Wie kann ich am besten die offenen Ports in meinem Netz sichern?

Ich habe angefangen zu Hause meinen eigenen Server zu betreiben und habe deswegen Ports in meinem Router geöffnet. Nun möchte ich sie absichern, damit sie zwar ihre Funktion nicht verlieren, aber kein Risiko in meinem Netz sind. Leider weiß ich nicht viel von Security und bräuchte deswegen vielleicht 1–2 Tipps wie ich eine Firewall daran packen kann. Der Server läuft auf Proxmox und die einzelnen Server sind kleine Linux Container. In meinem Router sind die Ports nur für die einzelnen Container und nicht für den gesamten Server. Im Container läuft bis auf das FTP alles per Docker. Kann ich per Docker eine Paketfirewall dran bauen, welche z.B. meinen Minecraft oder Teamspeak Server nicht beeinträchtigen, aber die Ports so absichern, dass nicht jeder in mein Netz kommen kann und tun und lassen kann, was er will?

2 Antworten

skiddy

26.02.2024, 08:42

Um deinen Server etwas abzusichern, musst du nicht unbedingt eine VM mit pfsense, OPNsense o.ä. aufsetzen. Dafür kannst du auch schon die inbuilt Firewall von Proxmox verwenden.

Zusätzlich wäre es gut sich ggf. in Programme wie fail2ban oder crowdsec reinzulesen und zu implementieren.

Des Weiteren solltest du natürlich versuchen Serverzugriff soweit wie möglich zu beschränken. Z.B. entsprechende Benutzer einrichten, die bestimmte Services übernehmen und eingeschränkten bis gar keinen Root-Zugriff z.B. mittels sudo besitzen.

Das wären beispielsweise ein paar Maßnahmen, um sich schon mal zu schützen.

MoDindustries

Fragesteller

26.02.2024, 12:04

Auf dem Server direkt kann keiner was machen ausser mir. Mir geht es wirklich nur um die ports. Weißt du ob die inbuilt Firewall von proxmox reicht wenn ich ports freigebe? Immerhin haben sie kein ftp Zugang und sonst läuft nurnoch der Server selbst. Aber danke dir auf jedenfall.

skiddy

26.02.2024, 14:20

@MoDindustries

Mit deinem ersten Satz muss man immer aufpassen. Es gibt genügend Beispiele, wie Kriminelle schon unterschiedliche Zugriffe (auch auf Systeme) erhalten haben, indem sie eine Schwachstelle in einer Software ausgenutzt haben. Das ist bei nach außen gerichteten Diensten nicht zu vernachlässigen.

Du kannst mit der Proxmox Firewall Zugriffe auf deine VMs und LXCs einschränken und nach außen (außerhalb des Proxmox Servers!) erreichbar machen. Damit aber Außenstehende auf Services deines Proxmox Servers zugreifen können ist meistens ein Port-Forwarding in deinem ISP-Router notwendig.

saxomaniac

25.02.2024, 21:47

Ich würde mir in einer zusätzlichen VM einfach eine Firewall wie zum Beispiel pfSense installieren. Dann könntest du allen Traffic auf die Firewall schicken und dort dann die einzelnen Ports für deine Anwendungen frei geben. Idealerweise baust du dir eine DMZ. Um dich in das Thema einzuarbeiten, könntest du dir mal die YouTube-Videos von Dennis Schröder (RaspberryPiCloud) ansehen.

Woher ich das weiß:Berufserfahrung

skiddy

26.02.2024, 08:37

Vorausgesetzt der FS hat ne weitere NIC oder nen USB zu RJ45 Dongle.

Ähnliche Fragen

Port443 und 80 mehrmals nutzen?

Hallo,

ich habe das problem das Mein nextcloud auf port 80 bzw 443 läuft jetzt möchte ich aber Vaultwarden (bitwarden) im docker installiern. hab dann vom docker aber den error bekommen das port .0.0.0.0:80 schon gebunden ist.

Jetzt meine frage, es muss doch ne möglichkeit geben das trotzdem zu installieren.

mein OS ist ubuntu server

...zur Frage

SSL auf Raspberry Pi für Nextcloud in Docker Container?

Ich habe auf meinem Raspberry Pi 4 Casa OS installiert. Darin läuft unter anderem eine NextCloud-Instanz.

Von Aussen (aka Internet) kann ich über domain.de:5011 zugreifen. Der Router leitet den Port zu meinem Raspberry Pi auf den Port von der NextCloud weiter. Das Problem ist, dass die Verbindung noch unverschlüsselt ist.

Ich habe bereits auf x verschiedene Wege versucht SSL über den Nginx Proxy Manager einzurichten. Das einzige, das mir (irgendwie) gelungen ist, ist ein Zertifikat zu erstellen. Aber das höchste aller Gefühle war dann immer eine Bad-Gateway-Fehlermeldung.

Weiss jemand, wie ich eine verschlüsselte Verbindung entsprechend einrichten kann bei meinem Setup:

"domain.de:5011". Von Aussen habe ich diesen Port im Router zur Verfügung.
Nextcloud ist in einem Docker Container installiert (Port 10081)
Nginx Proxy Manager in einem Docker Container hört auf dem Port 80 und 443 zu (Admin Panel auf Port 81)

Vielleicht noch als Nebeninformation. Im gleichen Netzwerk laufen auch Synology-Services, die jedoch verschlüsselt arbeiten und ebenfalls über 5000-er Ports von aussen erreichbar sind. (In den Tutorials, die ich gefunden habe, wurde die SSL-Einrichtung im Nginx Proxy Manager nie über Ports ermöglicht. Erschweren diese Ports das Ganze?)

Ich verstehe wirklich nicht, wie ich das am besten einrichten soll. Kann man den Raspberry Pi "allgemein" verschlüsselt kommunizieren lassen (soll heissen, dass auch der Traffic im lokalen Netz bereits verschlüsselt ist. Das ist bei den Synology-Services so.) oder geht es einfacher, wenn nur der Traffic nach aussen verschlüsselt ist?

Vielen Dank im Voraus :) Ich bin wirklich langsam überfragt...

...zur Frage

Offener Port im Heimnetzwerk?

Hallo,

ich habe mir daheim aus einem alten PC einen Nextcloud Server gebaut. Diesen möchte ich gerne von außen erreichen, und habe hierfür in der FritzBox den Port freigeben (Haben den Standard Port zu einem anderen geändert).

Das ganze läuft über DuckDNS, dass man nicht immer die IP die sich ändert neu bei dem Client eingeben muss.

Jetzt meine Frage, ist das sicher? Der Nextcloud Server läuft in Docker und hat ein SSL Zertifikat.

Mit geht es halt um den offenen Port, aber der verweist auf den Server und da sollte ja nichts passieren oder?

Danke schon mal im Voraus!

VG Paul

...zur Frage

wie einzelne ports weiterleiten zu vpn server?

ich habe jetzt auf einem vserver einen wireguard server in docker aufgesetzt der auch so funktioniert wie er soll, jetzt habe ich noch einen zweiten server dessen ports nicht öffentlich sein sollen, sondern nur bestimmte ports über den wireguard server erreichbar sein sollen, wie erreiche ich das am besten?

...zur Frage

Proxmox Container in der DMZ erreichen?

Moin,

ich habe mir eine DMZ aufgebaut mit 2 Routern. Hinter dem ersten Router sollen alle VMs und Container laufen die von außen erreichbar sein sollen.

Hinter dem 2. Router ist der Proxmox Host selber damit ich auf die WEB-UI komme.

Jetzt habe ich einen Container in der DMZ aufgesetzt und kann diesen nicht mit der Konsole steuern.

Hat jemand eine Idee wie ich von meinem Heimnetz(2. Router) über die WEB-UI von Proxmox auf den Container zugreifen kann in der DMZ?

...zur Frage

port läst scih nicht richtig freigeben?

Hallo ich habe heute den port 25565 bei miener fritzbox freigegebn damit mein minecraft server richtig funktioniert. allerdings sagen alle portsacanner immer das der port geschlossen ist ich weiß aber nicht warum. man kann auch nicht aus einem anderen netz mit dem minecraftserver sich verbinden. kann mir jemand helfen und sagen was das problem sein könnte?

...zur Frage

IPv4 funktioniert bei Minecraft Server nicht - Spieler können nicht joinen?

Moin ihr Lieben,

ich habe mir einen 1.19.2 Minecraft-Server auf Windows 10 Home erstellt, die Ports in meiner Fritz!Box freigegeben (Meinen PC ausgewählt wo der Server läuft und TCP + UDP 25565) und zusätzlich die Ports auch in der Windows Firewall freigegeben bei Aus- und Eingehend mit jeweils wieder TCP + UDP 25565. Trotzdem kann man nicht mit meiner öffentlichen IPv4 Adresse joinen bzw. auch nicht mit der angegebenen DynDNS von NO-IP.

Würde mich sehr freuen, wenn mir jemand sagen könnte woran das liegt und ob es vielleicht einfacher ist einen Server über Linux laufen zu lassen.

...zur Frage

Port Forwarding bei Vofadone Station?

Ich wollte einen Server erstellen und muss ja dafür die Ports auf meinem Router freigeben. Ich wollte fragen wie man das macht mit einem Vodafone Station Router. Ich hab gehört, dass es nicht möglich ist weil der Router keine native IPv4-Adresse hat. Trotzdem wollte ich fragen ob sich jemand damit auskennt und ob es doch eine Möglichkeit gibt, Port Forwarding durchzuführen, ich kenn mich mit dem Thema nicht so gut aus. Vielen Dank schonmal im Voraus.

