Frage zu Firewall auf Proxmox der auf einem VPS läuft

[SeniorY]

Hallo zusammen,
vorweg, ich bin nicht so sehr bewandert, was Firewall und Networking angeht. Bitte seid lieb zu mir

Da ich häufig mit öffentlichen WLAN verbunden bin läuft zu Hause ein VPN Server. Alles gut. Als Backup und zum lernen, habe ich dann auf YT die Konfiguration von SemperVideo nachgestellt. Bedeutet:
1€ Server bei 1Blu. Auf diesem läuft Proxmox. Zwei LXC Container - Docker und PiHole. Im Docker dann Wireguard.

Das Setup läuft einwandfrei. Zum absichern habe ich für die GUI 2FA aktiviert und nutze ein starkes Passwort. Für SSH hab ich fail2ban sowie ssh-audit benutzt.

Meine Fragen:
1) Wenn ich auf Datacenter Ebene die Firewall aktiviere und Port 22 und 8006 freigebe kann ich mich weiterhin wie erwartet über SSH und GUI einloggen. Wireguard funktioniert dann aber wie zu erwarten nicht mehr. Hier habe ich keinen Plan, wie ich die Firewall konfiguren müsste, damit der Traffic läuft. Hab ein paar Sachen erfolglos probiert und finde nichts dazu im Netz.

2) Shodan zeigt mir, dass neben Port 22 auch 111 und 3128 erreichbar ist. Das sind ja standart Ports, die Proxmox verwendet. Ist das ok so? Hatte mal versucht 111 und 3128 per Firewall zu schließen, hat aber anscheinend keinen Effekt.

3) Ist für meinen Usecase überhaupt die Proxmox Firewall nötig? Welche Angriffsvektoren wären ohne offen?

Beste Grüße!

 

[Simanova]

1)

Hier habe ich keinen Plan, wie ich die Firewall konfiguren müsste, damit der Traffic läuft.

Port UDP: 51820 für Wireguard

2) 22 SSH, 111 NFS, 3128 Proxmox SPICE console
Du kannst die Ports schließen wenn du die Features nicht nutzt. Anonsten offen lassen.

3) Nein lass offen. Gönn den lieben Hackergruppen aus Russland und China eine kleine Heimat für ihre niedlichen Botnetzwerke ...

 

[SeniorY]

Port UDP: 51820 für Wireguard

so auf Datacenter Ebene eingetragen. Danach funktioniert WIreguard nicht mehr.

 

[s1ave77]

Hatte testhalber den SSH-Port meines Servers direkt exponiert. Hab' mir das Drama 3 Tage angesehen und wieder geschlossen. Fail2Ban rannte im Dauerlauf, um mit dem blocken hinterherzukommen. Funktioniert zwar, nervt aber und bindet erstaunlich viele Resourcen.

Habe dann meine Guacamole-Instanz so eingerichtet, daß neben RPC auch SSH funktioniert. Das Ganze in Traefik mit OAuth2 und zusätzlicher MFA.

 

[Bob.Dig]

Zeig doch mal dein komplettes Netzwerk in Proxmox. Und ich muss gestehen, diese Firewall von denen ist wirklich seltsam.

 

[SeniorY]

port 111 konnte ich schon mal "abschalten" indem ich den service rpcbind gestoppt habe.

Zeig doch mal dein komplettes Netzwerk in Proxmox.

 

[Bob.Dig]

Ok, also ich vermute die NAT-Regeln passieren vor der Firewall, deswegen greift die nicht mehr. Ich würde es mal mit Firewall-Regeln für den LXC versuchen, statt Datacenter.

 

[SeniorY]

ok. Die Firewall muss aber ja auf Datacenter Ebene aktiv sein, sonst sind alle anderen untergeordneten nicht aktiv.

Auf Datacenterebene sieht es jetzt so aus:

und für den LXC so:

geht leider immer noch nicht.

