shodan, Censys 및 수천 개의 자동 스캐너가 지속적으로 인터넷을 탐색합니다. 열린 Plex 또는 Jellyfin 포트는 발견되어 열리자마자 해킹 시도가 시작됩니다.
• 소프트웨어의 취약점 = 네트워크 해킹. Plex와 Jellyfin은 취약점 이력이 있는 복잡한 소프트웨어입니다. 귀하의 버전에 닫히지 않은 구멍이 있다면, 공격자는 이를 통해 미디어 서버뿐만 아니라 귀하의 전체 홈 네트워크(노트북, NAS, 스마트 장치)에도 접근할 수 있습니다.
• DDoS 및 남용 신고. 귀하의 홈 제공업체는 DDoS 공격으로부터 귀하를 보호할 의무가 없습니다. 대규모 공격이 발생하면 귀하를 단순히 차단할 것입니다.
• 동적 IP. 대부분의 홈 사용자는 IP가 변경됩니다. 매번 친구에게 새로운 주소를 알려주거나 DDNS 서비스를 설정해야 합니다.

결론은 명백합니다: 열린 포트는 외부인이 연결하는 홈 미디어 서버에 대한 해결책이 아닙니다. 요청을 수신하고 귀하의 서버로 전달하는 중개자가 필요하며, 귀하의 실제 IP를 드러내지 않고 홈 네트워크에 구멍을 만들지 않아야 합니다.

프록시가 미디어를 공유하는 데 어떻게 도움이 되는가: 작동 원리

홈 미디어 서버의 맥락에서 프록시는 중개 지점으로 작동합니다. 친구들은 귀하의 홈 IP에 직접 연결하는 것이 아니라 프록시 서버의 IP에 연결합니다. 프록시는 요청을 수신하고 귀하의 서버로 전달하며, 응답(비디오 스트림, 메타데이터, 커버)을 받아 다시 시청자에게 보냅니다.

작동 원리는 다음과 같습니다:

이것이 실제로 어떤 이점을 제공하는지:

• 귀하의 홈 IP가 숨겨집니다. 시청자는 프록시 서버의 IP만 볼 수 있습니다. 친구가 링크를 다른 사람과 공유하더라도 — 그들은 귀하의 홈 네트워크에 직접적으로 공격할 수 없습니다.
• 라우터의 포트를 열 필요가 없습니다. 귀하의 서버는 프록시(또는 터널)와의 아웃바운드 연결을 스스로 시작합니다. 인터넷에서 귀하의 네트워크로의 인바운드 연결은 없습니다.
• 단일 안정적인 주소. 프록시 서버는 고정된 IP를 가집니다. 귀하의 홈 IP가 변경되더라도 — 시청자는 이를 알지 못합니다.
• SSL 암호화. 프록시는 HTTPS를 종료할 수 있어 시청자와 프록시 간의 트래픽 암호화를 보장합니다.
• 접근 제어. 프록시 수준에서 서버에 연결할 수 있는 사람을 제한할 수 있습니다.

프록시를 사용하여 미디어 서버를 활용하는 두 가지 시나리오의 차이를 이해하는 것이 중요합니다. 첫 번째 시나리오는 프록시 서버(또는 VPS)를 임대하고 그 위에 리버스 프록시(nginx, Caddy 또는 Traefik)를 설정하는 것입니다. 이 서버는 시청자의 요청을 수신하고 귀하의 홈 서버로 프록시합니다. 두 번째 시나리오는 상업적인 프록시 서비스를 터널 또는 중개 노드로 사용하여 귀하의 서버에서 나가는 요청을 익명화하는 것입니다.

이 기사에서는 두 가지 접근 방식을 모두 살펴보겠지만, 주요 초점은 친구들이 기술적인 복잡함 없이 귀하의 서버에서 콘텐츠를 시청할 수 있도록 하는 실용적인 설정에 있습니다.

Plex 및 Jellyfin에 적합한 프록시 유형

모든 프록시 유형이 비디오 스트리밍에 똑같이 적합한 것은 아닙니다. 홈 미디어 서버의 특성을 고려한 비교 표는 다음과 같습니다:

유형에 대한 결론: 지속적인 미디어 콘텐츠 스트리밍을 위해 최적의 선택은 임대된 VPS에서의 리버스 프록시 또는 높은 대역폭을 가진 데이터 센터 프록시입니다. 주거용 프록시는 다른 시나리오에서 유용합니다: Plex 또는 Jellyfin이 메타데이터 외부 소스 또는 서버 IP를 차단하는 플러그인에 접근할 때입니다.

Plex 미디어 서버를 위한 프록시 설정: 단계별

가장 실용적인 시나리오를 살펴보겠습니다: 귀하에게 Plex가 설치된 홈 서버가 있으며, VPS에서 리버스 프록시를 통해 친구에게 접근을 제공하고 싶습니다. 이는 안정적인 URL, SSL 인증서 및 귀하의 홈 IP를 숨깁니다.

필요한 것:

• Plex 미디어 서버가 설치된 홈 PC 또는 NAS
• VPS (어떤 것이든, 가장 저렴한 것 - 1 vCPU, 1 GB RAM이면 프록싱에 충분함)
• 도메인 (무료 도메인 가능: DuckDNS, FreeDNS)
• 약 30-60분의 시간

1단계. 홈 서버에서 Plex 설정하기

홈 서버에서 Plex 웹을 엽니다. 설정 → 원격 접근으로 이동합니다. "원격 접근 허용" 옵션이 활성화되어 있는지 확인합니다. 포트를 기억하세요 — 기본값은 32400입니다. 지금은 이 포트를 라우터에서 열지 마세요 — 우리는 모든 것을 프록시를 통해 처리할 것입니다.

2단계. VPS에 Nginx 설치하기

SSH를 통해 VPS에 연결합니다. Nginx와 SSL을 위한 Certbot을 설치합니다:

sudo apt update
sudo apt install nginx certbot python3-certbot-nginx -y

3단계. VPS에서 홈 서버로의 터널 설정하기

이것은 핵심 사항입니다. VPS가 귀하의 홈 Plex에 접근할 수 있어야 합니다. 두 가지 방법이 있습니다:

방법 A (더 간단함): 홈 서버에서 VPS로 SSH 터널링. 귀하의 홈 서버에서 다음 명령을 실행하여 지속적인 터널을 생성합니다 — 홈 Plex의 포트 32400을 VPS의 포트 32400으로 포워딩합니다:

ssh -N -R 32400:localhost:32400 user@귀하의_VPS_IP

터널이 지속적으로 작동하도록 하려면 systemd에 추가하거나 autossh를 사용하여 연결이 끊어질 때 자동으로 재연결되도록 합니다.

방법 B (더 신뢰할 수 있음): 홈 서버와 VPS 간의 Tailscale 또는 WireGuard VPN. 이는 포트를 열 필요 없이 지속적인 암호화된 터널을 생성합니다. 자세한 내용은 대안 섹션을 참조하십시오.

4단계. Nginx를 리버스 프록시로 설정하기

귀하의 도메인에 대한 구성을 생성합니다. /etc/nginx/sites-available/plex 파일을 생성합니다:

server {
    listen 80;
    server_name plex.귀하의-도메인.com;

    location / {
        proxy_pass http://localhost:32400;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # 비디오 스트리밍에 중요:
        proxy_buffering off;
        proxy_read_timeout 36000s;
        proxy_send_timeout 36000s;
        client_max_body_size 0;
    }
}

5단계. SSL 인증서 받기

sudo certbot --nginx -d plex.귀하의-도메인.com

Certbot은 Nginx 구성을 자동으로 업데이트하고 HTTPS를 추가합니다. 이후 친구들은 https://plex.귀하의-도메인.com에 접속하여 SSL 암호화가 적용된 Plex를 볼 수 있습니다.

6단계. Plex 설정에서 프록시 URL 지정하기

Plex 미디어 서버에서 설정 → 네트워크로 이동합니다. "사용자 정의 서버 URL" 필드에 귀하의 도메인을 입력합니다: https://plex.귀하의-도메인.com:443. 이는 Plex에 클라이언트가 이 주소를 통해 연결해야 하며, 직접 경로를 찾지 않도록 지시합니다.

Jellyfin을 위한 프록시 설정: 단계별

Jellyfin은 Plex의 완전 무료 및 오픈 소스 대안입니다. Jellyfin을 위한 리버스 프록시 설정은 약간 다르지만 논리는 동일합니다. Jellyfin은 기본적으로 8096(HTTP) 및 8920(HTTPS) 포트에서 작동합니다.

1단계. 프록시 뒤에서 Jellyfin 설정하기

Jellyfin 관리 패널을 엽니다. 관리 패널 → 네트워크로 이동합니다. "기본 URL" 필드를 찾아 비워 둡니다(만약 Jellyfin이 루트 경로에 있을 경우). "원격 연결 허용" 옵션이 활성화되어 있는지 확인합니다.

2단계. Jellyfin을 위한 Nginx 구성

Jellyfin을 위한 Nginx 구성은 WebSocket을 사용하여 동기화하므로 약간 더 복잡합니다:

server {
    listen 80;
    server_name jellyfin.귀하의-도메인.com;

    location / {
        proxy_pass http://localhost:8096;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # WebSocket 지원 (Jellyfin에 중요!)
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        # 버퍼링 없이 스트리밍
        proxy_buffering off;
        proxy_read_timeout 36000s;
    }
}

대안: Nginx 대신 Caddy 사용하기

Nginx를 다루고 싶지 않다면 Caddy를 시도해 보세요 — 자동으로 SSL 인증서를 받고 구성 구문이 더 간단합니다. Jellyfin에 대한 Caddy 구성은 다음과 같습니다:

jellyfin.귀하의-도메인.com {
    reverse_proxy localhost:8096
}

네, 이것은 문자 그대로 두 줄입니다. Caddy는 HTTPS를 자동으로 설정하고 Let's Encrypt 인증서를 받아 자동으로 갱신합니다. 대부분의 홈 사용자에게 Caddy는 더 편리한 선택입니다.

3단계. 터널 설정하기 (Plex와 유사하게)

Plex 섹션에 설명된 것과 동일한 SSH 터널 또는 VPN 접근 방식을 사용하되, 포트 8096을 사용합니다:

ssh -N -R 8096:localhost:8096 user@귀하의_VPS_IP

대안: Tailscale, Cloudflare Tunnel 및 프록시 - 비교

VPS를 통한 전통적인 리버스 프록시 외에도 더 현대적인 솔루션이 있습니다. 이들의 장단점을 살펴보겠습니다:

Tailscale (및 Headscale)

Tailscale은 귀하의 장치 간에 개인 네트워크를 생성하는 WireGuard 기반 VPN입니다. 귀하의 홈 서버와 친구의 장치에 Tailscale을 설치하면, 친구들은 가상 네트워크를 통해 서버에 직접 암호화된 접근을 얻습니다.

• 장점: 설정이 매우 간단하고, 최대 보안, 프록시로 인한 지연 없음, 3명까지 무료
• 단점: 친구들이 Tailscale 클라이언트를 설치해야 하며, Tailscale Inc.의 서버에 의존하고, 많은 수의 시청자를 확장하기가 더 어렵습니다.
• 선택할 때: 기술적으로 숙련된 친구가 2-5명 있고, 앱 설치에 동의하는 경우

Cloudflare Tunnel (이전 Argo Tunnel)

Cloudflare Tunnel은 포트를 열지 않고 Cloudflare 인프라를 통해 귀하의 홈 서버를 인터넷에 게시할 수 있게 해줍니다. 귀하의 홈 서버에 cloudflared를 설치하면, 이는 Cloudflare로의 아웃바운드 터널을 생성하고 귀하의 서버는 Cloudflare CDN을 통해 귀하의 도메인에서 접근 가능해집니다.

