feat: home-gateway 초기 구성 — Mac mini에서 GPU 서버로 전면 이전

OrbStack 라이선스 만료로 Mac mini Docker 서비스를 GPU 서버로 통합. nginx → Caddy 전환, 12개 서브도메인 자동 HTTPS, fail2ban Caddy JSON 연동. 주요 변경: - home-caddy: Caddy 리버스 프록시 (Let's Encrypt 자동 HTTPS) - home-fail2ban: Caddy JSON 로그 기반 보안 모니터링 - home-ddns: Cloudflare DDNS (API 키 .env 분리) - gpu-hub-api/web: AI 백엔드 라우터 + 웹 UI (gpu-services에서 이전) - AI 런타임(Ollama) 내부망 전용, 외부는 gpu-hub 인증 게이트웨이 경유 Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-04-05 04:55:28 +00:00
commit 79c09cede4
52 changed files with 6847 additions and 0 deletions
--- a/fail2ban/filter.d/caddy-auth.conf
+++ b/fail2ban/filter.d/caddy-auth.conf
@@ -0,0 +1,4 @@
+[Definition]
+failregex = ^.*"client_ip":"<HOST>".*"status":\s*401.*$
+ignoreregex =
+datepattern = "ts":{EPOCH}
--- a/fail2ban/filter.d/caddy-botsearch.conf
+++ b/fail2ban/filter.d/caddy-botsearch.conf
@@ -0,0 +1,4 @@
+[Definition]
+failregex = ^.*"client_ip":"<HOST>".*"status":\s*(403|404|444).*$
+ignoreregex =
+datepattern = "ts":{EPOCH}
--- a/fail2ban/jail.local
+++ b/fail2ban/jail.local
@@ -0,0 +1,27 @@
+[DEFAULT]
+bantime = 3600
+findtime = 600
+maxretry = 5
+backend = auto
+enabled = false
+
+[sshd]
+enabled = false
+
+# Caddy 봇/스캐너 차단 (404/403 반복)
+[caddy-botsearch]
+enabled = true
+port = 80,443
+filter = caddy-botsearch
+logpath = /var/log/caddy/access.log
+maxretry = 2
+bantime = 86400
+
+# Caddy 인증 실패 차단 (401 반복)
+[caddy-auth]
+enabled = true
+port = 80,443
+filter = caddy-auth
+logpath = /var/log/caddy/access.log
+maxretry = 3
+bantime = 1800