Ich lese mich gerade in das Thema Caddy ein und bin dann auf diese Seiten gestossen Caddy WAF Middleware und Secure Caddy with Crowdsec Darf ich mal fragen welche Proxys Ihr so nutzt?
Reverse Proxy - welcher und wie absichern?
- Ersteller Legolas
- Erstellt am
LuxSkywalker
Lieutenant
- Registriert
- Juli 2002
- Beiträge
- 793
Nginx als Proxy und als Webserver
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 23.818
Nginx Proxy Manager
Der npm selbst ist sicher, da muss man nichts zusätzlich absichern. Zudem ist er schlank und kompakt ohne Ballast, der Lücken enthalten könnte.
Port 81 darf natürlich nicht von extern offen sein.
Extra Absicherung nur bei Diensten, auf die nicht jeder Zugreifen soll per "Authelia" mit 2FA. Grundsätzlich wäre ein VPN bei sowas natürlich ratsamer, aber VPN ist nicht immer möglich oder praktikabel.
Aber: Grundsätzlich sollte man nur Dienste per Reverse Proxy erreichbar machen, die dafür gedacht sind. Ein Vaultwarden ist z.B. dafür gedacht öffentlich erreichbar zu sein und entsprechend abgesichert. Ein PRTG Dashboard ist das nur bedingt.
Der npm selbst ist sicher, da muss man nichts zusätzlich absichern. Zudem ist er schlank und kompakt ohne Ballast, der Lücken enthalten könnte.
Port 81 darf natürlich nicht von extern offen sein.
Extra Absicherung nur bei Diensten, auf die nicht jeder Zugreifen soll per "Authelia" mit 2FA. Grundsätzlich wäre ein VPN bei sowas natürlich ratsamer, aber VPN ist nicht immer möglich oder praktikabel.
Aber: Grundsätzlich sollte man nur Dienste per Reverse Proxy erreichbar machen, die dafür gedacht sind. Ein Vaultwarden ist z.B. dafür gedacht öffentlich erreichbar zu sein und entsprechend abgesichert. Ein PRTG Dashboard ist das nur bedingt.
LuxSkywalker
Lieutenant
- Registriert
- Juli 2002
- Beiträge
- 793
Mein Nginx Proxy übernimmt auch die SSL Absicherung. Alle nachgelagerten Dienste welche Zertifikate erfordern werden vom Proxy mit Zertifikaten versorgt. Ist für mich einfacher umzusetzenLegolas schrieb:
Malaclypse17
Lt. Commander
- Registriert
- Nov. 2017
- Beiträge
- 1.448
Wenn es als VPN Ersatz dienen soll, wäre mTLS-Auth vielleicht ganz interessant.
Unterm Strich kannst du dich dann bei deinen Webseiten mit einem Zertifikat authentifizieren.
Unterm Strich kannst du dich dann bei deinen Webseiten mit einem Zertifikat authentifizieren.
KitsuneSama
Newbie
- Registriert
- Apr. 2024
- Beiträge
- 3
Ich habe mich vor ein paar Jahren für traefik entschieden aus folgenden Gründen:
- open source
- läuft als docker container
- gute Doku https://doc.traefik.io/traefik/
- unterstützt lets encrypt per DNS challenge und vielen DNS Anbietern
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.894
+1 für Traefik
ich hab schon
Am besten automatisieren konnte ich den Traefik Stack, darum würde ich den wieder nutzen falls ich etwas brauche. Aktuell laufe ich mit Cloudflare Tunnel und umgehe somit Reverse Proxies
ich hab schon
- haproxy auf einer pfsense
- Nginx Proxy Manager auf einem Webserver
- Treafik auf meinem Docker Stack zu hause genutzt
Am besten automatisieren konnte ich den Traefik Stack, darum würde ich den wieder nutzen falls ich etwas brauche. Aktuell laufe ich mit Cloudflare Tunnel und umgehe somit Reverse Proxies
Avenger84
Lt. Commander
- Registriert
- Feb. 2008
- Beiträge
- 1.733
ich hatte erst NPM als Docker und habe jetzt sowohl meinen Webserver als auch die Reverse Proxys (verschiedene Node-Red Instanzen) über einen Nginx laufen.
Beim NPM im Unraid Docker habe ich es nicht geschafft Fail2Ban zu verknüpfen.
Jetzt läuft es auf einer Ubuntu VM inkl. Fail2Ban und Certbot mit DNS Challenge👍 - Port 80 ist zu.
Gab bislang nicht einen Versuch auf die Reverse Proxys einzudringen per Login, was mich wundert. Selber habe ich Fail2Ban natürlich getestet.
Auf dem Webserver sieht es täglich so aus:
Sind solche Angriffsversuche von Bots:
Beim NPM im Unraid Docker habe ich es nicht geschafft Fail2Ban zu verknüpfen.
Jetzt läuft es auf einer Ubuntu VM inkl. Fail2Ban und Certbot mit DNS Challenge👍 - Port 80 ist zu.
Gab bislang nicht einen Versuch auf die Reverse Proxys einzudringen per Login, was mich wundert. Selber habe ich Fail2Ban natürlich getestet.
Auf dem Webserver sieht es täglich so aus:
Sind solche Angriffsversuche von Bots:
Code:
134.209.159.11 - - [05/Aug/2025:08:08:46 +0200] "GET /.env HTTP/1.1" 404 146 "-" "Mozilla/5.0; Keydrop.io/1.0(onlyscans.com/about);"
134.209.159.11 - - [05/Aug/2025:08:08:46 +0200] "GET /.env HTTP/1.1" 400 248 "-" "Mozilla/5.0; Keydrop.io/1.0(onlyscans.com/about);"
134.209.159.11 - - [05/Aug/2025:08:08:47 +0200] "GET /.git/config HTTP/1.1" 404 146 "-" "Mozilla/5.0; Keydrop.io/1.0(onlyscans.com/about);"
125.17.108.32 - - [05/Aug/2025:02:22:40 +0200] "POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1" 400 150 "-" "-"
125.17.108.32 - - [05/Aug/2025:02:22:41 +0200] "POST /cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/bin/sh HTTP/1.1" 400 150 "-" "-"
125.17.108.32 - - [05/Aug/2025:02:22:43 +0200] "POST /hello.world?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1" 404 146 "-" "Custom-AsyncHttpClient"Ähnliche Themen
