Optimierungsbedarf - Reverse Proxy

Skynet7

Lieutenant
Registriert
Jan. 2010
Beiträge
640
Hallo,

ich verwende schon länger einen Reverse Proxy vor einer Hardware Firewall, um gewisse dienste von einem LAN-Server sicher aus dem Internet zugänglich zu machen… So weit so gut.

Jetzt möchte ich aber die Konfiguration etwas erweitern. Ich habe mich schon informiert und würde nachfolgend ein paar Möglichkeiten bzw. Ideen erörtern.
Ich freue mich über Verbesserungsvorschläge und konstruktive Kritik!

Ziel ist es die restlichen Dienste die bisher intern mit self signed ssl zertifikaten oder gar ohne daherkommend auch über den Reverse Proxy laufen zu lassen ohne das es aber die Möglichkeit gibt diese über Internet zu erreichen. Abgesehen davon soll es dem Reverse Proxy aber für diese Domains weiterhin gestattet sein die Lets Encrypt Zertifikate zu erstellen und zu verlängern.

Variante A

Ich lege alle Offline/Local Domains im Reverse Proxy mitsamt Lets Encrypt Certs an.

Und blocke alles Außer meiner Local IP per Custom Config im Reverse Proxy

Danach lege ich alle Offline/Local Domains auf der Hardware Firewall im Unbound DNS Resolver an und linke sie auf die IP des Reverse Proxy’s. Mir geht es auch um Geschwindigkeit. Dienste die ich nicht blocke sind von außen weiterhin erreichbar aber Intern mit vollen 10G Ethernet ohne umständlichen Loopback über den Provider noch effizienter zu erreichen

Vorbehalt: Ich müsste den Reverse Proxy in dem Fall wirklich auf 80 & 443 auf dem Server laufen lassen. Ist aber kein großer Aufwand.

Variante B

Oder ich nutze NAT Loopback in der Hardware Firewall.
Aber Just in Time wo ich diese Zeilen verfasse bin ich noch am einlesen was das angeht.

Vtl. ist jemand solch ein Szenario bekannt und kann die Vorteile zwischen variante A & B oder einer noch besseren Möglichkeit hier der Community näherbringen.

Vielen Dank für alle die soweit gelesen haben 😉
 
Zuletzt bearbeitet:
Also ich hab was ähnliches zuhause. Ein Dienst außerhalb erreichbar, der Rest innerhalb. Nach außen hin ist nur Port 443 offen. Der Reverse Proxy zieht via Let's Encrypt und DNS Challenge bei Cloudflare ein Wildcard-Zertifikat. Dadurch sind alle Dienste (auch die internen abgedeckt). Für alle internen Dienste ist in der Proxy-Config (nginx) explizit angegeben, dass nur IPs aus dem internen Bereich zugreifen dürfen. Beim Dienst von außen fehlt eben jener Eintrag.
 
Okay hast du bei deiner Config für jeden Internen Dienst auch eine vom Browser voll anerkannte SSL Verbindung von einem anbieter wie zB Lets Encrypt?

PS: Mir ist bewusst das wenn ich Internetausfall habe, ich diese Dienste nur noch per ip ansprechen kann...
 
Skynet7 schrieb:
PS: Mir ist bewusst das wenn ich Internetausfall habe, ich diese Dienste nur noch per ip ansprechen kann...
Local machst du DNS Override auf deinen Proxy. Dann geht DNS auch bei Internetausfall.
 
@h00bi Also im Moment sieht es so aus (beispielhaft für eine Subdomain):
1680073574760.png
 
@h00bi wenn du mit npm den Nginx Proxy Manager meinst: Den nutze ich nicht. Das ist einfach nur ein nackiger Nginx auf dem ich grad via ssh und nano die config aufgemacht hab. So bescheuert es klingt - mir war der NPM zu kompliziert. Zumindest hatte ich keine Lust mich einzuarbeiten wie ich das wieder so einstelle, wie es vorher mit dem reinen Nginx war.
 
  • Gefällt mir
Reaktionen: h00bi
Zurück
Oben