...zur Frage

Ich kann meinen eigenen Minecraft Server nicht joinen?

Hallo! Ich habe mir einen Minecraft Server mit einen alten Laptop erstellt, weil ich gerne mit meinen Freunden spielen möchte. Weder mein Freund kann mit (Öffentliche IP):25565 beitreten, noch ich kann mit 192.168.0.102 beitreten. Auf dem Laptop läuft Ubuntu. Auf meinem Router habe ich den Port 25565 schon eröffnet. Wenn ich eine Port Checker tool hernehme und teste, steht da, dass der Port geschlossen ist. Ich habe den Port auch bei Ubuntu via ufw schon freigegeben. Weiß jemand warum das so ist? Danke! (BTW: Mein Router ist Drei Neo und der Anbieter Drei-AT).

...zur Frage

Wie kann ich auf meinen DNS-Server im "Subnet" zugreifen?

Hallo, hier gibt es folgende Konstellation:
Eine Fritzbox dient als Router und hostet das Primärnetz. Wie Fritzen das standardmäßig machen, ein 192.168.178.0/24 Netz.
In diesem Netz hängt an einer fixen IP-Adresse ein Asus-Router, der ein 192.168.1.0/24er Netz hostet. In diesem hängt per statischer IP ein DNS-Server - dieser soll auch aus dem 178-er Netz erreichbar sein.

Wie kann ich diesen vernünftig freigeben?

Der Asus-Router unterstützt WAN-DMZ, muss ich das nutzen?
Kann ich das nur per Portfreigabe einrichten? An welchem Router müsste ich dann was einstellen?

Mir ist klar, dass es kein echtes Subnet ist sondern lediglich ein kaskadiertes System. Müsste doch trotzdem gehen (hoffentlich?)

...zur Frage

PFSense - Routing mit WireGuard?

Guten Tag,

ich habe einen Hetzner-Server mit PFSense und Proxmox. Alles schön und gut, läuft soweit. Jetzt möchte ich einen Server mit WireGuard anbinden. Die WireGuard-Verbindung steht, allerdings time ich aus, wenn ich eine Verbindung aufbauen möchte. Es lief einmal kurz, allerdings nach dem 2. Peer nicht mehr. Ich vermute, dass es am Routing liegt, allerdings habe ich davon keine Ahnung. Das Server-Netz hinter der PFSense hat das Subnet 10.10.1.0/24 und das Wireguard-Netz das Subnet 10.30.1.0/24. Welche Gateways/Routen muss ich an der PFSense anlegen, damit ich auf das Server-Netz hinter der PF zugreifen kann über WireGuard?

Danke für jede Hilfe!
LG

...zur Frage

Wie groß ist das Risiko, einen WireGuard Server zu hosten?

Ich überlege einen WireGuard Server zu hosten, um von unterwegs Zugriff auf mein Heim-Netz zu haben. Dafür muss ich natürlich einen Port öffnen. Wie groß ist das Risiko eines Angriffs?

Ich könnte den Server entweder auf dem Router (OpenWRT) hosten, oder auf einem anderen Gerät im Netz. Welche Variante würdet ihr vorziehen?

...zur Frage

PiHole Docker einrichten?

Ich habe mein PiHole eingerichtet, aber noch leichte Probleme leider.

Habe mein PiHole mit Portainer auf docker laufen

Nutze folgendes Skript:

version: "3"


# More info at https://github.com/pi-hole/docker-pi-hole/ and https://docs.pi-hole.net/
services:
  pihole:
    container_name: pihole
    image: pihole/pihole:latest
    # For DHCP it is recommended to remove these ports and instead add: network_mode: "host"
    ports:
      - "53:53/tcp"
      - "67:67/udp" # Only required if you are using Pi-hole as your DHCP server
      - "88:80/tcp"
    environment:
      TZ: 'Europe/Berlin'
      WEBPASSWORD: "xxx"
    # Volumes store your data between container upgrades
    volumes:
      - './etc-pihole:/etc/pihole'
      - './etc-dnsmasq.d:/etc/dnsmasq.d'
    #   https://github.com/pi-hole/docker-pi-hole#note-on-capabilities
    cap_add:
      - NET_ADMIN # Required if you are using Pi-hole as your DHCP server, else not needed
    restart: unless-stopped

Habe dann in meiner Fritzbox meine IPv4 Adresse als DNS eingetragen, aber es geht nicht. Ich vermute es daran, dass er den IPv6 weg geht. Was muss ich tun damit er den PiHole als DNS nutzt? Nutze Ubuntuserver als Basis

...zur Frage

Welche ports muss ich in der Fritzbox freigeben?

Ich habe 2 server eimal einen mit open mediavault und einen docker server auf dem caddy drauf läuft weis jemand was für ports ich da in der Fritzbox freigeben muss und wie das geht also ob HTTP oder HTTPS benutzen muss und was es da halt noch zur auswahl gibt

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen