Jack8COke Posted December 2, 2022 Share Posted December 2, 2022 Hallo Zusammen, ich habe mir überlegt, ob es nicht sinnvoller wäre, öffentliche Docker wie bspw. Nextcloud auf eine zweite Netzwerkkarte umzuleiten. Diese ist an einen separaten Port von meinem pfsense Router angeschlossen und ist vom internen Lan getrennt und geht direkt nach draußen. Ich musste in meinem Router den Port 80 und 443 öffnen um swag und Nextcloud zu nutzen und diese Ports zielen direkt auf den unraid Server. Mir wurde immer gesagt, dass man nach Möglichkeit keine Ports öffnen sollte aber für Nextcloud ist dies halt erforderlich. Bisher habe ich mit "docker create network proxynet" ein Netzwerk erstellt und alle erforderlichen Dienste wie Nextcloud, swag und mariadb diesem Netzwerk zugeordnet. Wenn ich diese nun auf custom br1 umstelle bekomme ich Nextcloud nicht mehr zum laufen. Kann ich ein netzwerk erstellen, dass auf br1 leitet? Ist mein Vorgehen überhaupt sinnvoll? Quote Link to comment
BuTscH Posted December 2, 2022 Share Posted December 2, 2022 (edited) Ansich müsste es gehen wenn du in deiner nextcloud.subdomain.conf Den Eintrag: set $upstream_app nextcloud; änderst in: set $upstream ip; Bei ip musst du natürlich dann die ip deines nextcloud Docker eintragen. Edited December 2, 2022 by BuTscH Quote Link to comment
alturismo Posted December 3, 2022 Share Posted December 3, 2022 4 hours ago, Jack8COke said: Ist mein Vorgehen überhaupt sinnvoll? das musst du für dich entscheiden 4 hours ago, Jack8COke said: Mir wurde immer gesagt, dass man nach Möglichkeit keine Ports öffnen sollte aber für Nextcloud ist dies halt erforderlich. genau ... du sollst auch wenn die Ampel auf gelb spring bereits anhalten, du sollst auch ... was ist denn jetzt die Frage, Sicherheitsbedenken ? lass NC in seinem proxynet laufen, lass NC isoliert nur sein data Dir, deaktivier den host access in unraid, ... dann läuft NC recht isoliert ... Quote Link to comment
mgutt Posted December 3, 2022 Share Posted December 3, 2022 7 hours ago, Jack8COke said: ich habe mir überlegt, ob es nicht sinnvoller wäre, öffentliche Docker wie bspw. Nextcloud auf eine zweite Netzwerkkarte umzuleiten Der Thread könnte helfen: https://forums.unraid.net/topic/68748-containers-on-br1/ Deine lokalen Clients kommen dann aber nicht auf die Nextcloud über die lokale br1 IP oder? Weil sonst macht dein Konzept keinen Sinn. Also vor was wolltest du dich schützen, wenn im Ergebnis ein gehackter Nextcloud Container trotzdem deine Clients angreifen kann. Ich denke da willst du ja hin?! Quote Link to comment
Jack8COke Posted December 5, 2022 Author Share Posted December 5, 2022 Hi Zusammen, vielen Dank für die Rückmeldungen. Hab es soweit jetzt zum laufen bekommen. Genau es geht um Sicherheitsbedenken. Dienste die ich nach draußen öffne, sollen in ihrem eigenen Netzwerk laufen und falls dort ein Angriff stattfindet, soll es keinen Zugriff auf mein internes Netzwerk bekommen. @alturismo was meinst du mit host access in unraid deaktivieren? Wie geht das? Ich habe es jetzt so gelöst, dass ich in meinem pfsense router beide interfaces gegeneinander gesperrt habe. Zusätzlich habe ich noch die IP von unraid und pfsense geblockt für das "öffentliche" Netzwerk. Kann man da noch was in unraid aktivieren? @mgutt genau die Nextcloud ist nur von außen erreichbar. Ich komme von innen nur drauf wenn ich die Dyndns-Adresse eingebe. Bin am überlegen eine weitere Nextcloud-Instanz aufzusetzen für mein internes Netzwerk (br0) aufzusetzen. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.