DMZ mit Nginx Proxy Manager

Es gibt 4 Antworten in diesem Thema, welches 363 mal aufgerufen wurde. Der letzte Beitrag () ist von bic.

  • Guten Tag,


    Hinter meiner UDM SE hängt ein kleiner Home Server über den einige Dienste Laufen.


    • Gameserver (Minecraft, ARK, Terraria)
    • Apache Guacamole
    • Plex

    Diese Dienste müssen über Portweiterleitungen erreichbar sein, VPN ist hier nicht das Mittel zur höheren Sicherheit. Der Server befindet sich in einem eigenen Netzwerk, jedoch wird zwischen meinem Server und Lan Netzwerk geroutet, da ich sonst keinen Zugriff auf das Webinterface und eben andere interne Dienste hätte. Meine Überlegung war es jetzt einen Raspberry PI oder Mini PC in ein eigenes Netzwerk ohne Routing zu stellen. Das Gerät hat zwei Ethernet Ports, Quasi einen WAN und einen LAN Port, der Nginx Proxy Manager kümmert sich dann um die SSL Zertifikate, oder Streamt einfach die TCP / UDP Ports für die Game Server weiter. Der Lan Port des Proxys würde in einem Netz mit einem Zweiten Port des Servers hängen. So:

    Der "Proxy Server" wäre entsprechend mit einer Firewall und dem üblichen kram wie Fail2Ban usw. abgesichert. Tendenziell auch Pfsense. Mein Ziel ist es, das nicht mehr direkt der Homeserver angesprochen werden kann und ich eine Anlaufstelle für alle externen Verbindungen habe. Das hätte ich dadurch ja erreicht. In Zukunft wird sich wahrscheinlich noch ein Synology Rackstation RS1221+ dazugesellen, intern via 10GB angebunden und einen der 1GB Ports für die benötigten externen Verbindungen.


    Ich würde gerne eure Einschätzung haben: Wie viel bringt das Sicherheitstechnisch?

  • Grundsätzlich ist es immer empfehlenswert eine direkte Portweiterleitung zu vermeiden wenn möglich. Bei Gaming Servern wahrscheinlich schwierig. Du machst das alles aber auch sehr kompliziert. Wenn es dir nur darum geht von außen verschiedene Dienste zu erreichen über https, dann kannst du dir einfach einen NGINX Proxy Manager installieren und dort die Domains anlegen. Dann brauchst du nur die Weiterleitung von 80 und 443 auf den Proxy und von da machst du alle internen Weiterleitungen. Fail2ban kann man dort auch installieren und einrichten.

  • Wie viel bringt das Sicherheitstechnisch?

    Naja, ich würde mal sagen - wenig bis gar nix :smiling_face: Zumal ich Dein Schema, bzw. das, was Du da vorhast, ohnehin nicht so recht verstehe.


    Wenn Du es richtig machen willst, müsstest Du den Nginx samt der Server, welcher dieser bedienen soll, in eine DMZ stellen. Eine solche sieht prinzipiell erst einmal so aus:



    Das Ganze geht natürlich auch mit einem einzigen Firewallrouter, welcher einen expliziten DMZ-Port (und keinen Exposed-Host-Port !) bietet:



    Egal wie auch immer man das aufbaut, wird dann der Traffic vom I-Net zu den Servern in der DMZ mit dem üblichen Trara entsprechend erlaubt, sowie auch vom I-Net ins LAN. Verboten ist jedoch jeglicher Datenverkehr aus der DMZ ins LAN. Nur so sicherst du Dein LAN richtig ab.

  • Also würde es im Endeffekt auf zwei Server hinauslaufen, oder eben weiter so wie es jetzt ist, nur den LAN Verkehr bis auf die benötigten Ausnahmen verbieten. Danke.

  • Die Bildchen sind beispielhaft, Du brauchst keine zwei Server. Ob in der DMZ 1, 2 oder hundert Server stehen und ob die auf Blech oder in einer VM laufen ist Wurst. Entscheidend sind die zwei Firewalls, oder praktischer Weise eine Firewall mit einem expliziten DMZ-Port (schrieb ich aber schon), so wie hier: