vonwanja Posted March 9 Share Posted March 9 (edited) Hallo, Das Thema kommt bestimmt immer wieder mal auf, aber es tut sich ja auch was bei den Möglichkeiten. Ich habe mich jetzt einige Zeit mit der Frage beschäftigt, wie ich einie Docker nach Außen hin öffnen kann und dabei möglichst wenig Risiko eingehe. Dass ganz ohne Risiko nicht geht, ist mir klar. Da ich aber nicht vom Fach bin und momentan den Wald vor lauter Bäumen nicht mehr sehe, wollte ich versuchen hier einige Meinungen zu verschiedenen Möglichkeiten zu hören, von Menschen die mehr Expertise haben. Das würde mir helfen die verschiedenen Möglichkeiten besser einzuordnen. Mit öffnen meine ich aber tatsächlich über eine Domain von außen erreichbar, also keine VPN-Lösung bei der der Client erst entsprechende Software installieren muss. Soweit: Klassische Möglichkeit scheint mir das Port-Forwarding am eigenen Router + Weiterleitung auf Reverse Proxy mit Fail2Ban usw zu sein. Bei einem typischen Setup mit privatem Internetanschluss dann über DynDNS (DuckDNS) und Domain die darauf weist. Das scheint mir eine Möglichkeit zu sein, bei der ich alle Sicherheitsaspekte permanent selbst in der Hand habe. Was mir sympathisch ist, aber mich auch etwas zu viel fordert. Vor allem scheint es mir so, dass das ein Setup ist, bei dem immer wieder viel Zeit in die Wartung fließt. Zweite Möglichkeit wäre ein Cloudflare Tunnel, der auf einen Reverse Proxy Docker verweist, der dann an den entsprechenden Docker weiterleitet. Verstehe ich das richtig, dass in diesem Fall die Verschlüsselung vom Reverse Proxy bis zum Client durchgehend ist? Also eine Lücke nur noch zwischen Reverse Proxy und dem eigentlichen Docker besteht? Cloudflare allein öffnet mir ja wohl den ganzen Datenverkehr Cloudflare gegenüber, was mir schon vom Prinzip her nicht gefällt, auch wenn ich Cloudflare nichts unterstellen will. Ich zahle für einen VPS Server (z.B. IONOS für 1€/Monat) und installiere darauf Reverse Proxy + Tailscale. Dann weist meine Domain auf den Reverse Proxy auf dem VPS und von dort wird der Verkehr durch den Tailscale Tunnel zu meinem Server und durch die Porteinschränkung auf den entsprechenden Docker gelenkt. Was mir daran nicht gefällt (In meinem beschränkten Verständnis) ist, dass ich dazu das Tailscale Plugin nutzen muss, da ich die Route advertisen muss und das der Docker wohl nicht macht. Damit ist es schwierig den Tailscale Zugang durch Docker Network zu isolieren. Heißt doch, theoretisch expose ich den ganzen host. Ein Problem das ich bei allen Möglichkeiten habe ist, dass ich gerne den Docker den ich beispielsweise exposen will (z.B. Wizarr) durch ein custom network isolieren möchte. Ich brauche aber gleichzeitig, dass dieser mit dem Plex Docker kommunizieren kann, der wiederum im host network läuft und das scheinbar auch braucht um das Plexeigene Remote-System nutzen zu können und gleichzeitig im lokalen Heimnetz direct streaming zu machen. Oder irre ich mich da? Eigentlich wäre ich auch damit einverstanden Plex selbst nach außen hin zu öffnen, weil ich immer wieder mit dem Umstieg auf Jellyfin liebäugele (Ich bevorzuge einfach den Offenen Ansatz). In diesem Fall scheint Cloudflare Tunnel dann auszuscheiden, wegen der hohen Datenmengen. Achja: Ich möchte nicht alle Docker die ich aus der Ferne nutze exposen. Für viele nutze ich auch gerne Wireguard. Ich bin gespannt, ob es dazu Stimmen gibt! Vielen Dank und einen schönen Tag zusammen Edited March 9 by vonwanja Quote Link to comment
alturismo Posted March 9 Share Posted March 9 2 hours ago, vonwanja said: der wiederum im host network läuft und das scheinbar auch braucht um das Plexeigene Remote-System nutzen zu können und gleichzeitig im lokalen Heimnetz direct streaming zu machen. Oder irre ich mich da? ja, da irrst du dich 2 hours ago, vonwanja said: Ich bin gespannt, ob es dazu Stimmen gibt! 10 Antworten, 10 Meinungen ... vielleicht um den direkten RP Weg überhaupt offen zu halten, du hast einen Dual Stack Anschluss mit öffentlicher ipv4, wenn ja, dann hast du alle Optionen ... Anmerkungen meinerseits 1/ klassisch RP, mein Weg, direkte Verbindung ist meiner Meinung nach immer die beste Lösung, einlesen, einarbeiten, dann ist das auch sicher genug für alle Privatuser ... 2/ Cloudflare Tunnel, ist ne Alternative, aber die "free" Variante schließt streaming aus ... sollte man wissen, bezahlt sicher ne gute Lösung, für mich persönlich kein echter Mehrwert außer dem bissel ddos Schutz inkl. ... ein sauber konfigurierter RP inkl. f2b, geo block, ... reicht mMn aus. 3/ Notfall Plan, wenn kein dual stack anliegt die beste Alternative, nutze ich auch als Fallback (LTE) falls mein Anschluss mal aussetzt, geht ja über diverse Wege, VPN (Bsp. wg9, SSH, FRP, Tailscale, ... was auch immer man mag. prüf ob 1/ überhaupt geht, wenn ja hast du immer noch die Wahl, wenn Nein wird es eh klarer 1 Quote Link to comment
EliteGroup Posted March 9 Share Posted March 9 3 hours ago, vonwanja said: Da ich aber nicht vom Fach bin und momentan den Wald vor lauter Bäumen nicht mehr sehe, wollte ich versuchen hier einige Meinungen zu verschiedenen Möglichkeiten zu hören, von Menschen die mehr Expertise haben. Das würde mir helfen die verschiedenen Möglichkeiten besser einzuordnen. Du musst dich auf jeden Fall für einen "Weg" entscheiden, erst dann kannst du diesen best möglich absicher... Ich bin auch kein freund von externen Diensten, egal ob Cloudflare oder sonstige Remote Proxy. Vor allem wenn es um den privaten zweck geht. Wenn es jetzt um das veröffentlichen für Weltweit geht, ist das private Hosten des Servers sowieso die flasche Wahl, also geht es hier um den Privaten zweck und das teilen mit Familie/Freunde/eine kleine Community und diesen Weg kann man natürlich absichern. Um dir einen kleinen Leitfaden anzubieten: 1. Firewall Alles beginnt mit einer guten Firewall... Gute Hardware-Firewall kann schnell in die hohen Kosten gehen deshalb beziehe ich mich lieber auf Software-Firewall. Ganz oben an der Spitze liegt hier OpnSense / pfSense, möglich wäre natürlich auch ein Flashen mit der richtigen Hardware von OpenWRT. Wichtig ist nur was die Firewall an möglichkeiten bietet. Aufgabe: Über vernünfigte Firewall Informieren, besorgen, einrichten. Ich persönlich verwende OpnSense und nutze nichts anderes mehr. 2. Netzwerk Das segmentieren von Netzwerken ist quasi Pflicht. Egal ob VLAN oder Physische Trennung. Wähle entweder Virtuelle oder Physische Trennung. Jenachdem was deine Hardware hergibt. Ich bevorzuge eine Kombination aus beiden, ein VLAN Switch und an Unraid eine physische Trennung durch 2 Netzwerkanschlüsse (oder mehr) und Performance zu bieten. Dienste die aus dem Internet aus erreichbar sind, befinden sich in einem eigenen Netzwerk. Aufgabe: Erstelle 2 Netzwerke mit eigenen IP Bereich. 1. Netzwerk: LAN/Home 2. Netzwerk: DMZ/Server Jetzt muss das Netzwerk noch konfiguriert werden. Das sollte einfach sein den wichtig ist nur eines: LAN hat vollen zugriff auf DMZ. DMZ sind alle Ports gesperrt nach LAN. 3. Unraid Wie schon erwähnt was gibt die Hardware her? VLAN oder Physich. Im primzip beides gleich. Wichtig ist jetzt zuerst die Netzwerkkonfiguration von Unraid: Aufgaben: 1. Netzwerkeinstellungen > Schnitstellenregeln richtig wählen. (Wenn VLAN nicht gewählt wird) eth0 = MAC Adresse von LAN eth1 = MAC Adresse von DMZ Neustarten von Unraid nicht vergessen. 2. Ganz WICHTIG ist jetzt das erste Netzwerk ist LAN, das zweite Netzwerk ist DMZ! DMZ MUSS zusätzlich die Netzwerkbrückung aktiviert werden (br1). 3. Unter Schnittstellen Extras wird br1 (DMZ Bridge) ausgeschlossen. Damit kein Unraid zugriff möglich ist für die DMZ Dienste. 4. Proxy mit LetsEncrypt SSL Jetzt wird ein Proxy installiert und zwar als custom Bridge im br1 Netzwerk. Wähle eine schöne IP Beliebt ist hier der Nginx Proxy Manager mit WebGUI und SSL. Erstelle eine Portfreigabe auf deiner Firewall mit 80+443 die auf deine Nginx custom IP zeigt. Nicht vergessen in Nginx Proxy Manager unter Settings die Default Site auf "No Response" stellen. PS: Nicht vergessen in deinem DNS Server die IP für deine Domain auf die Proxy IP umschreiben. 