 

[Bob.Dig]

geht leider immer noch nicht.

Zurück zum Datacenter: Bringen deine beiden anderen Regeln überhaupt was, also hast Du diese überprüft oder waren die unnötig? Was passiert z.B., wenn Du für SSH eine fremde Source IP eingibst, die nicht dir gehört. Kannst Du dich trotzdem verbinden?

 

[SeniorY]

hmm, also wenn ich eine xbeliebige ip bei "Source" eingebe kann ich mich trotzdem verbinden. Auch, wenn ich eine Regel erstelle, die meine IP droppen soll.

 

[Bob.Dig]

Mal als Tipp an Dich, stelle dein vmbr0-Netz um auf /32, nicht /22, weil sonst haben andere Kunden von 1blu bei dir erweiterte Rechte. Denn das "lokale" Subnet darf bei Proxmox mehr...

Davon ab, bei den Regeln auch mal den Host neustarten um sicher zu gehen, dass das wirklich angewandt wird. Und dann langsam heranarbeiten.

Ich sach ja, das Teil versteht niemand. 😉

Ergänzung (4. November 2023)

So sieht das bei mir aus bei Datacenter, damit kann ich immerhin die Proxmox-Ports schützen. Die Source ist dabei eine IP-Range, aus der ich zuhause immer meine WAN-IP bekomme.



Obwohl ich alles andere vermeintlich blocke, werden doch alle anderen Ports an eine pfSense-VM weitergeleitet. Aber Du solltest erst mal das erste hinkriegen.

 

[SeniorY]

Mal als Tipp an Dich, stelle dein vmbr0-Netz um auf /32, nicht /22

hab ich angepasst.

Davon ab, bei den Regeln auch mal den Host neustarten

ja, das hab ich immer gemacht.

Nochmal zum Grundverständnis... Ich hab die Services, die auf Port 111 und 2318 liefen deaktiviert. Über einen Portscan ist jetzt nur noch SSH offen. Wenn ich den so konfiguriere, dass sich keiner dort einloggen darf, wozu bräuchte dann überhaupt noch die Firewall? Ich hoffe mal, dass ist nicht ne komplett blöde Frage.

 

[Bob.Dig]

Über einen Portscan ist jetzt nur noch SSH offen. Wenn ich den so konfiguriere, dass sich keiner dort einloggen darf, wozu bräuchte dann überhaupt noch die Firewall?

Gute Frage. Ich würde sie dennoch verstehen und einsetzen wollen, da Proxmox nicht wirklich für ein externes Hosting mit nur einer NIC, wie wir es machen, OOTB vorgesehen ist.

So sieht ein externer Scan bei mir aus, das lässt mich ruhiger schlafen. 😉

 

[SeniorY]

Ich würde sie dennoch verstehen und einsetzen wollen

absolut. Ich hab jetzt gefühlt alle Kombinationen durch den Wireguard Port auf Datacenter- Host- und LXC- Ebene durchzulassen. Hat alles nicht funktioniert. Die ganzen Anleitungen auf YT etc. gehen da auch nicht drauf ein.

 

[Bob.Dig]

absolut.

Versuch doch erst mal meine Regel nachzubauen, denn bei mir funktioniert es immerhin für die Proxmox Ports, bei dir ja anscheinend nicht mal für die.

 

[SeniorY]

hab das jetzt erstmal mit UFW gelöst. 22 und 8006 sind geschlossen. Über Tailscale/Wireguard habe ich Zugriff und mit UFW habe ich es hinbekommen den Verkehr unter den LXCs zu ermöglichen, was mir mit der Proxmox Firewall nicht gelungen ist.

 

[Bob.Dig]

hab das jetzt erstmal mit UFW gelöst.

Ich habe das Video gesehen. 😉

Denke aber immer noch, dass die vorhandene Firewall ausreichend ist, wenn sie denn funktioniert. Gibt wohl nur keinen hier, der sie einem erklärt.