Doorgaan naar hoofdinhoud

Reverse Proxy

Onofficiële Beta-vertaling

Deze pagina is vertaald door PageTurner AI (beta). Niet officieel goedgekeurd door het project. Een fout gevonden? Probleem melden →

Een proxyserver is bedoeld om uitgaand verkeer op te vangen en door te sturen. Een reverse proxy doet hetzelfde, maar voor binnenkomend netwerkverkeer. Het kan dienen als toegangspunt voor verschillende diensten en stuurt het verkeer intern door naar jouw service.

Dit maakt regelspecifieke routing mogelijk, zoals subdomeinrouting, IP-geoblocking, snelheidslimieten of URL-doorsturing. Ook is het mogelijk om DNS- en SSL-beheer te centraliseren op de reverse proxy, wat alle routeringsconfiguratie stroomlijnt.

Bovendien bieden reverse proxys uitgebreide toegangslogboeken, zodat altijd duidelijk is wie, wanneer en waar een netwerkverzoek vandaan kwam en naartoe ging.

Jellyfin Achter een Reverse Proxy Uitvoeren

Belangrijke aandachtspunten bij het gebruik van Jellyfin achter een reverse proxy.

Logregistratie

Wees voorzichtig met het loggen van verzoeken via je reverse proxy. Jellyfin stuurt soms authenticatiegegevens mee in de URL (bijv. api_key-parameter), dus het loggen van het volledige aanvraagpad kan geheimen blootstellen in je logbestand. Wij raden aan om je logbestanden te beschermen, geen volledige aanvraag-URL's te loggen of gevoelige gegevens uit het logbestand te censureren. Onze proxy-handleidingen bevatten voorbeelden over het censureren van gevoelige informatie in een logbestand.

Forwarded-For Headers

Wanneer verkeer via een reverse proxy wordt doorgestuurd, ziet Jellyfin het IP-adres van de proxy in plaats van dat van de client. Dit brengt potentiële beveiligingsrisico's met zich mee en kan compatibiliteit verstoren, omdat Jellyfin geen onderscheid kan maken tussen lokale en externe verbindingen. Daarom zullen alle beperkingen voor externe toegang niet werken als dit verkeerd is ingesteld.

Daarom moet het IP-adres (of adressen) van je reverse proxy worden geconfigureerd onder "Bekende Proxys" in de Netwerkinstellingen van Jellyfin. Hierdoor kan Jellyfin de X-Forwarded-For, X-Forwarded-Proto en X-Forwarded-Host headers respecteren en het bijbehorende waarde als bron-IP-adres gebruiken. Standaard zal Jellyfin alle forwarded-for headers negeren die niet afkomstig zijn van een "Bekende Proxy". Dit voorkomt dat kwaadaardige apparaten hun IP-adres kunnen verbergen door een forwarded-for header op te geven.

Dit veronderstelt dat de reverse proxy is ingesteld om deze header mee te sturen, wat niet standaard altijd het geval is. Als problemen met bron-IP-doorsturing optreden, moet dit worden gecontroleerd.

Websockets

Jellyfin maakt gebruik van Websockets voor verschillende functionaliteiten. Niet alle reverse proxys staan dit standaard toe. Zorg ervoor dat Websockets zijn toegestaan voor je Jellyfin-server.

Handleidingen

Wij raden Caddy aan vanwege de gebruiksvriendelijkheid, vooral met https. We bieden een handleiding voor het configureren van Caddy met Jellyfin.

Als je Caddy niet wilt gebruiken, zijn andere populaire opties voor reverse proxysystemen Nginx, Traefik, Haproxy en Apache. Deze hebben een steilere leercurve dan de aanbevolen reverse proxy Caddy. Je kunt de bijbehorende handleidingen hier vinden:

Hoewel geen reverse proxy, kan Let's Encrypt onafhankelijk of met een reverse proxy worden gebruikt om SSL-certificaten te leveren.

Let bij het volgen van deze handleidingen op dat je de volgende variabelen vervangt door je eigen gegevens.

  • DOMAIN_NAME: Je publieke domeinnaam voor toegang tot Jellyfin (bijv. jellyfin.voorbeeld.nl)

  • example.com: De domeinnaam waaronder Jellyfin-diensten worden uitgevoerd (bijv. voorbeeld.nl)

  • SERVER_IP_ADDRESS: Het IP-adres van je Jellyfin-server (gebruik 127.0.0.1 als de reverse proxy op dezelfde server draait)

Daarnaast zijn de voorbeelden geconfigureerd voor Let's Encrypt-certificaten. Heb je een certificaat van een andere bron, wijzig dan de SSL-configuratie van /etc/letsencrypt/DOMAIN_NAME/ naar de locatie van je eigen certificaat en sleutel.

Poorten 80 (TCP) en 443 (TCP) moeten geopend zijn op je router en firewall (gericht naar de proxyserver). Voor HTTP/3-ondersteuning (QUIC) moet je ook UDP-poort 443 openstellen of doorsturen.