5. Zusatz Dienste Hier wird einen bewust das die meisten Firewalls sehr begrenz sind und kaum Sicherheit bieten für zusätzliche absicherungen... Die möglichkeiten sind hier endlos aber ein kleiner Leitfaden der auf jeder OpnSense / pfSense funktioniert: 1. IP Table Blocker aktivieren Im Internet findet man Listen von gefährlichen IP-Adressen die das WWW "snifen" und nach offnen Ports schnüffeln oder sonstige unseriöse Angriffe auf offene Systeme vornehmen. Bekannt hier sind Listen von spamhaus.org oder abuse.ch. Es gibt viele weitere Listen. Dieser Blocker sollte an deiner Firewall auf Nr. 1 stehen über der Portfreigabe von 80/443. Dann ist für diese Snifer Netzwerke auch die Ports gesperrt. 2. GeoIP Blocker einrichten Mit einer kostenlosen API von maxmind.com bekommst du die möglichkeit GeoIP Blocking zu betreiben. Hier kannst du eine Alias erstellen mit Länder die generell von deiner Firewall gesperrt werden soll. Zb zu empfehlen alle Länder außer Europa / USA. Damit wird jede Anfrage aus Russland, China, und jeden anderen gesperrten Land sowieso zu 100% an deiner Firewall blockiert trotz geöffneter Ports. HINWEIS: Wenn du in den Urlaub fährst. zb nach Thailand, musst du zuvor das Land an deiner Firewall freigeben sonst hast du keinen Zugriff auf deine Firewall/Dienste. Diese Regel kommt auf Nr. 2 ebenfall trotzdem ÜBER der Portfreigabe von 80+443. Wenn du dir nicht sicher bist was du sperren sollst und was nicht, nimm die üblichen verdächtigen und sperr Russland, Afrika, Asien. Warum ganz Europa und USA freigegeben bleibt hat den einfachen Grund da oft einige Dienste / Internetseiten evtl. auch für dich dann nicht mehr Aufrufbar sind. Wenn du diese 2 offen lässt, habe ich bisher nie einschrönkungen erlebt, außer du treibst dich in sehr "exotischen" Teilen des Internets herum. 3. CrowdSec einrichten Am besten direkt auf der OpnSense installieren die für verdächtige IPs eine direkte Firewall Sperre zu erwirken. CrowdSec ist ein trolles Projekt und lässt sich einfach als App auf der Firewall installieren, wieder etwas das unter üblichen Firewall-Routern nicht möglich ist... Also jetzt sind wir schon an einem Punkt der recht einfach um zu setzten ist und man ultimativen Schutz vor Hacker und WWW Snifer hat. Für komische fremde Lände erscheinst du sowieso offline als würde es dich nicht existieren. Das ganze ohne VPN / Cloudflare Tunnel. Desweiteren gibt es Software für Einbruchserkennung etc die zb OpnSense ebenfalls zu verfügung stellt. Weiteres gebe es die möglichkeit für innere Sicherheit einen DNS-Blocker zu installieren wie AdGuard (Ebenfalls direkt als OpnSense App) / PiHole und das interne Tracking und versenden von Telemetriedaten zu verhindern. Bis zu diesen Punkt schafft das jeder der zumindest eine OpnSense / pfSense im einsatz hat ganz easy wenn man nur ein bisschen IT/Netzwerk Expertise hat. Jetzt könnte man noch an die Hardcore abhärtung weiter gehen. Das werde ich aber jetzt hier nicht weiter erleutern da die möglichkeiten endlos sind. Erwähnen könnte man hier noch den einsatz von Fail2Ban, erkennung von DDoS und Brutforce, absicherung von WLAN gegen lokale Angriffe etc. Persönliche empfehlung sind die 3. Punkte mit IP-Tabel + GeoIP + CrowdSec. Die installation der drei Punkte dauert 5 Minuten und laufen ab dann vollständig automatisch für immer auf deiner Firewall. Als kleiner Tipp wenn du dir keine teuere Hardware für OpnSense zulegen möchtest gibt es noch den TP-Link ER605 v2 (WICHTIG ist hier "v2" zu bekommen) Darauf lässt sich OpenWRT installieren als Firewall. Als reine "Firewall" bzw Router ist der richtig gut. Alternativ wenn du Firewall + Wlan in einem benötigst, musst du dir einen geeigneten Router in der OpenWRT liste aussuchen. Wichtig ist hier der RAM und FLASH Speicher, nur wenn der Speicher groß genug ist lässt sich auf einen kleinen Router auch CrowdSec installieren. Für OpnSense im Einsatz als Router benötigst du natürlich ein WLAN-Router im AccessPoint Modus. 2 1 Quote Link to comment
vonwanja Posted March 9 Author Share Posted March 9 Spricht etwas erstmal Wizarr über Cloudflare erreichbar zu machen, bis mein Leben mehr Zeit hergibt für eine eigene Firewall und das Anlesen des nötigen Wissens um dann Lösung 1 umzusetzen? Quote Link to comment
EliteGroup Posted March 9 Share Posted March 9 1 hour ago, vonwanja said: Spricht etwas erstmal Wizarr über Cloudflare erreichbar zu machen, bis mein Leben mehr Zeit hergibt für eine eigene Firewall und das Anlesen des nötigen Wissens um dann Lösung 1 umzusetzen? Du kannst erstmal auch nur mit NginxProxyManager und SSL starten.. Anfangs hatte ich auch nur einen Proxy. Aber du wolltest doch eine Orientierungshilfe wie man sein Netzwerk absichert 😉 Quote Link to comment
vonwanja Posted March 9 Author Share Posted March 9 Ja das will ich auch! Ich war vorhin schon am Suchen nach diversen Firewall tauglichen Geräten. Dabei habe ich gemerkt, dass das erstmal einiges an Beschäftigung braucht um das sinnvoll zu machen. Allerdings rennt mir die Zeit davon, weil ich die nächsten Tage zum zweiten Mal Vater werde ... Ich denke das Thema ist aber sowieso interessant, weil da draußen eine Menge an Tips rum geistern und viel mit wenig Verständnis gemacht wird. Außerdem sind einige Anleitungen schon viele Jahre alt. Für jemanden wie mich, der das nicht alles selbst beurteilen kann, ist eine Einordnung und auch eine Diskussion über die verschiedenen Möglichkeiten auf jeden Fall sehr hilfreich. Quote Link to comment
EliteGroup Posted March 10 Share Posted March 10 5 hours ago, vonwanja said: Ja das will ich auch! Ich war vorhin schon am Suchen nach diversen Firewall tauglichen Geräten. Dabei habe ich gemerkt, dass das erstmal einiges an Beschäftigung braucht um das sinnvoll zu machen. Allerdings rennt mir die Zeit davon, weil ich die nächsten Tage zum zweiten Mal Vater werde ... Dann ist klar die Priorität anders zu setzten und ich sag auf jeden Fall schon mal herzlichen glückwunsch 😉 5 hours ago, vonwanja said: Ich denke das Thema ist aber sowieso interessant, weil da draußen eine Menge an Tips rum geistern und viel mit wenig Verständnis gemacht wird. Außerdem sind einige Anleitungen schon viele Jahre alt. Da muss ich dir Recht geben... Ich musste mir das Thema auch 2-3 Jahre zusammen forschen. Es gibt nur einzeln Tipps wie richte ich was ein.. Da muss man aber auch erstmal wissen das es diese Funktio/Software überhaupt gibt. Komplette Anleitungen von A bis Z für eine vollständig gesicherte Firewall gibt es nicht oder diese ist veraltet. Deshalb ist meine Anleitung für dich aus dem vorherigen Post ein gutes komplett Paket, mehr musst du nicht machen, natürlich habe ich nur geschrieben WAS zu tun ist und nicht WIE es installiert wird, ich weiß ja auch noch nicht welche Firewall am Ende zum Einsatz kommen wird 😉 5 hours ago, vonwanja said: Ich war vorhin schon am Suchen nach diversen Firewall tauglichen Geräten. Das ist auch einfach (Wenn man weiß was und wo haha) Zb Auf Amazon such nach "mini pc firewall" Kommt schon eine große Auswahl. Natürlich gibt es diese auch auf Alibaba & co. Wichtige Punkte zu beachten für die Hardware: -6 Lan Anschlüsse müssen es nicht sein aber zumidnest 4 sollten es sein auch wenn für VLAN 2 Theoretisch reichen würden Hier ist wieder eine physische Trennung vorteilhafter. -Der verbaute LAN Chip sollte von Intel sein nicht von Realtek -Einfach nur eine Stromsparende CPU aussuchen. Keine "i3, i5" etc -Arbeitssspeicher wird auf einer Firewall nie mehr als 2GB und Festplatte reicht ebenfalls ab 30GB (Aktuell verbraucht eine OpnSense 800MB Ram und 4,5GB Festplatte, aber mit mehreren Netzwerken und etwas größerer Umfang als bei dir) Preislich findet man diese bei ca 150€ mit 4x LAN Anschluss mit Intel Celeron CPU Gut dabei bist du mit einer Mini-PC Firewall mit - Intel Celeron N5100 - Intel Celeron J4125 - Intel Celeron N4505 CPU. mit 4x RJ45 Intel Anschluss bei ca 150€ für eine dicke Firewall. Ich selbst sitze noch auf einer alten Pentium G4400 der weniger Leistung bietet (und mehr Strom frisst) In der Regel läuft selbst meine Firewall auf ~0 bis 2% CPU Last. In der Regel geht die CPU nur nach oben bei Internet-Download last oder VPN verwendung. Die Installation von OpnSense ist denkbar einfach: Ein USB Stick mit der Installations ISO auf der Firewall Booten und die installation ist in 10 Minuten durch. Danach öffnet sich im Browser auch ein praktischer Wizard der dir das erst Setup macht mit der Frage was ist WAN und LAN Port, und dann ist die basis der Firewall bereits fertig. OpnSense ist so ausgelegt das im Default das System komplett abgesichert ist und von außen nichts rein kommt. Man muss also mal nichts tun. Also meine Empfehlung zum aktuellen Stand ist eine Mini-PC Firewall mit J4125 / N5100 um 150€ bzw ~180€ mit 4GB RAM + 128GB SSD Wenn es dir das Geld Wert ist, bekommst du die beste Firewall die man sich nur wünschen kann, für die es quasi kein Limit gibt. Quote Link to comment
maskedrider Posted May 21 Share Posted May 21 On 3/9/2024 at 7:23 PM, EliteGroup said: Du musst dich auf jeden Fall für einen "Weg" entscheiden, erst dann kannst du diesen best möglich absicher... Ich bin auch kein freund von externen Diensten, egal ob Cloudflare oder sonstige Remote Proxy. Vor allem wenn es um den privaten zweck geht. Wenn es jetzt um das veröffentlichen für Weltweit geht, ist das private Hosten des Servers sowieso die flasche Wahl, also geht es hier um den Privaten zweck und das teilen mit Familie/Freunde/eine kleine Community und diesen Weg kann man natürlich absichern. Um dir einen kleinen Leitfaden anzubieten: 1. Firewall Alles beginnt mit einer guten Firewall... Gute Hardware-Firewall kann schnell in die hohen Kosten gehen deshalb beziehe ich mich lieber auf Software-Firewall. Ganz oben an der Spitze liegt hier OpnSense / pfSense, möglich wäre natürlich auch ein Flashen mit der richtigen Hardware von OpenWRT. Wichtig ist nur was die Firewall an möglichkeiten bietet. Aufgabe: Über vernünfigte Firewall Informieren, besorgen, einrichten. Ich persönlich verwende OpnSense und nutze nichts anderes mehr. 2. Netzwerk Das segmentieren von Netzwerken ist quasi Pflicht. Egal ob VLAN oder Physische Trennung. Wähle entweder Virtuelle oder Physische Trennung. Jenachdem was deine Hardware hergibt. Ich bevorzuge eine Kombination aus beiden, ein VLAN Switch und an Unraid eine physische Trennung durch 2 Netzwerkanschlüsse (oder mehr) und Performance zu bieten. Dienste die aus dem Internet aus erreichbar sind, befinden sich in einem eigenen Netzwerk. Aufgabe: Erstelle 2 Netzwerke mit eigenen IP Bereich. 1. Netzwerk: LAN/Home 2. Netzwerk: DMZ/Server Jetzt muss das Netzwerk noch konfiguriert werden. Das sollte einfach sein den wichtig ist nur eines: LAN hat vollen zugriff auf DMZ. DMZ sind alle Ports gesperrt nach LAN. 3. Unraid Wie schon erwähnt was gibt die Hardware her? VLAN oder Physich. Im primzip beides gleich. Wichtig ist jetzt zuerst die Netzwerkkonfiguration von Unraid: Aufgaben: 1. Netzwerkeinstellungen > Schnitstellenregeln richtig wählen. (Wenn VLAN nicht gewählt wird) eth0 = MAC Adresse von LAN eth1 = MAC Adresse von DMZ Neustarten von Unraid nicht vergessen. 2. Ganz WICHTIG ist jetzt das erste Netzwerk ist LAN, das zweite Netzwerk ist DMZ! DMZ MUSS zusätzlich die Netzwerkbrückung aktiviert werden (br1). 3. Unter Schnittstellen Extras wird br1 (DMZ Bridge) ausgeschlossen. Damit kein Unraid zugriff möglich ist für die DMZ Dienste. 