Melhores apps para reverse proxy auto-hospedado no desktop em 2026 (7 testados)

O artigo da XDA sobre aluguel de VPS para contornar CGNAT chega em um momento em que reverse proxies auto-hospedados se tornaram uma camada de infraestrutura essencial para qualquer casa. A premissa é a mesma se o proxy fica em um NAS, um mini PC antigo ou um VPS de $5: o tráfego entra na porta 443, é classificado por hostname e chega ao serviço interno certo. As duas grandes mudanças desde 2020 são como HTTPS automático ficou fácil — Let’s Encrypt mais o ecossistema Caddy/NGINX/Traefik tornou certificados um não-evento — e o quanto o público cresceu. Casas executando Jellyfin, Vaultwarden, Home Assistant e Immich precisam dessa camada.

Testamos 7 dos melhores apps para reverse proxy auto-hospedado no desktop em 2026, cobrindo Linux, Windows e macOS. O benchmark foi específico: instalar em uma caixa Debian limpa, rotear três serviços através de HTTPS com certificados auto-renováveis e sobreviver a um reinício. Os 7 abaixo todos se qualificaram.

O que procurar em um reverse proxy auto-hospedado

Os critérios que separam a stack que funciona de um ano de problemas YAML:

Comparação rápida

AppMelhor paraEstilo de configuraçãoHTTPS automáticoPreço inicial
NGINX Proxy ManagerGUI amigável para iniciantesWeb UI sobre NGINXSim, integradoGrátis
CaddyHTTPS automático por padrãoCaddyfile (simples)Sim, padrãoGrátis
TraefikRoteamento dinâmico nativo de DockerYAML / labelsSim, ACMEGrátis, tier Enterprise existe
NGINXDesempenho clássico brutonginx.confManual (Certbot, acme.sh)Grátis, Plus a partir de $2.500/ano
HAProxyBalanceamento de carga + proxyhaproxy.cfgManual ou plugins LuaGrátis, tier Enterprise existe
SWAGNGINX + preset Let’s EncryptConfigurações NGINX em DockerSim, certbotGrátis
PangolinTúnel auto-hospedado + proxyWeb UISimGrátis

Os 7 melhores apps para um reverse proxy auto-hospedado

1. NGINX Proxy Manager, melhor GUI amigável para iniciantes

NGINX Proxy Manager envolve NGINX em uma web UI que transforma “adicione um domínio, aponte para esse serviço interno, obtenha um certificado Let’s Encrypt” em uma operação de três campos de formulário. Funciona como um único container Docker com backend SQLite ou MySQL. Cada proxy host é uma linha no banco de dados; a UI gera a configuração NGINX nos bastidores. NPM para reverse proxy auto-hospedado em 2026 é a escolha certa para o auto-hoster doméstico que quer HTTPS para Jellyfin e Vaultwarden sem aprender sintaxe NGINX primeiro.

Onde fica aquém: A web UI esconde a configuração NGINX subjacente, o que está bem até você precisar de um recurso que a UI não expõe. Usuários avançados tendem a se formar em NGINX bruto ou Caddy. A instalação padrão não ativa HTTP/3 automaticamente.

Preços:

Conclusão: A escolha inicial. Se este é seu primeiro reverse proxy, instale NPM e não volte até algo específico o empurrar.

2. Caddy, melhor para HTTPS automático por padrão

Caddy é o servidor web e reverse proxy moderno com HTTPS automático como o comportamento padrão em vez de um opt-in. Um Caddyfile de três linhas configura um reverse proxy com um certificado Let’s Encrypt, HTTP/2, HTTP/3 e HSTS. O lançamento 2.8 em 2024 aprimorou o handshake TLS sob demanda; a série 2.9 trouxe transporte HTTP/3 refinado. Caddy para reverse proxy auto-hospedado em 2026 é a escolha certa quando a linguagem de configuração importa tanto quanto o runtime.

