Debian Server Ports öffnen / UFW

[Geeky26]

Das FAQ (https://www.computerbase.de/forum/threads/faq-haeufig-gestellte-fragen.69368/) habe ich gelesen.

Mein System hat Wireguard-Server installiert, mein Smartphone den Client. Sagen wir mal Port X.
Dann gibt es für die Windows-Clients auf dem Server Samba-Shares. Samba ist ja Port Y.
Dann gibt es noch Jellyfin, Webmin und PiHole-spezifische Sachen.

Ich habe UFW jetzt folgendermaßen eingestellt.
- Port 80 für das PiHole-Interface ist aktuell nur für das LAN zugänglich
-- ich würde das aber auch gerne von außerhalb per VPN aufrufen können

• Port 53 und 5335, auch PiHole-spezifisch, sind nur für das LAN offen
• Port "Jellfin" ist nur für das LAN offen, würde das aber auch gerne außerhalb offen sehen
• Port SSH und Z (Webmin-Interface), sind nur für das LAN offen

-- Webmin würde ich auch gerne von außerhaln per VPN aufrufen können
- Port Y (Samba Shares) und Port "X" (Wireguard-Server) sind für alle von außen offen

Wäre es sehr unsicher, Port 80 (PiHole-Webinterface), Z (Webmin-Webinterface) und Jellyfin für Außen zu öffnen?
Wenn ich unterwegs bin, möchte ich gerne auf Jellyfin zugreifen. Für Notfälle gerne auch mal auf PiHole.

Ich dachte eigentlich, wenn ich den Wireguard-Port öffne (Portforwarding in der FritzBox), kann ich auf all den Rest zugreifen, da ich mich dann ja so gesehen "im LAN" befinde.

 

[madmax2010]

Ich dachte eigentlich, wenn ich den Wireguard-Port öffne (Portforwarding in der FritzBox), kann ich auf all den Rest zugreifen, da ich mich dann ja so gesehen "im LAN" befinde.

Ja, das geht auch so. Woran scheiterst es? Hast du Wireguard auf deinem "Unterwegs GEraet?"

Wäre es sehr unsicher, Port 80 (PiHole-Webinterface), Z (Webmin-Webinterface) und Jellyfin für Außen zu öffnen?

Einen Port zu öffnen ist per se nie sicher oder unsicher. Wenn dahinter eineAnwendung erreichbar ist, und diese auf diesem Weg angreifbar ist, ist sie relativ sicher nicht als sicher betreibbar zu betrachten. Sind keine Schwachstellen der Anwendung bekannt, kann man den Betrieb vertreten. Machen ja Millionen von websites

 

[Geeky26]

Die Wireguard-App ist auch auf dem Handy. Wenn ich nur Port X (Wireguard) in UFW eintrage (sudo ufw allow X) und sonst nichts, kann ich nicht auf PiHole, Jellyfin und Webmin zugreifen. Das geht erst wenn ich dann noch die entsprechenden Ports in UFW eintrage.

Im LAN selber habe ich dann auch keinen Zugriff mehr auf das PiHole Webinterface.
UFW habe ich so eingestellt, dass alles blockiert wird außer das, was ich zulasse.

 

[redjack1000]

Wäre es sehr unsicher, Port 80 (PiHole-Webinterface), Z (Webmin-Webinterface) und Jellyfin für Außen zu öffnen?

Jeder Port der nach außen geöffnet wird und erreichbar ist, ist angreifbar, ob da Port 80 oder Port 8196 für Jellyfin ist, ist unerheblich.

Port Y (Samba Shares) und Port "X" (Wireguard-Server) sind für alle von außen offen

Die Freigaben vom SMB Server sind online, für alle, erreichbar?

CU
redjack

 

[Mojo1987]

Ein Netzwerkschema mit IP Bereichen wäre Hilfreich.
Grundsätzlich benötigt man keine Freigaben nach Extern wenn man via VPN auf ein System zugreift, das ist ja der Sinn daran und du solltest auch keine der genannten Anwendungen direkt ins Internet stellen.

Mir ist nicht ganz klar welche Rolle hier die Firewall überhaupt spielt und wie das ganze verbunden ist.
Der Wireguard Server scheint ja intern zu sein, das bedeutet das man in den Anwendungen selbst ggf. noch den Zugriff vom Wireguard IP Bereich erlauben muss. Die Firewall hat damit erstmal nichts zutun, eigentlich.

Daher bitte einmal das Schema aufzeigen.

 

[Geeky26]

Die Freigaben vom SMB Server sind online, für alle, erreichbar?

Nein.

Daher bitte einmal das Schema aufzeigen.

Ich weiß nicht genau, was jetzt gemeint ist.
Das sind alles Standard-Installationen.

Wenn ich zurück bin gucke ich mir das hier mal an: https://nathandavis.io/2021/04/14/pihole-plus-wireguard.html

Vielleicht ist es ja das, was ich brauche. 80 für bspw. das PiHole-Webinterface nur für das Wireguard-Subnet und das LAN öffnen.

 

[madmax2010]

Ich weiß nicht genau, was jetzt gemeint ist.

du sollst dein netzwerrk zeichnen

Vielleicht ist es ja das, was ich brauche. 80 für bspw. das PiHole-Webinterface nur für das Wireguard-Subnet und das LAN öffnen.

ja, du musst die Ports fuer die netze aus denen darauf zugegriffen werden soll freigeben

 

[Geeky26]

Ich bin gleich zurück. Ich mache das dann mal. Etwa in 2 Stunden.

 

[Hammelkopp]

Ist denn dein Server bzw. deine zu erreichende LAN IPs korrekt in der Wireguard Config hinterlegt?

 

[Geeky26]

Also ich weiß nicht genau was ich zeichnen sollte, sowas hier?

Zusammenfassung:
alles funktioniert so wie es sollte. Ich dachte mir nur, ich installiere die UFW-Firewall noch zusätzlich.
In der FritzBox ist einzig und allein der Wireguard-Port freigegeben.
Mit der UFW blocke ich erstmal alles und gebe dann die Ports frei die notwendig zu sein scheinen. Das sind dann die o.g. für die o.g. Dienste. Aber scheinbar ist das wohl nicht notwendig und es muss nur der Wireguard-Port freigegeben werden. Mache ich aber nur das, kann ich kein PiHole-Webinterface (80), kein Webmin-Webinterface (Port 10000) und kein Jellyfin mehr aufrufen.

 

[Hammelkopp]

Warum terminierst du dein Wireguard VPN nicht auf der Fritzbox? Dann kannst du dir die Portfreigabe sparen. Weiterhin frag ich mich, was du mit der Firewall auf dem Server vor hast? Hast du Clients im Netz, die darauf nicht zugreifen sollen / dürfen? Alles von außen blockt ja bereits die Fritzbox weg.

 

[Geeky26]

Warum terminierst du dein Wireguard VPN nicht auf der Fritzbox?

Muss ich mal ausprobieren.

Hast du Clients im Netz, die darauf nicht zugreifen sollen / dürfen? Alles von außen blockt ja bereits die Fritzbox weg.

Jein. Ich habe ein Gast-WLAN-Netz aktiv mit einem ganz anderen IP-Bereich. Eigentlich haben die keinen Zugriff auf den Server. Die gehen auch nicht über den PiHole.

Ich dachte immer nur, eine Firewall braucht man.

 

[Hammelkopp]

Also wenn die keinen Zugriff haben dann ist ok. Die Firewall brauchst du, wenn du halt bestimmte IPs von bestimmten Diensten aussperren willst (es gibt noch ein paar weitere Anwendungsfälle aber das würde hier zu weit führen). Wenn du aber eh jeden Port in der Firewall frei gibst hinter dem auch ein Dienst lauscht, dann kannst du dir die Firewall auch sparen. Die macht deinen Server dann auch nicht sicherer. Achte dann lieber drauf, dass deine Dienste sauber abgesichert sind - d.h. sicheres SMB Protokoll, nur authentifiziert und so weiter.

 

[Geeky26]

Meine Samba-Freigaben sind alle so eingestellt, dass nur bestimmte Nutzer Zugriff darauf haben.

Wireguard habe ich jetzt auf der FB eingestellt, DynDNS war ja vorher schon konfiguriert.
Auf meinem Webserver (netcup) ist eine Datei, die von der FB aufgerufen wird, damit bei meiner Domain die IP in einem DNS-Record gesetzt wird.
Wie oft ruft die FB diese Datei denn auf? Mein Server hat das per cron alle 3 Stunden gemacht.

 

[redjack1000]

Wie oft ruft die FB diese Datei denn auf?

Schau mal in Logfile vom Webserver, da kannst Du sehen, wann die Datei aufgerufen wird.

CU
redjack

 

[Hammelkopp]

Die Fritzbox selbst hat sonst auch einen eigenen DDNS Dienst. Dann nimmst du halt den Namen für dein VPN.

 

[Geeky26]

Die FritzBox ist jetzt für Wireguard zuständig, funktioniert auch sehr gut.

Eine letzte Frage wohl noch. Wenn ich UFW wieder installiere, die von mir benötigten Ports öffne aber nur den IP-Bereich meines Netzwerks für Anfragen zulasse - würde das irgendetwas bringen?

 

[Hammelkopp]

Wenn du versehentlich den Server nach außen (teilweise oder komplett) veröffentlichst ja, wenn jedoch nichts von außen auf den Server darf, eher nicht. Es bleibt ja wie gesagt alles an der Fritzbox hängen. Und innen hast du ja gesagt, gäbe es zusätzlich nur ein Gast Netz, welches jedoch keinen Zugriff auf dein internes Netz hat.

 

[Geeky26]

Genau. Das Haupt-Netzwerk dürfen nur wir mit den PCs und Handys benutzen.
Kommen irgendwelche Gäste, vollkommen egal wer, gehts ins Gast-Netz. Klingt vielleicht übertrieben, aber anderen Handys als den unseren traue ich nicht.

Wenn du versehentlich den Server nach außen (teilweise oder komplett) veröffentlichst ja, wenn jedoch nichts von außen auf den Server darf, eher nicht.

Ich denke das versehentliche Öffnen dürfte nicht passieren. Von Außen dürfen nur wir über Wireguard drauf.

 

[Hammelkopp]

Nein finde ich überhaupt nicht übertrieben. Bei vielen gibt es mittlerweile nen Haufen Smart Home Geräte, vielleicht auch offene Netzwerk Shares (da viele es ggf. nicht besser wissen) im Netz. Wenn jetzt irgendwie dein PSK für dein WLAN nirgendwo abhanden kommt, kann sich jeder Dulli von der Straße in dein Netz einklinken und ggf. deine Rolläden öffnen oder was auch immer. Klar kann man das alles absichern wenn man das Know-how und die technischen Mittel hat, aber mal ehrlich, wieviel Prozent der Leute können das und wollen sich damit beschäftigen. Für die meisten gibt's ein Netzwerk und da wir alles reingepackt.

Daher finde ich es gut, dass die Fritte den Gastzugang schon seit einer gefühlten Ewigkeit anbietet. Imho ein sehr wichtiges Feature!