![]()
O artigo da XDA sobre aluguel de VPS para contornar CGNAT chega em um momento em que reverse proxies auto-hospedados se tornaram uma camada de infraestrutura essencial para qualquer casa. A premissa é a mesma se o proxy fica em um NAS, um mini PC antigo ou um VPS de $5: o tráfego entra na porta 443, é classificado por hostname e chega ao serviço interno certo. As duas grandes mudanças desde 2020 são como HTTPS automático ficou fácil — Let’s Encrypt mais o ecossistema Caddy/NGINX/Traefik tornou certificados um não-evento — e o quanto o público cresceu. Casas executando Jellyfin, Vaultwarden, Home Assistant e Immich precisam dessa camada.
Testamos 7 dos melhores apps para reverse proxy auto-hospedado no desktop em 2026, cobrindo Linux, Windows e macOS. O benchmark foi específico: instalar em uma caixa Debian limpa, rotear três serviços através de HTTPS com certificados auto-renováveis e sobreviver a um reinício. Os 7 abaixo todos se qualificaram.
O que procurar em um reverse proxy auto-hospedado
Os critérios que separam a stack que funciona de um ano de problemas YAML:
- HTTPS automático. Um proxy em 2026 obtém certificados do Let’s Encrypt (ou ZeroSSL, ou Buypass) sem um cron manual. O padrão deve ser HTTPS, não uma caixa de seleção.
- HTTP/2 e HTTP/3. Ambos são obrigatórios agora. HTTP/3 em particular ajuda qualquer casa cujo ISP tem desempenho TCP assimétrico.
- Um modelo de configuração que você consegue ler em seis meses. YAML, JSON, Caddyfile, estilo NGINX, escolha a linguagem que você vai lembrar quando a regra que quebrou não for a que você escreveu semana passada.
- Awareness de Docker ou service discovery. Um proxy que observa o daemon Docker, Kubernetes ou Consul e adiciona novos serviços automaticamente é o tipo de automação que uma casa ocupada precisa.
- Uma forma de expor o proxy de trás de CGNAT. Ou um VPS público, um Tailscale Funnel, um Cloudflare Tunnel, ou seu próprio hop Pangolin/WireGuard. O artigo da XDA deixou essa parte bem clara.
Comparação rápida
| App | Melhor para | Estilo de configuração | HTTPS automático | Preço inicial |
|---|---|---|---|---|
| NGINX Proxy Manager | GUI amigável para iniciantes | Web UI sobre NGINX | Sim, integrado | Grátis |
| Caddy | HTTPS automático por padrão | Caddyfile (simples) | Sim, padrão | Grátis |
| Traefik | Roteamento dinâmico nativo de Docker | YAML / labels | Sim, ACME | Grátis, tier Enterprise existe |
| NGINX | Desempenho clássico bruto | nginx.conf | Manual (Certbot, acme.sh) | Grátis, Plus a partir de $2.500/ano |
| HAProxy | Balanceamento de carga + proxy | haproxy.cfg | Manual ou plugins Lua | Grátis, tier Enterprise existe |
| SWAG | NGINX + preset Let’s Encrypt | Configurações NGINX em Docker | Sim, certbot | Grátis |
| Pangolin | Túnel auto-hospedado + proxy | Web UI | Sim | Grátis |
Os 7 melhores apps para um reverse proxy auto-hospedado
1. NGINX Proxy Manager, melhor GUI amigável para iniciantes
NGINX Proxy Manager envolve NGINX em uma web UI que transforma “adicione um domínio, aponte para esse serviço interno, obtenha um certificado Let’s Encrypt” em uma operação de três campos de formulário. Funciona como um único container Docker com backend SQLite ou MySQL. Cada proxy host é uma linha no banco de dados; a UI gera a configuração NGINX nos bastidores. NPM para reverse proxy auto-hospedado em 2026 é a escolha certa para o auto-hoster doméstico que quer HTTPS para Jellyfin e Vaultwarden sem aprender sintaxe NGINX primeiro.
Onde fica aquém: A web UI esconde a configuração NGINX subjacente, o que está bem até você precisar de um recurso que a UI não expõe. Usuários avançados tendem a se formar em NGINX bruto ou Caddy. A instalação padrão não ativa HTTP/3 automaticamente.
Preços:
- Grátis: Todos os recursos, licença MIT
- Pago: Nenhum
- Plataformas: Linux (Docker), Windows (Docker Desktop), macOS (Docker Desktop)
Conclusão: A escolha inicial. Se este é seu primeiro reverse proxy, instale NPM e não volte até algo específico o empurrar.
2. Caddy, melhor para HTTPS automático por padrão
Caddy é o servidor web e reverse proxy moderno com HTTPS automático como o comportamento padrão em vez de um opt-in. Um Caddyfile de três linhas configura um reverse proxy com um certificado Let’s Encrypt, HTTP/2, HTTP/3 e HSTS. O lançamento 2.8 em 2024 aprimorou o handshake TLS sob demanda; a série 2.9 trouxe transporte HTTP/3 refinado. Caddy para reverse proxy auto-hospedado em 2026 é a escolha certa quando a linguagem de configuração importa tanto quanto o runtime.
Onde fica aquém: O ecossistema de plugins Caddy não é tão profundo quanto o NGINX. Alguns roteamentos avançados (geo-IP, reescritas complexas) precisam xcaddy para compilar plugins, o que é um pequeno passo mas um passo.
Preços:
- Grátis: Todos os recursos, Apache-2
- Pago: Nenhum
- Plataformas: Linux, Windows, macOS, FreeBSD
Conclusão: A escolha quando você quer um arquivo de configuração que ainda lerá limpamente em dois anos.
3. Traefik, melhor roteamento dinâmico nativo de Docker
Traefik é o reverse proxy construído para a era dos containers. Aponte Traefik para um daemon Docker, adicione labels aos seus containers de serviço e Traefik os descobre, gera rotas e provisiona certificados Let’s Encrypt automaticamente. O mesmo modelo funciona para Kubernetes (Ingress), Consul e ECS. Traefik vs NGINX para reverse proxy auto-hospedado em 2026: Traefik vence em service discovery automático em casas Docker; NGINX vence em throughput bruto e configurabilidade.
Onde fica aquém: O modelo de configuração requer uma sessão com a documentação. YAML, provedores de arquivo, provedores dinâmicos baseados em labels e a divisão config estática versus dinâmica precisam ser entendidos antes de as coisas clicarem. O dashboard web é somente leitura.
Preços:
- Grátis: Todos os recursos (Traefik Proxy v3)
- Pago: Traefik Enterprise adiciona RBAC e HA, preço sob solicitação
- Plataformas: Linux, Windows, macOS
Conclusão: Escolha isso quando sua stack é principalmente Docker e você quer que o proxy rastreie serviços automaticamente.
4. NGINX, melhor para desempenho clássico bruto
NGINX é o reverse proxy que executou a web pública por duas décadas. A configuração é nginx.conf e uma árvore de diretórios de blocos de servidor. HTTPS automático vem via Certbot ou acme.sh, uma configuração única, então renova silenciosamente. NGINX escala para volumes de tráfego que uma casa nunca verá, e a documentação é a mais completa na categoria. NGINX vs Caddy em 2026: NGINX vence em profundidade de ecossistema, Caddy vence em tempo até primeiro HTTPS.
Onde fica aquém: Configuração de certificado manual. A linguagem nginx.conf é seu próprio dialeto. Erros em um bloco de servidor impedem que NGINX inicie, o que custa alguns minutos na primeira vez que você cometer um.
Preços:
- Grátis: NGINX Open Source
- Pago: NGINX Plus a partir de $2.500/ano (raramente necessário para auto-hospedagem)
- Plataformas: Linux, Windows, macOS, FreeBSD
Conclusão: Escolha isso quando o proxy precisa viver por uma década com a mesma configuração e você não se importa em aprender a sintaxe.
5. HAProxy, melhor balanceamento de carga + proxy
HAProxy é o load balancer de facto para deployments de alto tráfego desde 2002 e serve admiravelmente como um reverse proxy. O lançamento 3.0 LTS em 2024 adicionou uma stack SSL atualizada e melhorou o tratamento de HTTP/3. Scripts Lua e Stick Tables permitem que você construa recursos que outros proxies exigem serviços externos para. HAProxy para reverse proxy auto-hospedado em 2026 é a escolha certa quando a casa está executando múltiplas instâncias do mesmo serviço e o proxy precisa balancear entre elas.
Onde fica aquém: HTTPS automático é manual ou via plugins Lua, não integrado. A sintaxe de configuração é sua própria linguagem. A maioria dos auto-hosters não precisa da profundidade de balanceamento de carga do HAProxy.
Preços:
- Grátis: HAProxy Community Edition
- Pago: HAProxy Enterprise, preço sob solicitação
- Plataformas: Linux, FreeBSD, macOS, Windows (compilações da comunidade)
Conclusão: Escolha isso quando você tem múltiplas instâncias de um serviço que precisam de balanceamento. Caso contrário NGINX ou Caddy é a resposta mais simples.
6. SWAG, melhor NGINX + preset Let’s Encrypt
SWAG (Secure Web Application Gateway) é a imagem Docker pré-construída do LinuxServer.io que agrupa NGINX com Certbot, um sistema de templating e um diretório de amostras de blocos de servidor mantidas pela comunidade para serviços populares auto-hospedados. Execute o container, aponte para seu domínio, copie a amostra certa para a configuração ativa e você tem HTTPS para Jellyfin, Nextcloud, Vaultwarden ou qualquer outra coisa em menos de uma hora. SWAG vs NPM em 2026: SWAG expõe as configurações NGINX brutas, NPM as esconde atrás de uma UI.
Onde fica aquém: Editar configurações NGINX à mão. A comunidade LinuxServer é famosamente prestativa mas a documentação assume alguma familiaridade com Docker. A imagem agrupa muito, DuckDNS, fail2ban, integração com Authelia, que você pode ou não querer.
Preços:
- Grátis: Todos os recursos
- Pago: Nenhum
- Plataformas: Linux (Docker)
Conclusão: Escolha isso quando você quer a flexibilidade do NGINX e um diretório de configurações pré-escritas para serviços populares auto-hospedados.
7. Pangolin, melhor túnel auto-hospedado + reverse proxy
Pangolin é a resposta auto-hospedada mais nova para Cloudflare Tunnel: um reverse proxy que funciona em um VPS de $5, um túnel WireGuard que conecta sua rede doméstica de volta a ele e uma web UI para gerenciar rotas. O lançamento 1.0 de 2025 adicionou SSO com Authelia/Authentik, uma API para usuários de IaC e monitoramento melhorado. Pangolin para reverse proxy auto-hospedado em 2026 é a escolha certa quando a conexão doméstica está atrás de CGNAT e você quer tudo auto-hospedado, incluindo o túnel.
Onde fica aquém: Comunidade menor que as outras seis. A arquitetura (VPS + túnel + proxy doméstico) é mais peças em movimento do que um único container NGINX. Alguns recursos NGINX avançados demoram mais para chegar.
Preços:
- Grátis: Open-source sob AGPL-3
- Pago: Nenhum
- Plataformas: Linux (Docker)
Conclusão: Escolha isso quando CGNAT é o problema real e você não quer depender do Cloudflare para o hop túnel.
Como escolher o certo
- Se este é seu primeiro reverse proxy e você quer uma GUI: NGINX Proxy Manager.
- Se você quer HTTPS automático como padrão e uma configuração que lerá limpamente: Caddy.
- Se sua stack é principalmente Docker e você quer service discovery: Traefik.
- Se você quer NGINX bruto sem abstrações: NGINX.
- Se você tem múltiplas instâncias do mesmo serviço para balancear: HAProxy.
- Se você quer NGINX mais um diretório de configurações pré-escritas para serviços auto-hospedados: SWAG.
- Se CGNAT é o problema real e você quer um túnel auto-hospedado: Pangolin (e um pequeno VPS).
Uma stack funcional de 2026 para uma casa vinculada a CGNAT é Pangolin em um VPS de $5 com Caddy ou NPM atrás, serviços expostos apenas sobre Tailscale, e um túnel Wireguard mantendo a rede doméstica conectada. Nenhum desses é mutuamente exclusivo; os nomes apenas precisam fazer seu papel.
FAQ
Qual é o reverse proxy mais fácil de configurar?
NGINX Proxy Manager. Configuração de três campos de formulário por host, Let’s Encrypt automático e uma web UI. Caddy é uma segunda escolha próxima se você preferir editar um Caddyfile em vez de clicar por um dashboard.
Minha conexão doméstica precisa de um IP público?
Para um reverse proxy diretamente acessível, sim. Se seu ISP fornece um endereço CGNAT (sem IP público), você precisa de um túnel, Cloudflare Tunnel, Tailscale Funnel, ou uma configuração Pangolin auto-hospedada com um pequeno VPS, para expor serviços. O artigo da XDA este mês percorre exatamente este caso.
Como o Caddy lida com renovações SSL automaticamente?
Caddy vem com um cliente ACME. A primeira vez que um hostname é solicitado, Caddy chega ao Let’s Encrypt (ou ZeroSSL ou Buypass), prova propriedade com um desafio HTTP-01 ou TLS-ALPN-01 e armazena o certificado localmente. A renovação acontece 30 dias antes da expiração sem qualquer intervenção.
Posso executar um reverse proxy em um Raspberry Pi?
Sim. Todos os sete desses funcionam confortavelmente em um Pi 4 ou Pi 5. Pangolin, NPM e SWAG são tipicamente implantados como containers Docker e consomem menos de 200 MB de RAM. NGINX e Caddy também podem ser executados nativamente no Pi OS.
Devo usar Cloudflare Tunnel?
Cloudflare Tunnel é excelente e grátis para indivíduos, mas roteia seu tráfego através do Cloudflare. Para casas que preferem não fazer isso, Pangolin ou seu próprio hop Wireguard-para-VPS é o equivalente sem Cloudflare no circuito.
Qual é a diferença entre um reverse proxy e um load balancer?
Um reverse proxy fica em frente a um ou mais serviços backend e encaminha solicitações baseado em hostname ou path. Um load balancer especificamente distribui solicitações entre múltiplas instâncias do mesmo serviço. HAProxy e NGINX podem ser ambos; NPM e Caddy são principalmente reverse proxies com recursos básicos de balanceamento de carga.