Paperless mit Fail2Ban oder Crowedsec möglich?

[Niklas434]

Moin,

bin etwas am Verzweifeln. Möchte mein Paperless dauerhaft (non VPN) freigeben, jedoch sicher.

https://github.com/paperless-ngx/paperless-ngx/discussions/3770 -> Damit komme ich nicht weiter. Paperless selbst liegt auf Unraid.

 

[Animal Mother]

Du musst einen ProxyPass benutzen damit die Real-IP an den Dockercontainer weiter gegeben wird. Ansonsten bannt F2B immer die Interne IP von Docker bzw dem Dockercontainer.
Hier mal für Apache2:
1. Apache2 auf dem Host System Installieren (beachte das Port 80 und 443 in keinem Container auf das Host system zeigen)

sudo apt install apache2

2. diese Apache2 mods Installieren

a2enmod proxy_wstunnel

a2enmod proxy_http

3.

sudo nano /etc/apache2/sites-available/paperless.deinhostname.de.conf

4.

<VirtualHost *:443>
    SSLEngine on
    ServerName paperless.deinhostname.de
        SSLCertificateFile /pfad/zum/Cert/certfile
        SSLCertificateKeyFile /pfad/zum/Cert/keyfile
        SSLCertificateChainFile /pfad/zum/Cert/fullchain_file

    #Apache log, aktivieren wenn du diese auch lesen möchtest
    #ErrorLog \${APACHE_LOG_DIR}/paperless-error.log
    #CustomLog \${APACHE_LOG_DIR}/paperless-access.log combined

    #Der Pfad zu deinem Paperlesscontainer. Beachte den Hostport
    ProxyPass / http://127.0.0.1:8000/ upgrade=websocket
    ProxyPreserveHost On
    ProxyRequests Off
    RequestHeader set X-Real-IP %{REMOTE_ADDR}s
    # Das untere aktivieren wenn du nicht automatisch auf https umgeleitet wirst
    # RequestHeader add X-Forwarded-Proto https
</VirtualHost>

5. Alles speichern, und dann ausführen.

a2ensite paperless.deinhostname.de.conf

6.

systemctl restart apache2

7. bei deinem docker-compose.yaml die ports so anpassen. Wir wollen das der Container nicht von außen über den Port angesprochen werden kann. Denn das übernimmt der Apache.

ports:
      - "127.0.0.1:8000:8000"

8. Danach sollest du mit paperless.deinhostname.de ganz normal auf den Container zugreifen können. Und Fail2ban sollte dann auch sauber arbeiten.

und passe bitte die portsettings so an (ohne Anführungsstriche):

ports:
      - 127.0.0.1:8000:8000

 

[Niklas434]

So einfach ist unter Unraid dann nicht. Vorweg bei dem NPM entfallen solche Schritte und auch die IP wird direkt richtig erkannt.

Der Ban hat jedoch keinerlei Wirkung.


Meine Lösung:

1. Zugriff via VPN
2. Wenn das mal nicht geht, wird im NPM der Proxy Host temporär aktiviert. Als kleine Sicherheit nutze ich zusätzlich noch den Cloudflare Proxy.

Keine schöne Lösung, aber ich hab auch einfach kein Bock mehr.