[Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox
-
Ich habe es ähnlich eingerichtet, allerdings läuft mein NPM als docker container.
Zusätzlich habe ich den Verbindungen zu den verwalteten Servern über die access lists ein Zugangspasswort verpasst.
-
mit der access list hatte ich mich auch befasst - ich wollte gerne den iobroker simple api adapter ansprechen und noch ein kennwort dazufügen - bekomme das aber nicht ans laufen mit tasker und httpget
hast du vielleicht eine idee ? kann man überhaut diese user und password abfrage in der url mit angeben ?
-
@liv-in-sky sagte in [Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox:
kann man überhaut diese user und password abfrage in der url mit angeben ?
Das funktioniert meines Wissens bei https nicht.
-
@meister-mopper das habe ich schon vermutet - ist das ganze auch so sicher genug.
man kann ja den port nicht scannen und weiß ja letztlich auch nicht, wie die url heißen muss - ist mit https verschlüsselt - also sollte doch kein sicherheitsleck da sein ?
-
@liv-in-sky sagte in [Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox:
sicherheitsleck
Na ja, wirklich sicher ist bei einer Portfreigabe tatsächlich nichts. Ich habe es aber trotzdem laufen ¯\ (ツ) /¯
-
@liv-in-sky sagte in [Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox:
man kann ja den port nicht scannen und weiß ja letztlich auch nicht, wie die url heißen muss - ist mit https verschlüsselt - also sollte doch kein sicherheitsleck da sein ?
warum kann man den port nicht scannen?
er ist ja offen im netzt, also wird er auch gefundenüber fingerprinting mechanismen finden die angreifer heraus was da für ein betriebssystem und welche serversoftware dahintersteht (apache/nginx, php,python,node,etc).
idealerweise kommt so ein reverse proxy noch in eine demilitarisierte zone mit noch einem zusätzlichen firewall in richtung deines intranets
-
bin da nicht so fit - aber offen ist nur 80 und 443 an der fritzbox für außen
wie kann man dann den simple api port scannen - von außen ?
-
musst gar nicht selbst machen:
https://www.shodan.io/oder du richtest dir mal einen honeypot ein
https://github.com/cowrie/cowrie -
@oliverio
danke - das muss ich erstmal in ruhe durchlesen und kapieren -
Nachdem ich gesehen habe wie oft 80 und 443 angesprochen werden, öffne ich die Ports nur bei Bedarf, also wenn das Zertifikat verlängert werden muss. Danach sind die bei mir wieder dicht. Habe für die Anwendung die online sein soll ein fünfstelligen Port gewählt. Die werden im Gegensatz zu den anderen meist genutzten Ports sehr selten angesprochen.
-
[edit] hier stand unwichtiges !
-
@liv-in-sky sagte in [Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox:
hat sich erledigt !
Mach ich auf keinen Fall oder bessere Lösung???
-
nee - hatte dort mein problem beschrieben und dann doch selbst gelöst - wie im chat beschrieben - nachträglich editiert
-
Habe NRP auf Proxmox laufen (Docker) / DYNDNS eingerichtet auf Fritzbox 7590 Fritz!OS 07.29
1x Cloud und 1x Webserver.
Nach dem Einrichten läuft alles wunderbar allerdings nur bis zur Zwangstrennung und Vergabe einer neuen IPv4 durch den Internetanbieter. Danach sind die Seiten nicht mehr aufrufbar.
Hat jemand eine Idee ? -
@steffen_go2lan
und dyndns löst schon die neue ip auf?
welche seiten meinst du? du rufst von aussen deine seiten in deinem netzwerk auf? -
@ciddi89 sagte in [Anleit.] ReverseProxy, Portfreigabe, Fritzbox unter Proxmox:
Nachdem ich gesehen habe wie oft 80 und 443 angesprochen werden, öffne ich die Ports nur bei Bedarf, also wenn das Zertifikat verlängert werden muss. Danach sind die bei mir wieder dicht. Habe für die Anwendung die online sein soll ein fünfstelligen Port gewählt. Die werden im Gegensatz zu den anderen meist genutzten Ports sehr selten angesprochen.
Kannst du mir mal beschreiben wie du das umgesetzt hast?
Habe zwei Anwendung in NPM und würde die auch gerne von den Standart Ports weg biegen.
-
@wendy2702 ja klar
Die Anwendung ist nur erreichbar unter https://ip-Adresse:443
Habe mir dann einen neuen Port ausgesucht zb 51443. Kann aber auch jeder andere Nummer sein.
Diese habe ich dann auf meine FRITZ!Box freigegeben und zeigt auf den nginx Proxy Manager.
Im Proxy Manager dann eingestellt das https://meinewebsite.de:51443 auf https/:ip-Adresse:443 zeigen soll. Dann noch ssl Zertifikat erstellen, nur dafür und fürs aktualisieren muss 80/443 auf sein. Danach kann das wieder geschlossen werden.
Gibt bestimmt noch andere Möglichkeiten wie man es am besten umsetzen kann und auch verschiedene subdomains nutzen kann usw. Aber da ich nur eine Anwendung freigegeben hab reicht mir dieser Weg. -
@ciddi89 Danke für die schnelle Antwort.
Irgendwie habe ich heute den Kopf quer..
Magst du mir mal ein Screenshot zeigen?
-
@wendy2702 Hier mal ein Beispiel. Erst die Firewall Regel die den port 51433 auf die Standart 433 zeigt
Und hier in Nginx die Einstellung von meiner Webadresse auf die Anwendung. Die Anwendung hat nun zwar port 8000 aber sollte im Prinzip ja keine Rolle spielen.
wenn ich nun sub.meinedomain:51443 aufrufe dann komme ich auf die Anwendung.
-
@wendy2702 und vergiß nicht, dass du den port wieder ändern mußt, wenn du das certificate erneuern mußt - hatte das vergessen und mich eine halbe stunde lang gewundert, warum die erneuerung nicht klappt