• 장점: 무료, VPS 필요 없음, Cloudflare의 DDoS 보호, SSL 자동
• 단점: Cloudflare는 무료 요금제를 비디오 스트리밍에 사용하는 것을 금지합니다. 대량의 트래픽에는 유료 요금제가 필요합니다. 또한 Cloudflare는 귀하의 모든 트래픽을 볼 수 있습니다.
• 선택할 때: Jellyfin/Plex에 대한 테스트 또는 드물게 접근할 때

솔루션 비교 표

프록시를 통한 스트리밍 속도 및 품질: 무엇이 영향을 미치는가

미디어 서버에 프록시를 사용할 때 가장 중요한 질문은 비디오 품질이 떨어질 것인가입니다. 프록시를 통한 스트리밍 속도에 실제로 영향을 미치는 요소를 살펴보겠습니다.

홈 인터넷의 대역폭

이것이 가장 중요한 제한 사항입니다. 모든 비디오 스트림은 귀하의 홈 인터넷 채널(업로드)을 통해 전송됩니다. 일반적인 업로드 속도 요구 사항은 다음과 같습니다:

• SD 품질 (480p): ~2-4 Mbps per viewer
• HD 품질 (720p): ~5-8 Mbps per viewer
• Full HD (1080p): ~8-15 Mbps per viewer
• 4K HDR: ~25-40 Mbps per viewer

만약 귀하의 홈 요금제가 50 Mbps의 업로드 속도를 제공한다면, 동시에 3-4명의 시청자에게 1080p를 제공할 수 있습니다. 프록시는 여기에 추가적인 제한을 두지 않으며, 단지 트래픽을 리디렉션합니다.

트랜스코딩 vs 직접 스트리밍

Plex와 Jellyfin은 비디오를 실시간으로 트랜스코딩할 수 있습니다 — 클라이언트 장치의 기능에 맞게 형식을 변환합니다. 트랜스코딩은 홈 서버의 CPU에 부담을 주지만 프록시와는 관련이 없습니다. 클라이언트 장치가 직접 재생(Direct Play)을 지원하면 부하가 최소화됩니다.

권장 사항: Plex/Jellyfin 클라이언트 애플리케이션을 최대 품질 및 직접 재생으로 설정하십시오 — 이는 서버의 부하를 줄이고 트랜스코딩 지연을 없애줍니다.

프록시의 지연(latency)

프록시는 경로에 추가적인 "점프"를 추가합니다. 비디오 스트리밍의 경우 20-50 ms의 지연은 거의 눈에 띄지 않으며 — 비디오 플레이어의 버퍼링이 이를 보완합니다. 시청자와 가까운 지역에 VPS를 선택하는 것이 중요합니다: 친구가 모스크바에 있다면 — 모스크바 또는 유럽의 VPS를 선택하고, 미국은 피하십시오.

최적화에 대한 실용적인 팁

• Nginx에서 버퍼링을 끄십시오 (proxy_buffering off) — 이는 비디오 스트리밍에 매우 중요합니다.
• 타임아웃을 늘리십시오 (proxy_read_timeout 36000s) — 그렇지 않으면 긴 영화가 중단될 수 있습니다.
• Nginx에서 HTTP/2를 활성화하십시오 — 여러 개의 병렬 요청 시 오버헤드를 줄입니다.
• 텍스트 응답(메타데이터, API)에 대해서만 gzip을 사용하고, 비디오 스트림에는 사용하지 마십시오.
• 프록시 수준에서 커버 및 메타데이터 캐싱을 설정하십시오 — 이는 홈 서버의 부하를 줄입니다.

보안: 서버 및 사용자 데이터 보호 방법

프록시를 설정하면 열린 포트에 비해 보안이 크게 향상됩니다. 그러나 구현해야 할 몇 가지 중요한 조치가 더 있습니다.

프록시 수준의 인증

Nginx 수준에서 기본 HTTP 인증을 추가하여 추가 장벽을 만듭니다. 누군가 귀하의 URL을 찾더라도 — 로그인과 비밀번호 없이는 Plex/Jellyfin 인터페이스를 볼 수 없습니다. 비밀번호 파일을 생성합니다:

sudo htpasswd -c /etc/nginx/.htpasswd 사용자_이름

그러나 기본 인증이 Plex/Jellyfin API와 충돌할 수 있다는 점에 유의하십시오. 이러한 서비스의 내장 인증에 완전히 의존하는 것이 좋습니다 — 이는 충분히 신뢰할 수 있습니다.

IP 제한

친구의 IP가 정적이거나 IP가 변경될 때마다 알려줄 준비가 되어 있다면 — Nginx에 화이트리스트를 추가하십시오:

location / {
    allow 1.2.3.4;   # 친구 1의 IP
    allow 5.6.7.8;   # 친구 2의 IP
    deny all;
    proxy_pass http://localhost:32400;
}

Fail2ban을 통한 브루트포스 공격 방지

VPS에 Fail2ban을 설치하십시오 — 이는 너무 많은 로그인 실패 시도를 하는 IP 주소를 자동으로 차단합니다. 이는 Nginx와 VPS의 SSH를 모두 보호합니다:

sudo apt install fail2ban -y
sudo systemctl enable fail2ban

정기적인 업데이트

Plex/Jellyfin, Nginx 및 VPS 운영 체제를 정기적으로 업데이트하십시오. 대부분의 미디어 서버 해킹은 구식 소프트웨어의 알려진 취약점을 통해 발생합니다. VPS에서 보안 자동 업데이트를 설정하십시오:

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades

모니터링 및 로그

Nginx 로그를 모니터링하여 의심스러운 활동을 추적합니다. 실시간으로 최근 요청을 보는 명령:

sudo tail -f /var/log/nginx/access.log

비정상적인 User-Agent로 요청하거나 /admin, /wp-admin 및 기타 표준 경로에 대한 대량 요청에 주의하십시오 — 이는 자동 스캐닝의 징후입니다.

홈 미디어 서버의 보안 체크리스트

결론 및 권장 사항

Plex 또는 Jellyfin 홈 미디어 서버를 위한 프록시 설정은 편의성, 보안 및 속도 간의 균형입니다. 열린 라우터 포트는 최대 속도를 제공하지만, 전체 홈 네트워크에 대한 실제 위험을 초래합니다. 프록시는 이 문제를 해결하며, 최소한의 지연을 추가하면서도 정상적인 보호를 제공합니다.

대부분의 홈 사용자에게 최상의 선택은 저렴한 VPS에서 Caddy(더 간단함) 또는 Nginx(더 유연함)를 통해 리버스 프록시를 사용하는 것입니다. 이는 안정적인 URL, SSL 암호화 및 누가 귀하의 서버에 어떻게 연결되는지를 완전히 제어할 수 있게 해줍니다.

친구에게 콘텐츠를 공유하는 것뿐만 아니라 외부 메타데이터 소스, 예고편 또는 서버 IP를 차단하는 플러그인에 접근하기 위해 Plex 또는 Jellyfin을 사용하는 경우 — 이러한 요청에는 주거용 프록시가 적합합니다: 이는 일반 홈 사용자의 트래픽을 모방하며 외부 서비스에서 의심을 일으키지 않습니다.

비디오 스트리밍의 최대 속도와 최소 지연을 원하시는 분들은 데이터 센터 프록시를 고려해 보십시오 — 이는 높은 대역폭과 안정적인 가동 시간을 제공하여 Full HD 및 4K의 원활한 스트리밍에 필수적입니다.