port forwarding vraagje

Heb je vragen of opmerkingen over deze provider via de kabel? Post dan je vragen hier.
Plaats reactie
BMaster
Elite Poster
Elite Poster
Berichten: 926
Lid geworden op: 01 apr 2005, 16:46
Uitgedeelde bedankjes: 41 keer
Bedankt: 44 keer

Sinds gisteren hebben wij een nieuwe Orange modem (Siligence TCG300). Met de vorige had ik port-forwarding ingesteld zodat port 443 werd doorgestuurd naar een traefik container. Als ik vanop de LAN naar één van de publieke domains surfte, dan kwam dat in traefik binnen alsof het vanop 192.168.0.1 kwam. Hierdoor kon ik dat whitelisten zodat ik enkel vanop de lan naar die dingen kon surfen (beetje extra veiligheid om aanvallen van buitenaf te blocken). Maar nu met de nieuwe modem komen die requests binnen vanop het public ip van de modem, en is whitelisten een pak lastiger aangezien dat een dynamisch IP is. Iemand enig idee hoe ik dat kan oplossen?
blaatpraat
Elite Poster
Elite Poster
Berichten: 1301
Lid geworden op: 10 jan 2014, 12:09
Uitgedeelde bedankjes: 32 keer
Bedankt: 103 keer

Er is mij iets niet duidelijk:
Zoals ik het lees, wil je enkel vanaf je lokale LAN aan die traefik container geraken, maar wel via een DNS naam?
Indien ja: waarom dan zo'n ingewikkeld scenario met port forwarding?
Indien nee: waarom wil je dan alles blokkeren, behalve wat voorheen zogezegd van 192.168.0.1 kwam?

Hetgeen jij wilt, zal niet lukken.
De manier waarop dit vroeger ging, was een foutieve implementatie van NAT hairpinning, de correcte is dat het inderdaad zogezegd via het publiekelijke adres komt.
BMaster
Elite Poster
Elite Poster
Berichten: 926
Lid geworden op: 01 apr 2005, 16:46
Uitgedeelde bedankjes: 41 keer
Bedankt: 44 keer

De reden is dat ik ook een gewone simpele website heb draaien die gewoon publiek bereikbaar is. Traefik luistert trouwens niet zelf op poort 443 wegens dat die niet vrij was (pihole draait er ook op). Dus dan was het best eenvoudig om de andere privé zaken op dezelfde manier naar buiten te brengen maar dan af te schermen met een whitelist. Ik zou evengoed een DNS record kunnen aanmaken in pihole maar dan moet ik dus telkens de poortnummer van traefik erbij zetten, wat niet zo handig is.

Ik zal eens moeten nadenken hoe ik alles opnieuw kan inrichten denk ik. Mss een aparte VM voor de privé docker dingen ofzo, zodat die wel op de gewone poorten kan luisteren bvba.
Gebruikersavatar
jan5787
Member
Member
Berichten: 77
Lid geworden op: 04 mei 2021, 22:56
Uitgedeelde bedankjes: 21 keer
Bedankt: 24 keer

Dit gaat niet direct lukken idd. Mss een paar mogelijk oplossingen

Je kan je reverse proxy instellen op een paar domeinen, maar deze alleen in PIhole zetten en niet openbaar. Zo kan jij er alleen aan als je verbonden bent met de pihole. en hoef je geen poorten te typen. Niet helemaal waterdicht natuurlijk, als iemand achter deze subdomeinen komt en je openbaar ip heeft. Kan deze er natuurlijk wel nog altijd aan. Maar die kans is wel klein.

In combinatie mss van een whitelist van alleen het orange subnet. Is het toch "redelijk" beveiligd.

Weet niet wat voor service je draait, maar mss gwn kijken voor een handig overzicht van al je service zoals organizr.app
of je poorten aanpassen zodat je deze makkelijk kan onthouden.
profke
Pro Member
Pro Member
Berichten: 275
Lid geworden op: 14 aug 2010, 23:42
Uitgedeelde bedankjes: 14 keer
Bedankt: 24 keer

draai pi-hole of zo als interne DNS server. configureer daarop een interne resolving naar , bijvoorbeeld, 192.168.0.200 (wat bij u de situatie ook is) zodat https://www.traeific.be daarnaartoe resolved, en de rest naar het internet gaat.

en laat traffiek naar die ene site door vanuit 192.168.0.0/24; (of vanuit het segment wat je als DHCP-zone instelde), en klaar.
BMaster
Elite Poster
Elite Poster
Berichten: 926
Lid geworden op: 01 apr 2005, 16:46
Uitgedeelde bedankjes: 41 keer
Bedankt: 44 keer

jan5787 schreef:Je kan je reverse proxy instellen op een paar domeinen, maar deze alleen in PIhole zetten en niet openbaar. Zo kan jij er alleen aan als je verbonden bent met de pihole. en hoef je geen poorten te typen. Niet helemaal waterdicht natuurlijk, als iemand achter deze subdomeinen komt en je openbaar ip heeft. Kan deze er natuurlijk wel nog altijd aan. Maar die kans is wel klein.
Dat is nog een goeie oplossing misschien, ga ik eens uitproberen! 't zijn zaken zoals Medusa enzo, dus totaal niet nodig om van buitenaf bereikbaar te zijn. Ik vraag me eigenlijk wel af hoe "veilig" zo'n zaken zijn als je die toch open zou zetten naar het internet toe...
jan5787 schreef: Weet niet wat voor service je draait, maar mss gwn kijken voor een handig overzicht van al je service zoals organizr.app
of je poorten aanpassen zodat je deze makkelijk kan onthouden.
Ik heb Heimdall al eens uitgeprobeerd, maar die vond ik niet zo leuk. Misschien is die organizr meer naar mijn goesting... thanks voor de tip.


EDIT: ben daar nu eens mee aan het spelen, maar nu vraag ik me af hoe gaat lopen met de letsencrypt-certificaten die traefik gaat ophalen? Ik meen me te herinneren dat die subdomeinen toch vanop het internet bereikbaar moeten zijn... ?
Plaats reactie

Terug naar “Orange (Mobistar)”