1.4 KiB
1.4 KiB
VPS Netzwerk
Öffentliches Netzwerk
| Interface | Adresse |
|---|---|
| eth0 | 46.225.176.170 |
VPN
WireGuard
Die VPS dient als zentraler WireGuard-Hub zwischen:
- VPS
- Heimnetz
- zusätzlichen Clients
Interface:
- wg0
Listening Port:
- 51820/UDP
Heimnetz Routing
Folgende Route wird aktuell über WireGuard bereitgestellt:
192.168.0.0/24
Dadurch kann die VPS interne Dienste im Heimnetz sicher über VPN erreichen.
Firewall / Paketfilterung
Aktueller Zustand
UFW ist nicht aktiv.
Stattdessen nutzt die VPS:
- nftables
- Docker-verwaltete Firewallregeln
- CrowdSec Integration
Sicherheitslayer
| Layer | Aufgabe |
|---|---|
| Docker nftables Regeln | Container-Isolation |
| CrowdSec | Dynamische Blockierung |
| WireGuard | Sicherer privater Zugriff |
| NPM | TLS Terminierung |
Docker Netzwerkarchitektur
proxy Netzwerk
Subnetz:
172.20.0.0/16
Wichtige Dienste:
- NPM
- authentik
- Nextcloud
- Vaultwarden
- Forgejo
- Monitoring-Dienste
Aktuelle Sicherheitsbeobachtungen
Positiv
- interne Docker-Segmentierung vorhanden
- RAW nftables Isolationsregeln aktiv
- Localhost Bindings bereits genutzt
- CrowdSec in INPUT Chain integriert
Mögliche Verbesserungen
- direkten öffentlichen Zugriff auf authentik entfernen
- öffentliche Erreichbarkeit von Forgejo prüfen
- Rolle von AdGuard auf der VPS bewerten