Ich lese mich gerade in das Thema Caddy ein und bin dann auf diese Seiten gestossen Caddy WAF Middleware und Secure Caddy with Crowdsec Darf ich mal fragen welche Proxys Ihr so nutzt?
Reverse Proxy - welcher und wie absichern?
- Ersteller Legolas
- Erstellt am
LuxSkywalker
Lieutenant
- Registriert
- Juli 2002
- Beiträge
- 832
Nginx als Proxy und als Webserver
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 24.862
Nginx Proxy Manager
Der npm selbst ist sicher, da muss man nichts zusätzlich absichern. Zudem ist er schlank und kompakt ohne Ballast, der Lücken enthalten könnte.
Port 81 darf natürlich nicht von extern offen sein.
Extra Absicherung nur bei Diensten, auf die nicht jeder Zugreifen soll per "Authelia" mit 2FA. Grundsätzlich wäre ein VPN bei sowas natürlich ratsamer, aber VPN ist nicht immer möglich oder praktikabel.
Aber: Grundsätzlich sollte man nur Dienste per Reverse Proxy erreichbar machen, die dafür gedacht sind. Ein Vaultwarden ist z.B. dafür gedacht öffentlich erreichbar zu sein und entsprechend abgesichert. Ein PRTG Dashboard ist das nur bedingt.
Der npm selbst ist sicher, da muss man nichts zusätzlich absichern. Zudem ist er schlank und kompakt ohne Ballast, der Lücken enthalten könnte.
Port 81 darf natürlich nicht von extern offen sein.
Extra Absicherung nur bei Diensten, auf die nicht jeder Zugreifen soll per "Authelia" mit 2FA. Grundsätzlich wäre ein VPN bei sowas natürlich ratsamer, aber VPN ist nicht immer möglich oder praktikabel.
Aber: Grundsätzlich sollte man nur Dienste per Reverse Proxy erreichbar machen, die dafür gedacht sind. Ein Vaultwarden ist z.B. dafür gedacht öffentlich erreichbar zu sein und entsprechend abgesichert. Ein PRTG Dashboard ist das nur bedingt.
LuxSkywalker
Lieutenant
- Registriert
- Juli 2002
- Beiträge
- 832
Mein Nginx Proxy übernimmt auch die SSL Absicherung. Alle nachgelagerten Dienste welche Zertifikate erfordern werden vom Proxy mit Zertifikaten versorgt. Ist für mich einfacher umzusetzenLegolas schrieb:
Malaclypse17
Lt. Commander
- Registriert
- Nov. 2017
- Beiträge
- 1.470
Wenn es als VPN Ersatz dienen soll, wäre mTLS-Auth vielleicht ganz interessant.
Unterm Strich kannst du dich dann bei deinen Webseiten mit einem Zertifikat authentifizieren.
Unterm Strich kannst du dich dann bei deinen Webseiten mit einem Zertifikat authentifizieren.
KitsuneSama
Newbie
- Registriert
- Apr. 2024
- Beiträge
- 4
Ich habe mich vor ein paar Jahren für traefik entschieden aus folgenden Gründen:
- open source
- läuft als docker container
- gute Doku https://doc.traefik.io/traefik/
- unterstützt lets encrypt per DNS challenge und vielen DNS Anbietern
LieberNetterFlo
Rear Admiral
- Registriert
- Feb. 2006
- Beiträge
- 5.929
+1 für Traefik
ich hab schon
Am besten automatisieren konnte ich den Traefik Stack, darum würde ich den wieder nutzen falls ich etwas brauche. Aktuell laufe ich mit Cloudflare Tunnel und umgehe somit Reverse Proxies
ich hab schon
- haproxy auf einer pfsense
- Nginx Proxy Manager auf einem Webserver
- Treafik auf meinem Docker Stack zu hause genutzt
Am besten automatisieren konnte ich den Traefik Stack, darum würde ich den wieder nutzen falls ich etwas brauche. Aktuell laufe ich mit Cloudflare Tunnel und umgehe somit Reverse Proxies
Avenger84
Lt. Commander
- Registriert
- Feb. 2008
- Beiträge
- 1.802
ich hatte erst NPM als Docker und habe jetzt sowohl meinen Webserver als auch die Reverse Proxys (verschiedene Node-Red Instanzen) über einen Nginx laufen.
Beim NPM im Unraid Docker habe ich es nicht geschafft Fail2Ban zu verknüpfen.
Jetzt läuft es auf einer Ubuntu VM inkl. Fail2Ban und Certbot mit DNS Challenge👍 - Port 80 ist zu.
Gab bislang nicht einen Versuch auf die Reverse Proxys einzudringen per Login, was mich wundert. Selber habe ich Fail2Ban natürlich getestet.
Auf dem Webserver sieht es täglich so aus:
Sind solche Angriffsversuche von Bots:
Beim NPM im Unraid Docker habe ich es nicht geschafft Fail2Ban zu verknüpfen.
Jetzt läuft es auf einer Ubuntu VM inkl. Fail2Ban und Certbot mit DNS Challenge👍 - Port 80 ist zu.
Gab bislang nicht einen Versuch auf die Reverse Proxys einzudringen per Login, was mich wundert. Selber habe ich Fail2Ban natürlich getestet.
Auf dem Webserver sieht es täglich so aus:
Sind solche Angriffsversuche von Bots:
Code:
134.209.159.11 - - [05/Aug/2025:08:08:46 +0200] "GET /.env HTTP/1.1" 404 146 "-" "Mozilla/5.0; Keydrop.io/1.0(onlyscans.com/about);"
134.209.159.11 - - [05/Aug/2025:08:08:46 +0200] "GET /.env HTTP/1.1" 400 248 "-" "Mozilla/5.0; Keydrop.io/1.0(onlyscans.com/about);"
134.209.159.11 - - [05/Aug/2025:08:08:47 +0200] "GET /.git/config HTTP/1.1" 404 146 "-" "Mozilla/5.0; Keydrop.io/1.0(onlyscans.com/about);"
125.17.108.32 - - [05/Aug/2025:02:22:40 +0200] "POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1" 400 150 "-" "-"
125.17.108.32 - - [05/Aug/2025:02:22:41 +0200] "POST /cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/bin/sh HTTP/1.1" 400 150 "-" "-"
125.17.108.32 - - [05/Aug/2025:02:22:43 +0200] "POST /hello.world?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1" 404 146 "-" "Custom-AsyncHttpClient"bob der baumeis
Newbie
- Registriert
- Nov. 2023
- Beiträge
- 3
Warum ich von Nginx Proxy Manager auf Caddy & NixOS gewechselt bin
Hi zusammen,
sehr spannendes Thema! Ich war früher selbst in der "Docker + NPM" oder "Traefik" Hölle gefangen. Genau wie @Avenger84 hatte ich riesige Probleme, Fail2Ban sauber mit NPM im Docker zu verknüpfen, weil entweder die Log-Pfade nicht gestimmt haben oder das Docker-Netzwerk die echten Quell-IPs verschleiert hat.
Ich habe vor einer Weile mein komplettes Heimnetzwerk auf NixOS umgebaut und setze dort auf Caddy als nativen System-Dienst (ohne Docker). Ich kann euch sagen: Das ist ein absoluter Gamechanger für die Sicherheit.
Wie ich das aktuell absichere:
Falls jemand mal den "NixOS-Way" für Caddy ausprobieren will, kann ich gerne Snippets teilen!
Hi zusammen,
sehr spannendes Thema! Ich war früher selbst in der "Docker + NPM" oder "Traefik" Hölle gefangen. Genau wie @Avenger84 hatte ich riesige Probleme, Fail2Ban sauber mit NPM im Docker zu verknüpfen, weil entweder die Log-Pfade nicht gestimmt haben oder das Docker-Netzwerk die echten Quell-IPs verschleiert hat.
Ich habe vor einer Weile mein komplettes Heimnetzwerk auf NixOS umgebaut und setze dort auf Caddy als nativen System-Dienst (ohne Docker). Ich kann euch sagen: Das ist ein absoluter Gamechanger für die Sicherheit.
Wie ich das aktuell absichere:
- Kein Docker-Routing-Chaos mehr: Caddy läuft nativ. Dadurch landen alle Access-Logs perfekt formatiert direkt im journald des Systems. Fail2Ban überwacht einfach nativ das Journal. Erkennt Fail2Ban Bots, die meine Login-Seiten scannen, bannt es die echte IP sofort auf Kernel-Ebene über die Firewall (nftables). Keine Docker-Netzwerk-Brücken, die dazwischenfunken.
- Unix Domain Sockets (UDS) statt offener Ports: Viele meiner Backend-Dienste (z.B. Vaultwarden) lauschen gar nicht mehr auf einem TCP-Port (wie localhost:8080). Stattdessen nutzen sie Unix Sockets. Caddy leitet die Anfragen direkt über eine .sock Datei im Arbeitsspeicher an das Backend weiter. Ein Angreifer, der irgendwie ins lokale LAN kommt, kann die Backend-Dienste nicht mal "sehen" oder port-scannen.
- Zentrale Security-Header: Da in NixOS alles deklarativer Code ist, habe ich mir ein kleines Helper-Modul geschrieben. Ich füge bei jedem Dienst (egal ob Jellyfin, Paperless oder HomeAssistant) einfach eine Zeile wie extraConfig = caddy.proxy port; ein. Das injiziert automatisch:
- Strikte TLS-Konfiguration
- Strict-Transport-Security (HSTS)
- X-Frame-Options DENY
- X-Content-Type-Options nosniff
Falls jemand mal den "NixOS-Way" für Caddy ausprobieren will, kann ich gerne Snippets teilen!
Ähnliche Themen