4. Proxy mit LetsEncrypt SSL Jetzt wird ein Proxy installiert und zwar als custom Bridge im br1 Netzwerk. Wähle eine schöne IP Beliebt ist hier der Nginx Proxy Manager mit WebGUI und SSL. Erstelle eine Portfreigabe auf deiner Firewall mit 80+443 die auf deine Nginx custom IP zeigt. Nicht vergessen in Nginx Proxy Manager unter Settings die Default Site auf "No Response" stellen. PS: Nicht vergessen in deinem DNS Server die IP für deine Domain auf die Proxy IP umschreiben. 5. Zusatz Dienste Hier wird einen bewust das die meisten Firewalls sehr begrenz sind und kaum Sicherheit bieten für zusätzliche absicherungen... Die möglichkeiten sind hier endlos aber ein kleiner Leitfaden der auf jeder OpnSense / pfSense funktioniert: 1. IP Table Blocker aktivieren Im Internet findet man Listen von gefährlichen IP-Adressen die das WWW "snifen" und nach offnen Ports schnüffeln oder sonstige unseriöse Angriffe auf offene Systeme vornehmen. Bekannt hier sind Listen von spamhaus.org oder abuse.ch. Es gibt viele weitere Listen. Dieser Blocker sollte an deiner Firewall auf Nr. 1 stehen über der Portfreigabe von 80/443. Dann ist für diese Snifer Netzwerke auch die Ports gesperrt. 2. GeoIP Blocker einrichten Mit einer kostenlosen API von maxmind.com bekommst du die möglichkeit GeoIP Blocking zu betreiben. Hier kannst du eine Alias erstellen mit Länder die generell von deiner Firewall gesperrt werden soll. Zb zu empfehlen alle Länder außer Europa / USA. Damit wird jede Anfrage aus Russland, China, und jeden anderen gesperrten Land sowieso zu 100% an deiner Firewall blockiert trotz geöffneter Ports. HINWEIS: Wenn du in den Urlaub fährst. zb nach Thailand, musst du zuvor das Land an deiner Firewall freigeben sonst hast du keinen Zugriff auf deine Firewall/Dienste. Diese Regel kommt auf Nr. 2 ebenfall trotzdem ÜBER der Portfreigabe von 80+443. Wenn du dir nicht sicher bist was du sperren sollst und was nicht, nimm die üblichen verdächtigen und sperr Russland, Afrika, Asien. Warum ganz Europa und USA freigegeben bleibt hat den einfachen Grund da oft einige Dienste / Internetseiten evtl. auch für dich dann nicht mehr Aufrufbar sind. Wenn du diese 2 offen lässt, habe ich bisher nie einschrönkungen erlebt, außer du treibst dich in sehr "exotischen" Teilen des Internets herum. 3. CrowdSec einrichten Am besten direkt auf der OpnSense installieren die für verdächtige IPs eine direkte Firewall Sperre zu erwirken. CrowdSec ist ein trolles Projekt und lässt sich einfach als App auf der Firewall installieren, wieder etwas das unter üblichen Firewall-Routern nicht möglich ist... Also jetzt sind wir schon an einem Punkt der recht einfach um zu setzten ist und man ultimativen Schutz vor Hacker und WWW Snifer hat. Für komische fremde Lände erscheinst du sowieso offline als würde es dich nicht existieren. Das ganze ohne VPN / Cloudflare Tunnel. Desweiteren gibt es Software für Einbruchserkennung etc die zb OpnSense ebenfalls zu verfügung stellt. Weiteres gebe es die möglichkeit für innere Sicherheit einen DNS-Blocker zu installieren wie AdGuard (Ebenfalls direkt als OpnSense App) / PiHole und das interne Tracking und versenden von Telemetriedaten zu verhindern. Bis zu diesen Punkt schafft das jeder der zumindest eine OpnSense / pfSense im einsatz hat ganz easy wenn man nur ein bisschen IT/Netzwerk Expertise hat. Jetzt könnte man noch an die Hardcore abhärtung weiter gehen. Das werde ich aber jetzt hier nicht weiter erleutern da die möglichkeiten endlos sind. Erwähnen könnte man hier noch den einsatz von Fail2Ban, erkennung von DDoS und Brutforce, absicherung von WLAN gegen lokale Angriffe etc. Persönliche empfehlung sind die 3. Punkte mit IP-Tabel + GeoIP + CrowdSec. Die installation der drei Punkte dauert 5 Minuten und laufen ab dann vollständig automatisch für immer auf deiner Firewall. Als kleiner Tipp wenn du dir keine teuere Hardware für OpnSense zulegen möchtest gibt es noch den TP-Link ER605 v2 (WICHTIG ist hier "v2" zu bekommen) Darauf lässt sich OpenWRT installieren als Firewall. Als reine "Firewall" bzw Router ist der richtig gut. Alternativ wenn du Firewall + Wlan in einem benötigst, musst du dir einen geeigneten Router in der OpenWRT liste aussuchen. Wichtig ist hier der RAM und FLASH Speicher, nur wenn der Speicher groß genug ist lässt sich auf einen kleinen Router auch CrowdSec installieren. Für OpnSense im Einsatz als Router benötigst du natürlich ein WLAN-Router im AccessPoint Modus. Der Guide sollte eigenlich in einem seperatem Post zum Thema angepinnt werden. Es gibt viel zu wenige akutelle, relativ komplette Guides zu dem Thema. Ich habe jetzt schon seit längerem eine OpnSense am laufen und finds klasse. Kommend von einem 0815 Router ohne großartige Möglichkeiten in den Einstellungen fühlt man sich aber gerade zu anfangs ziemlich "erschlagen" von all den Möglichkeiten, die sich in OpnSense auftun. Und da ich gerade dabei bin meinen bestehenden Unraid-Server ans Web zu hängen, um auch Freunden und Family Zugriff auf einige Dinge zu gewähren, ist deine kurze Ausführung sehr sehr hilfreich! Das mit dem Geoblocking hab ich so auch noch nie gesehen, ist aber meines Erachtens echt sinnvoll! Quote Link to comment
ich777 Posted May 21 Share Posted May 21 1 hour ago, maskedrider said: Der Guide sollte eigenlich in einem seperatem Post zum Thema angepinnt werden. Es gibt viel zu wenige akutelle, relativ komplette Guides zu dem Thema. Ich bin mir nicht sicher da nicht jeder alles braucht. Es ist zwar eine gute Anleitung von @EliteGroup aber wie @alturismo schon sagte, 10 Leute 10 verschiedene Meinungen. Der Guide ist schon wirklich gut aber ob du das wirklich alles genau so brauchst wie oben beschrieben da das Setup schon recht komplex für einen neuen Nutzer der gerade erst dazugekommen ist. Beispielsweise reicht es für die meisten Nutzer vollkommen wenn du das ganze mittels port forwarding in der Firewall auf einem NIC auf Unraid machst (für das ist eine Firewall/Router schließlich da, Pakete Filtern und dementsprechend weiterleiten). Wenn dies nicht reicht könnte man dies auch mit VLANs erreichen und nur einem NIC somit würde die Konfiguration und ein zweiter NIC komplett wegfallen. Ob jemand wirklich IP Adressen auf der Firewall oder am Endgerät sperrt bzw. GeoBlock einrichtet geschweige den Crowdsec (von dem ich noch immer kein freund bin) verwendet bleibt jedem selbst überlassen und würde ich nicht als nötig erachten. Das Problem ist hier das wenn du speziell mit Crowdsec oder IP Tables arbeitest du meist auch Dienste sperren kannst die dir gar nicht bewusst sind das du sie brauchst, klar es gibt die Möglichkeit Ausnahmen zu erstellen, jedoch bedenke auch ob du denn das dann auch noch weißt das du genau dort nachsiehst und evtl. dies das Problem auslöst. Geoblock kannst du auch ein Problem bekommen wenn du die falschen Länder sperrst das evtl. Dienste nicht bzw. nicht mehr richtig funktionieren und unter anderem kannst du dich ganz aussperren wenn du bereits auf der Firewall ein Land blockst in das du womöglich nächstes Jahr auf Urlaub fährst und du könntest GeoBlocking auch wieder mit einer VPN oder ähnlichem umgehen. Klar Port Scanner/Bots sind nervig aber dafür gibt es unter anderem Fail2Ban (das BTW in SWAG integriert ist) und die meisten Anfragen sind auch harmlos. Ich meine ich bin kein Gegner von dem Guide aber solche Guides sind immer sehr gefährlich speziell für Anfänger da soche Maßnahmen auch an den falschen Ecken Probleme und Support Anfragen auslösen können die eigentlich vermieden werden könnten. Also bitte nicht falsch verstehen @EliteGroup. 1 Quote Link to comment
maskedrider Posted May 21 Share Posted May 21 @ich777 Das stimmt, ein wenig Expertise kann nicht schaden. Geoblock ist immer so ne Sache, ja... Womit würdest du starten, wenn du zB Jellyfin für andere übers Web freigeben willst? Opnsense ist vorhanden wie gesagt, momentan ist der Server aber noch nicht im DMZ (ist als VLAN aber angelegt). Im Endeffekt bin ich auf der Suche nach einer "simplen" Lösung, die trotzdem einigermaßen sicher ist. Quote Link to comment
ich777 Posted May 21 Share Posted May 21 1 minute ago, maskedrider said: Im Endeffekt bin ich auf der Suche nach einer "simplen" Lösung, die trotzdem einigermaßen sicher ist. Also ich hab das so am laufen das ich Jellyfin durch SWAG (Reverse Proxy) durch jage und dazu hab ich noch Fail2Ban in SWAG konfiguriert für Jellyfin und das Blockt automatisch wenn nach 3 Fehlgeschlagenen Anmeldeversuchen von einer IP die dementsprechende IP für 2 Stunden. Hier ist meine Filter Regel für Jellyfin: [Definition] failregex = Authentication request for "[^"]*" has been denied \(IP: "<HOST>"\)\.$ Natürlich musst du die logs im SWAG container verfügbar machen (als read only würd ich empfehlen). Generell hab ich nix in der Demilitarized Zone bzw. mach ich alles mit ReverseProxy und normalem Port forwarding in der Firewall. Du kannst dir natürlich GeoBlock auf OpenSense einrichten aber das ist immer geschmackssache. 2 Quote Link to comment
Archonw Posted May 21 Share Posted May 21 Ich mache es genau wie @ich777, nur das ich Nginx Proxy Manager nutze und noch nicht erflogreich Fail2ban eingebunden hab. Stelle mich da wohl zu blöd für an. Denke auch, dass das als Sicherheitsnetz für und private durchaus gut genug ist. Gerade wenn noch Fail2ban läuft ist das schon ein hohes Maß an Sicherheit. Quote Link to comment
maskedrider Posted May 21 Share Posted May 21 Gut, dann beschäftige ich mich erstmal mit SWAG & fail2ban, bzw evt. auch mit ngx und fail2ban. Vielen Dank erstmal. Quote Link to comment
ich777 Posted May 21 Share Posted May 21 2 minutes ago, maskedrider said: Vielen Dank erstmal. Du kannst auch später aufbauen und alles in ein dediziertes Netz bzw. DMZ schieben, je nachdem wie du es dann machen willst. Ich wollte mit meinem Post nur zu bedenken geben das eben dein setup dann viel komplizierter bzw. aufwändiger is. Quote Link to comment
alturismo Posted May 21 Share Posted May 21 1 hour ago, maskedrider said: Gut, dann beschäftige ich mich erstmal mit SWAG & fail2ban, bzw evt. auch mit ngx und fail2ban. Vielen Dank erstmal. am Ende wird es immer darauf hinauslaufen ... je mehr Funktionen dest mehr Aufwand ... Beispiel NPM ... easy webui zur Einrichtung, fast Richtung "plug & play" ... dafür kein fail2ban und kein geoblock integriert ... Beispiel swag ... kein webui zur Einrichtung, alles per config files bzw. Variablen, sprich, lesen lesen lesen ... verstehen ... umsetzen ... dafür optional f2b, geoip, und und und ... aber erstmal eine Lernkurve nehmen und am Ende mit den ganzen Tutorials ... wenn ich nur stumpf "copy paste" aus irgendwelchen Videos mache verstehe ich noch lange nicht was ich da mache ... und wenn morgen etwas hängt ... stehe ich da und hab meist keinen Plan davon woran es liegen könnte ... weil ich "eigentlich" gar nicht weiß was ich gemacht habe ... @EliteGroup hat das oben "Weltklasse" aufgedröselt, aber keine Anleitung hingeschrieben ... bis man das durchgearbeitet hat ... und er schreibt selbst nicht umsonst ... On 3/10/2024 at 6:20 AM, EliteGroup said: Da muss ich dir Recht geben... Ich musste mir das Thema auch 2-3 Jahre zusammen forschen. aber wenn es jetzt klemmt ... weiß er welchen "Vorhang er aufziehen" muss um dahinter zu schauen ob es noch passt ... bei Anleitungen stumpf übernehmen ... hängen wir meist in einem Forum und keiner kann gezielt helfen weil keine konkrete Frage kommt, meist kommt in die Richtung ... "mein proxy geht nicht mehr, warum .... ich hab nichts gemacht ..." und ja, das kann passieren durch ein Update, durch ... und wenn ich die Basics selbst nicht kenne da ich mich nicht damit auseinander gesetzt habe ... kann ich nur empfehlen, langsam einarbeiten, starten mit NPM um das "Konstrukt" reverse Proxy zu verstehen, wenn das mal sitzt, Level 2 ... entweder NPM "manuell" aufbohren oder Umstieg auf swag, wenn das sitzt, Level 3 ... f2b, geoip, ... wenn das sitzt ... und am Schluss, Endgegner mit passender Firewall Hardware, IPTables, ... 1 Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.