Onde fica aquém: O ecossistema de plugins Caddy não é tão profundo quanto o NGINX. Alguns roteamentos avançados (geo-IP, reescritas complexas) precisam xcaddy para compilar plugins, o que é um pequeno passo mas um passo.

Preços:

Conclusão: A escolha quando você quer um arquivo de configuração que ainda lerá limpamente em dois anos.

3. Traefik, melhor roteamento dinâmico nativo de Docker

Traefik é o reverse proxy construído para a era dos containers. Aponte Traefik para um daemon Docker, adicione labels aos seus containers de serviço e Traefik os descobre, gera rotas e provisiona certificados Let’s Encrypt automaticamente. O mesmo modelo funciona para Kubernetes (Ingress), Consul e ECS. Traefik vs NGINX para reverse proxy auto-hospedado em 2026: Traefik vence em service discovery automático em casas Docker; NGINX vence em throughput bruto e configurabilidade.

Onde fica aquém: O modelo de configuração requer uma sessão com a documentação. YAML, provedores de arquivo, provedores dinâmicos baseados em labels e a divisão config estática versus dinâmica precisam ser entendidos antes de as coisas clicarem. O dashboard web é somente leitura.

Preços:

Conclusão: Escolha isso quando sua stack é principalmente Docker e você quer que o proxy rastreie serviços automaticamente.

4. NGINX, melhor para desempenho clássico bruto

NGINX é o reverse proxy que executou a web pública por duas décadas. A configuração é nginx.conf e uma árvore de diretórios de blocos de servidor. HTTPS automático vem via Certbot ou acme.sh, uma configuração única, então renova silenciosamente. NGINX escala para volumes de tráfego que uma casa nunca verá, e a documentação é a mais completa na categoria. NGINX vs Caddy em 2026: NGINX vence em profundidade de ecossistema, Caddy vence em tempo até primeiro HTTPS.

Onde fica aquém: Configuração de certificado manual. A linguagem nginx.conf é seu próprio dialeto. Erros em um bloco de servidor impedem que NGINX inicie, o que custa alguns minutos na primeira vez que você cometer um.

Preços:

Conclusão: Escolha isso quando o proxy precisa viver por uma década com a mesma configuração e você não se importa em aprender a sintaxe.

5. HAProxy, melhor balanceamento de carga + proxy

HAProxy é o load balancer de facto para deployments de alto tráfego desde 2002 e serve admiravelmente como um reverse proxy. O lançamento 3.0 LTS em 2024 adicionou uma stack SSL atualizada e melhorou o tratamento de HTTP/3. Scripts Lua e Stick Tables permitem que você construa recursos que outros proxies exigem serviços externos para. HAProxy para reverse proxy auto-hospedado em 2026 é a escolha certa quando a casa está executando múltiplas instâncias do mesmo serviço e o proxy precisa balancear entre elas.

Onde fica aquém: HTTPS automático é manual ou via plugins Lua, não integrado. A sintaxe de configuração é sua própria linguagem. A maioria dos auto-hosters não precisa da profundidade de balanceamento de carga do HAProxy.

Preços:

Conclusão: Escolha isso quando você tem múltiplas instâncias de um serviço que precisam de balanceamento. Caso contrário NGINX ou Caddy é a resposta mais simples.

6. SWAG, melhor NGINX + preset Let’s Encrypt

SWAG (Secure Web Application Gateway) é a imagem Docker pré-construída do LinuxServer.io que agrupa NGINX com Certbot, um sistema de templating e um diretório de amostras de blocos de servidor mantidas pela comunidade para serviços populares auto-hospedados. Execute o container, aponte para seu domínio, copie a amostra certa para a configuração ativa e você tem HTTPS para Jellyfin, Nextcloud, Vaultwarden ou qualquer outra coisa em menos de uma hora. SWAG vs NPM em 2026: SWAG expõe as configurações NGINX brutas, NPM as esconde atrás de uma UI.

Onde fica aquém: Editar configurações NGINX à mão. A comunidade LinuxServer é famosamente prestativa mas a documentação assume alguma familiaridade com Docker. A imagem agrupa muito, DuckDNS, fail2ban, integração com Authelia, que você pode ou não querer.

Preços:

Conclusão: Escolha isso quando você quer a flexibilidade do NGINX e um diretório de configurações pré-escritas para serviços populares auto-hospedados.

7. Pangolin, melhor túnel auto-hospedado + reverse proxy

Pangolin é a resposta auto-hospedada mais nova para Cloudflare Tunnel: um reverse proxy que funciona em um VPS de $5, um túnel WireGuard que conecta sua rede doméstica de volta a ele e uma web UI para gerenciar rotas. O lançamento 1.0 de 2025 adicionou SSO com Authelia/Authentik, uma API para usuários de IaC e monitoramento melhorado. Pangolin para reverse proxy auto-hospedado em 2026 é a escolha certa quando a conexão doméstica está atrás de CGNAT e você quer tudo auto-hospedado, incluindo o túnel.

Onde fica aquém: Comunidade menor que as outras seis. A arquitetura (VPS + túnel + proxy doméstico) é mais peças em movimento do que um único container NGINX. Alguns recursos NGINX avançados demoram mais para chegar.

Preços:

Conclusão: Escolha isso quando CGNAT é o problema real e você não quer depender do Cloudflare para o hop túnel.

Como escolher o certo

Uma stack funcional de 2026 para uma casa vinculada a CGNAT é Pangolin em um VPS de $5 com Caddy ou NPM atrás, serviços expostos apenas sobre Tailscale, e um túnel Wireguard mantendo a rede doméstica conectada. Nenhum desses é mutuamente exclusivo; os nomes apenas precisam fazer seu papel.

FAQ

Qual é o reverse proxy mais fácil de configurar?

NGINX Proxy Manager. Configuração de três campos de formulário por host, Let’s Encrypt automático e uma web UI. Caddy é uma segunda escolha próxima se você preferir editar um Caddyfile em vez de clicar por um dashboard.

Minha conexão doméstica precisa de um IP público?

Para um reverse proxy diretamente acessível, sim. Se seu ISP fornece um endereço CGNAT (sem IP público), você precisa de um túnel, Cloudflare Tunnel, Tailscale Funnel, ou uma configuração Pangolin auto-hospedada com um pequeno VPS, para expor serviços. O artigo da XDA este mês percorre exatamente este caso.

Como o Caddy lida com renovações SSL automaticamente?

Caddy vem com um cliente ACME. A primeira vez que um hostname é solicitado, Caddy chega ao Let’s Encrypt (ou ZeroSSL ou Buypass), prova propriedade com um desafio HTTP-01 ou TLS-ALPN-01 e armazena o certificado localmente. A renovação acontece 30 dias antes da expiração sem qualquer intervenção.

Posso executar um reverse proxy em um Raspberry Pi?

Sim. Todos os sete desses funcionam confortavelmente em um Pi 4 ou Pi 5. Pangolin, NPM e SWAG são tipicamente implantados como containers Docker e consomem menos de 200 MB de RAM. NGINX e Caddy também podem ser executados nativamente no Pi OS.

Devo usar Cloudflare Tunnel?

Cloudflare Tunnel é excelente e grátis para indivíduos, mas roteia seu tráfego através do Cloudflare. Para casas que preferem não fazer isso, Pangolin ou seu próprio hop Wireguard-para-VPS é o equivalente sem Cloudflare no circuito.

Qual é a diferença entre um reverse proxy e um load balancer?

Um reverse proxy fica em frente a um ou mais serviços backend e encaminha solicitações baseado em hostname ou path. Um load balancer especificamente distribui solicitações entre múltiplas instâncias do mesmo serviço. HAProxy e NGINX podem ser ambos; NPM e Caddy são principalmente reverse proxies com recursos básicos de balanceamento de carga.