Skynet7
Lieutenant
- Registriert
- Jan. 2010
- Beiträge
- 639
Hallo,
ich verwende schon länger einen Reverse Proxy vor einer Hardware Firewall, um gewisse dienste von einem LAN-Server sicher aus dem Internet zugänglich zu machen… So weit so gut.
Jetzt möchte ich aber die Konfiguration etwas erweitern. Ich habe mich schon informiert und würde nachfolgend ein paar Möglichkeiten bzw. Ideen erörtern.
Ich freue mich über Verbesserungsvorschläge und konstruktive Kritik!
Ziel ist es die restlichen Dienste die bisher intern mit self signed ssl zertifikaten oder gar ohne daherkommend auch über den Reverse Proxy laufen zu lassen ohne das es aber die Möglichkeit gibt diese über Internet zu erreichen. Abgesehen davon soll es dem Reverse Proxy aber für diese Domains weiterhin gestattet sein die Lets Encrypt Zertifikate zu erstellen und zu verlängern.
Variante A
Ich lege alle Offline/Local Domains im Reverse Proxy mitsamt Lets Encrypt Certs an.
Und blocke alles Außer meiner Local IP per Custom Config im Reverse Proxy
Danach lege ich alle Offline/Local Domains auf der Hardware Firewall im Unbound DNS Resolver an und linke sie auf die IP des Reverse Proxy’s. Mir geht es auch um Geschwindigkeit. Dienste die ich nicht blocke sind von außen weiterhin erreichbar aber Intern mit vollen 10G Ethernet ohne umständlichen Loopback über den Provider noch effizienter zu erreichen
Vorbehalt: Ich müsste den Reverse Proxy in dem Fall wirklich auf 80 & 443 auf dem Server laufen lassen. Ist aber kein großer Aufwand.
Variante B
Oder ich nutze NAT Loopback in der Hardware Firewall.
Aber Just in Time wo ich diese Zeilen verfasse bin ich noch am einlesen was das angeht.
Vtl. ist jemand solch ein Szenario bekannt und kann die Vorteile zwischen variante A & B oder einer noch besseren Möglichkeit hier der Community näherbringen.
Vielen Dank für alle die soweit gelesen haben 😉
ich verwende schon länger einen Reverse Proxy vor einer Hardware Firewall, um gewisse dienste von einem LAN-Server sicher aus dem Internet zugänglich zu machen… So weit so gut.
Jetzt möchte ich aber die Konfiguration etwas erweitern. Ich habe mich schon informiert und würde nachfolgend ein paar Möglichkeiten bzw. Ideen erörtern.
Ich freue mich über Verbesserungsvorschläge und konstruktive Kritik!
Ziel ist es die restlichen Dienste die bisher intern mit self signed ssl zertifikaten oder gar ohne daherkommend auch über den Reverse Proxy laufen zu lassen ohne das es aber die Möglichkeit gibt diese über Internet zu erreichen. Abgesehen davon soll es dem Reverse Proxy aber für diese Domains weiterhin gestattet sein die Lets Encrypt Zertifikate zu erstellen und zu verlängern.
Variante A
Ich lege alle Offline/Local Domains im Reverse Proxy mitsamt Lets Encrypt Certs an.
Und blocke alles Außer meiner Local IP per Custom Config im Reverse Proxy
Danach lege ich alle Offline/Local Domains auf der Hardware Firewall im Unbound DNS Resolver an und linke sie auf die IP des Reverse Proxy’s. Mir geht es auch um Geschwindigkeit. Dienste die ich nicht blocke sind von außen weiterhin erreichbar aber Intern mit vollen 10G Ethernet ohne umständlichen Loopback über den Provider noch effizienter zu erreichen
Vorbehalt: Ich müsste den Reverse Proxy in dem Fall wirklich auf 80 & 443 auf dem Server laufen lassen. Ist aber kein großer Aufwand.
Variante B
Oder ich nutze NAT Loopback in der Hardware Firewall.
Aber Just in Time wo ich diese Zeilen verfasse bin ich noch am einlesen was das angeht.
Vtl. ist jemand solch ein Szenario bekannt und kann die Vorteile zwischen variante A & B oder einer noch besseren Möglichkeit hier der Community näherbringen.
Vielen Dank für alle die soweit gelesen haben 😉
Zuletzt bearbeitet:
