Caddy Proxy Manager lleva Caddy Server a una interfaz visual para gestionar el edge

Caddy se ha ganado un hueco entre administradores y equipos técnicos por una idea muy concreta: simplificar la publicación segura de servicios web sin renunciar a una configuración potente. Su soporte automático de HTTPS y su enfoque limpio frente a configuraciones más tradicionales lo han convertido en una opción habitual para exponer aplicaciones, APIs y servicios internos. Pero gestionar el edge moderno ya no va solo de levantar un reverse proxy.

Ahí entra Caddy Proxy Manager, una interfaz web open source pensada para administrar Caddy Server desde un panel visual. El proyecto combina proxy inverso, HTTPS automático, WAF, autenticación, control de acceso, bloqueo geográfico, analítica de tráfico, API REST y auditoría de cambios. Todo ello se despliega mediante Docker y está construido con Next.js y shadcn/ui, con licencia MIT.

La propuesta es clara: llevar muchas de las tareas habituales de gestión de edge, seguridad y publicación de aplicaciones a una interfaz única, sin obligar al administrador a tocar ficheros de configuración para cada cambio. No sustituye la necesidad de entender Caddy ni las decisiones de arquitectura, pero puede ahorrar tiempo en entornos donde se gestionan muchos hosts, certificados, reglas y políticas de acceso.

Un panel para reverse proxy, certificados y control de acceso

La función más reconocible de Caddy Proxy Manager es la gestión de reverse proxy. Desde la interfaz permite crear y administrar hosts, configurar múltiples upstreams, aplicar balanceo de carga, activar health checks, añadir cabeceras personalizadas, definir reglas por ubicación, redirecciones, reescrituras y fijación DNS de upstreams.

Esto lo acerca a herramientas conocidas para gestionar proxies de forma visual, pero con un enfoque más amplio. El proyecto no se limita al HTTP clásico. También incorpora proxy L4 para tráfico TCP y UDP, con soporte para matching por TLS SNI, proxy protocol, health checks y bloqueo geográfico en la capa de transporte. Para equipos que publican no solo aplicaciones web, sino también servicios de red más variados, esta capa puede marcar diferencias.

La parte TLS también tiene un peso central. Caddy ya destaca por su gestión automática de certificados, y Caddy Proxy Manager añade visibilidad desde una página dedicada: emisor, caducidad, estado, certificados importados y uso de una CA integrada para emitir certificados internos de cliente. Además, soporta HTTPS automático mediante ACME con Let’s Encrypt y Cloudflare DNS-01, junto con mTLS y reglas de acceso por rutas basadas en roles.

ÁreaFunciones destacadas
Reverse proxyUpstreams, balanceo, health checks, cabeceras, redirects y rewrites
L4 TCP/UDPProxy de transporte, TLS SNI, proxy protocol y geo blocking
TLSACME, Let’s Encrypt, Cloudflare DNS-01, certificados importados y CA interna
mTLSCertificados cliente y control de acceso por rutas
AccesoBasic auth, forward auth, OAuth/OIDC y roles
SeguridadWAF con Coraza y OWASP Core Rule Set
AnalíticaMétricas en tiempo real, mapas por país y logs de bloqueos
AutomatizaciónAPI REST completa y documentación OpenAPI

El control de acceso es otro punto fuerte. La herramienta incluye autenticación básica HTTP, forward auth con grupos de usuarios, mTLS con reglas por ruta y roles de usuario en tres niveles: Viewer, User y Admin. También permite OAuth2/OIDC con proveedores compatibles como Authentik, Keycloak o Auth0, además de enlazar cuentas desde la página de perfil.

WAF, geo blocking y analítica en tiempo real

Caddy Proxy Manager incorpora un WAF basado en Coraza con OWASP Core Rule Set. Según el proyecto, puede bloquear ataques comunes como SQL injection, XSS, LFI o RCE, con control por host, supresión de reglas ruidosas y directivas SecLang personalizadas. La interfaz permite activar la protección, revisar eventos bloqueados o detectados y ajustar el comportamiento sin trabajar directamente sobre configuraciones más complejas.

El bloqueo geográfico también forma parte del diseño. Permite bloquear o permitir tráfico por país, continente, ASN, CIDR o IP exacta en cada host. También incluye reglas de prioridad para excepciones y modo fail-closed, una opción relevante cuando se quiere evitar que un fallo en la resolución de geolocalización deje pasar tráfico que debería quedar bloqueado.

La analítica se apoya en ClickHouse, con retención de 90 días según la información del proyecto. El panel ofrece gráficos de peticiones en vivo, desglose por protocolo, mapa de países, agentes de usuario más frecuentes y registro paginado de solicitudes bloqueadas. Para equipos que quieren entender qué está llegando a sus aplicaciones, esta capa aporta una lectura operativa inmediata.

No conviene confundir estas funciones con una estrategia completa de seguridad. Un WAF, un sistema de autenticación y una analítica visual ayudan, pero no sustituyen el hardening de aplicaciones, la gestión de secretos, el parcheo, la segmentación de red o una política de observabilidad más amplia. La ventaja está en reunir varias piezas útiles en un mismo punto de gestión.

Una API completa para no depender solo de la interfaz

Aunque el proyecto pone mucho énfasis en la experiencia visual, Caddy Proxy Manager no se limita al panel. Incluye una API REST bajo /api/v1/ con autenticación mediante Bearer token, gestión de tokens de API y documentación interactiva OpenAPI 3.1.0 disponible en /api-docs.

Este detalle es importante para entornos profesionales. Una interfaz puede ser cómoda para operar, pero la infraestructura necesita automatización. Poder gestionar recursos por API permite integrar cambios con procesos internos, scripts, herramientas de despliegue o flujos de CI/CD.

La herramienta también incluye sincronización entre instancias mediante un modelo master/slave. La configuración puede enviarse a réplicas cuando se producen cambios, incluyendo proxy hosts, certificados y ajustes. En despliegues multiinstancia, esta función puede ayudar a mantener coherencia entre nodos, aunque siempre conviene probar bien los escenarios de alta disponibilidad, rollback y fallo de sincronización antes de llevarlos a producción.

La auditoría completa es otra pieza pensada para equipos. Cada cambio de configuración queda registrado con atribución de usuario y búsqueda de texto. En operaciones de edge, donde un cambio incorrecto puede dejar fuera una aplicación o abrir una exposición no deseada, saber quién cambió qué y cuándo no es un detalle menor.

Despliegue rápido con Docker y foco en uso práctico

El despliegue propuesto es sencillo. El proyecto plantea un arranque mediante docker compose, clonando el repositorio, copiando el fichero .env.example a .env, ajustando variables de entorno y levantando los servicios. La aplicación queda accesible en http://localhost:3000 y los datos persisten en volúmenes de Docker.

Ese enfoque encaja con laboratorios, equipos de infraestructura, pequeñas plataformas internas y administradores que buscan una forma rápida de poner orden sobre varios servicios publicados. También puede resultar interesante para entornos donde se valora Caddy, pero se echa en falta una capa visual similar a otros gestores de proxy.

La clave estará en cómo evolucione el proyecto. Combinar reverse proxy, WAF, analítica, identidad, mTLS, geo blocking, API y auditoría es ambicioso. Cuantas más funciones concentra una herramienta de edge, más importante resulta que sea estable, segura, bien documentada y fácil de actualizar. En producción, este tipo de pieza debe probarse con cuidado, especialmente si va a quedar delante de aplicaciones críticas.

Caddy Proxy Manager apunta a una necesidad real: administrar el borde de la infraestructura desde una interfaz moderna y con menos trabajo manual. Para quienes ya usan Caddy o quieren acercarse a él sin vivir dentro de ficheros de configuración, puede ser un proyecto a seguir de cerca.

Preguntas frecuentes

¿Qué es Caddy Proxy Manager?
Es una interfaz web open source para gestionar Caddy Server, con reverse proxy, HTTPS automático, WAF, autenticación, analítica, API REST y auditoría.

¿Sustituye a Caddy Server?
No. Actúa como capa de gestión visual sobre Caddy, facilitando la configuración y operación desde un panel web.

¿Permite gestionar certificados HTTPS?
Sí. Incluye soporte para HTTPS automático mediante ACME, Let’s Encrypt y Cloudflare DNS-01, además de certificados importados y CA interna.

¿Incluye funciones de seguridad?
Sí. Ofrece WAF con Coraza y OWASP CRS, bloqueo geográfico, forward auth, OAuth/OIDC, mTLS y control de acceso por roles.

¿Cómo se instala?
El proyecto propone un despliegue mediante Docker Compose, con configuración por fichero .env y persistencia de datos en volúmenes Docker.

Suscríbete al boletín SysAdmin

Este es tu recurso para las últimas noticias y consejos sobre administración de sistemas, Linux, Windows, cloud computing, seguridad de la nube, etc. Lo enviamos 2 días a la semana.

¡Apúntate a nuestro newsletter!


– patrocinadores –

Noticias destacadas

– patrocinadores –

¡SUSCRÍBETE AL BOLETÍN
DE LOS SYSADMINS!

Scroll al inicio
×