Eigene Website hosten - wie restliches Netzwerk absichern?
- Ersteller MisterY
- Erstellt am
Hi,
Ich habe einen Proxmox-Server auf Basis eines Fujitsu MX130 S2. Darin laufen u.a.
-Debian CT für Wordpress (SSL)
-UbuntuServer für Nextcloud (SSL und AES, Cert Login und fail2ban)
-und andere
Des Weiteren habe ich noch ein paar andere Server, die primär im Heimnetz bleiben (bis auf Plex). Alle VMs und Server werden, bevor die Website online geht, auf Cert-Login und Fail2ban aufgerüstet.
Es sind kaum Ports offen, eigentlich nur für Plex, Nextcloud und HTTPS. Der Rest wird per VPN verbunden, wenn ich @Work oder Unterwegs meine Hardware benötige.
Für Wordpress habe ich mir eine Domain "ABC" gekauft und das klappt soweit auch alles. Nextcloud läuft unter einer anderen Domain "XYZ". Da Nextcloud von sich aus verhindert, dass man von anderen Domains darauf zugreifen kann, bleibt eigentlich nur noch das restliche Netzwerk über.
Ich habe in Proxmox die Firewall für die Wordpress-CT so eingestellt, dass ausgehender Verkehr nur an den Router und meinen eigenen DNS-Server erlaubt wird; Verbindungen ins restliche Netz ist verboten. Eingehender Verkehr ist auch nur vom Router aus gestattet.
Nun möchte ich aber auch irgendwie verhindern, dass wenn jemand "ABC" aufruft, was ja gewollt ist, auch die anderen Dienste "sieht", "abgreift" oder sonstwie angreifen kann. Was kann ich da machen? Auch sollte kein Zugriff auf andere Rechner möglich sein, falls man in die Wordpress-CT einbrechen sollte. Reicht dafür die Firewalleinstellung aus? Oder sollte ich etwas umrüsten und ein paar weitere NICs holen und einmal IPfire, pfsense oder sophos virtualisieren und da noch mehr "filtern"?
Was kann ich noch verbessern? Antiviren-Scanner (in Wordpress? ClamAV?) Etwas anderes?
Mein Fileserver basiert auf Openmediavault 3 -> Sollte ich hier eine Firewallregel in diesem Server erstellen, die den Zugriff von der Wordpress CT verhindert?
Grüße
Ich habe einen Proxmox-Server auf Basis eines Fujitsu MX130 S2. Darin laufen u.a.
-Debian CT für Wordpress (SSL)
-UbuntuServer für Nextcloud (SSL und AES, Cert Login und fail2ban)
-und andere
Des Weiteren habe ich noch ein paar andere Server, die primär im Heimnetz bleiben (bis auf Plex). Alle VMs und Server werden, bevor die Website online geht, auf Cert-Login und Fail2ban aufgerüstet.
Es sind kaum Ports offen, eigentlich nur für Plex, Nextcloud und HTTPS. Der Rest wird per VPN verbunden, wenn ich @Work oder Unterwegs meine Hardware benötige.
Für Wordpress habe ich mir eine Domain "ABC" gekauft und das klappt soweit auch alles. Nextcloud läuft unter einer anderen Domain "XYZ". Da Nextcloud von sich aus verhindert, dass man von anderen Domains darauf zugreifen kann, bleibt eigentlich nur noch das restliche Netzwerk über.
Ich habe in Proxmox die Firewall für die Wordpress-CT so eingestellt, dass ausgehender Verkehr nur an den Router und meinen eigenen DNS-Server erlaubt wird; Verbindungen ins restliche Netz ist verboten. Eingehender Verkehr ist auch nur vom Router aus gestattet.
Nun möchte ich aber auch irgendwie verhindern, dass wenn jemand "ABC" aufruft, was ja gewollt ist, auch die anderen Dienste "sieht", "abgreift" oder sonstwie angreifen kann. Was kann ich da machen? Auch sollte kein Zugriff auf andere Rechner möglich sein, falls man in die Wordpress-CT einbrechen sollte. Reicht dafür die Firewalleinstellung aus? Oder sollte ich etwas umrüsten und ein paar weitere NICs holen und einmal IPfire, pfsense oder sophos virtualisieren und da noch mehr "filtern"?
Was kann ich noch verbessern? Antiviren-Scanner (in Wordpress? ClamAV?) Etwas anderes?
Mein Fileserver basiert auf Openmediavault 3 -> Sollte ich hier eine Firewallregel in diesem Server erstellen, die den Zugriff von der Wordpress CT verhindert?
Grüße
tomturbo
Technische Administration, Dinosaurier
Über einen Router mit portforwarding und Nat kann das restliche Netz prinzipiell nicht erreicht werden.
Daher Ist dieses auch nicht gefährdet.
Ein nicht veröffentlichtes Port kann nicht angegriffen werden.
Nat kann von außen nicht überwunden werden.
Eine Firewall am Router ist noch am sinnvollsten.
Daher Ist dieses auch nicht gefährdet.
Ein nicht veröffentlichtes Port kann nicht angegriffen werden.
Nat kann von außen nicht überwunden werden.
Eine Firewall am Router ist noch am sinnvollsten.
Zuletzt bearbeitet: