97 lines
No EOL
1.4 KiB
Markdown
97 lines
No EOL
1.4 KiB
Markdown
# VPS Netzwerk
|
|
|
|
## Öffentliches Netzwerk
|
|
|
|
| Interface | Adresse |
|
|
|—|—|
|
|
| eth0 | 46.225.176.170 |
|
|
|
|
—
|
|
|
|
# VPN
|
|
|
|
## WireGuard
|
|
|
|
Die VPS dient als zentraler WireGuard-Hub zwischen:
|
|
- VPS
|
|
- Heimnetz
|
|
- zusätzlichen Clients
|
|
|
|
Interface:
|
|
- wg0
|
|
|
|
Listening Port:
|
|
- 51820/UDP
|
|
|
|
—
|
|
|
|
# Heimnetz Routing
|
|
|
|
Folgende Route wird aktuell über WireGuard bereitgestellt:
|
|
|
|
```text
|
|
192.168.0.0/24
|
|
```
|
|
|
|
Dadurch kann die VPS interne Dienste im Heimnetz sicher über VPN erreichen.
|
|
|
|
—
|
|
|
|
# Firewall / Paketfilterung
|
|
|
|
## Aktueller Zustand
|
|
|
|
UFW ist nicht aktiv.
|
|
|
|
Stattdessen nutzt die VPS:
|
|
- nftables
|
|
- Docker-verwaltete Firewallregeln
|
|
- CrowdSec Integration
|
|
|
|
—
|
|
|
|
# Sicherheitslayer
|
|
|
|
| Layer | Aufgabe |
|
|
|—|—|
|
|
| Docker nftables Regeln | Container-Isolation |
|
|
| CrowdSec | Dynamische Blockierung |
|
|
| WireGuard | Sicherer privater Zugriff |
|
|
| NPM | TLS Terminierung |
|
|
|
|
—
|
|
|
|
# Docker Netzwerkarchitektur
|
|
|
|
## proxy Netzwerk
|
|
|
|
Subnetz:
|
|
|
|
```text
|
|
172.20.0.0/16
|
|
```
|
|
|
|
Wichtige Dienste:
|
|
- NPM
|
|
- authentik
|
|
- Nextcloud
|
|
- Vaultwarden
|
|
- Forgejo
|
|
- Monitoring-Dienste
|
|
|
|
—
|
|
|
|
# Aktuelle Sicherheitsbeobachtungen
|
|
|
|
## Positiv
|
|
|
|
- interne Docker-Segmentierung vorhanden
|
|
- RAW nftables Isolationsregeln aktiv
|
|
- Localhost Bindings bereits genutzt
|
|
- CrowdSec in INPUT Chain integriert
|
|
|
|
## Mögliche Verbesserungen
|
|
|
|
- direkten öffentlichen Zugriff auf authentik entfernen
|
|
- öffentliche Erreichbarkeit von Forgejo prüfen
|
|
- Rolle von AdGuard auf der VPS bewerten |