port forwarding vraagje

BMaster
Elite Poster
Elite Poster
Berichten: 849
Lid geworden op: 01 Apr 2005
Bedankt: 37 keer
Uitgedeelde bedankjes: 40 keer

port forwarding vraagje

Berichtdoor BMaster » 1 week 3 dagen 22 uur geleden (04 Mei 2021, 20:34)

Sinds gisteren hebben wij een nieuwe Orange modem (Siligence TCG300). Met de vorige had ik port-forwarding ingesteld zodat port 443 werd doorgestuurd naar een traefik container. Als ik vanop de LAN naar één van de publieke domains surfte, dan kwam dat in traefik binnen alsof het vanop 192.168.0.1 kwam. Hierdoor kon ik dat whitelisten zodat ik enkel vanop de lan naar die dingen kon surfen (beetje extra veiligheid om aanvallen van buitenaf te blocken). Maar nu met de nieuwe modem komen die requests binnen vanop het public ip van de modem, en is whitelisten een pak lastiger aangezien dat een dynamisch IP is. Iemand enig idee hoe ik dat kan oplossen?

blaatpraat
Elite Poster
Elite Poster
Berichten: 1201
Lid geworden op: 10 Jan 2014
Bedankt: 96 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 30 keer

Re: port forwarding vraagje

Berichtdoor blaatpraat » 1 week 3 dagen 22 uur geleden (04 Mei 2021, 20:50)

Er is mij iets niet duidelijk:
Zoals ik het lees, wil je enkel vanaf je lokale LAN aan die traefik container geraken, maar wel via een DNS naam?
Indien ja: waarom dan zo'n ingewikkeld scenario met port forwarding?
Indien nee: waarom wil je dan alles blokkeren, behalve wat voorheen zogezegd van 192.168.0.1 kwam?

Hetgeen jij wilt, zal niet lukken.
De manier waarop dit vroeger ging, was een foutieve implementatie van NAT hairpinning, de correcte is dat het inderdaad zogezegd via het publiekelijke adres komt.

BMaster
Elite Poster
Elite Poster
Berichten: 849
Lid geworden op: 01 Apr 2005
Bedankt: 37 keer
Uitgedeelde bedankjes: 40 keer

Re: port forwarding vraagje

Berichtdoor BMaster » 1 week 3 dagen 21 uur geleden (04 Mei 2021, 21:29)

De reden is dat ik ook een gewone simpele website heb draaien die gewoon publiek bereikbaar is. Traefik luistert trouwens niet zelf op poort 443 wegens dat die niet vrij was (pihole draait er ook op). Dus dan was het best eenvoudig om de andere privé zaken op dezelfde manier naar buiten te brengen maar dan af te schermen met een whitelist. Ik zou evengoed een DNS record kunnen aanmaken in pihole maar dan moet ik dus telkens de poortnummer van traefik erbij zetten, wat niet zo handig is.

Ik zal eens moeten nadenken hoe ik alles opnieuw kan inrichten denk ik. Mss een aparte VM voor de privé docker dingen ofzo, zodat die wel op de gewone poorten kan luisteren bvba.

jan5787
Starter
Starter
Berichten: 1
Lid geworden op: 04 Mei 2021

Re: port forwarding vraagje

Berichtdoor jan5787 » 1 week 3 dagen 19 uur geleden (04 Mei 2021, 23:22)

Dit gaat niet direct lukken idd. Mss een paar mogelijk oplossingen

Je kan je reverse proxy instellen op een paar domeinen, maar deze alleen in PIhole zetten en niet openbaar. Zo kan jij er alleen aan als je verbonden bent met de pihole. en hoef je geen poorten te typen. Niet helemaal waterdicht natuurlijk, als iemand achter deze subdomeinen komt en je openbaar ip heeft. Kan deze er natuurlijk wel nog altijd aan. Maar die kans is wel klein.

In combinatie mss van een whitelist van alleen het orange subnet. Is het toch "redelijk" beveiligd.

Weet niet wat voor service je draait, maar mss gwn kijken voor een handig overzicht van al je service zoals [url]organizr.app[/url]
of je poorten aanpassen zodat je deze makkelijk kan onthouden.

profke
Pro Member
Pro Member
Berichten: 225
Lid geworden op: 14 Aug 2010
Bedankt: 20 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 10 keer

Re: port forwarding vraagje

Berichtdoor profke » 1 week 3 dagen 9 uur geleden (05 Mei 2021, 09:42)

draai pi-hole of zo als interne DNS server. configureer daarop een interne resolving naar , bijvoorbeeld, 192.168.0.200 (wat bij u de situatie ook is) zodat https://www.traeific.be daarnaartoe resolved, en de rest naar het internet gaat.

en laat traffiek naar die ene site door vanuit 192.168.0.0/24; (of vanuit het segment wat je als DHCP-zone instelde), en klaar.

BMaster
Elite Poster
Elite Poster
Berichten: 849
Lid geworden op: 01 Apr 2005
Bedankt: 37 keer
Uitgedeelde bedankjes: 40 keer

Re: port forwarding vraagje

Berichtdoor BMaster » 1 week 3 dagen 6 uur geleden (05 Mei 2021, 12:42)

jan5787 schreef:Je kan je reverse proxy instellen op een paar domeinen, maar deze alleen in PIhole zetten en niet openbaar. Zo kan jij er alleen aan als je verbonden bent met de pihole. en hoef je geen poorten te typen. Niet helemaal waterdicht natuurlijk, als iemand achter deze subdomeinen komt en je openbaar ip heeft. Kan deze er natuurlijk wel nog altijd aan. Maar die kans is wel klein.

Dat is nog een goeie oplossing misschien, ga ik eens uitproberen! 't zijn zaken zoals Medusa enzo, dus totaal niet nodig om van buitenaf bereikbaar te zijn. Ik vraag me eigenlijk wel af hoe "veilig" zo'n zaken zijn als je die toch open zou zetten naar het internet toe...

jan5787 schreef:Weet niet wat voor service je draait, maar mss gwn kijken voor een handig overzicht van al je service zoals [url]organizr.app[/url]
of je poorten aanpassen zodat je deze makkelijk kan onthouden.

Ik heb Heimdall al eens uitgeprobeerd, maar die vond ik niet zo leuk. Misschien is die organizr meer naar mijn goesting... thanks voor de tip.


EDIT: ben daar nu eens mee aan het spelen, maar nu vraag ik me af hoe gaat lopen met de letsencrypt-certificaten die traefik gaat ophalen? Ik meen me te herinneren dat die subdomeinen toch vanop het internet bereikbaar moeten zijn... ?


Terug naar “Orange (Mobistar)”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast