149680
21.12.2022
3021
3
0
Proxmox - OPNsense - Ufw - Welche nutzen?
Hallo Community,
ich baue aktuell eine Testumgebung mittels Proxmox auf. Vor dem Proxmox host steht eine OPNsense mit der ich wie bekannt sämtlichen Traffic in VLANs kontrolliere. Alle Services auf dem Proxmox kontrolliere ich über einen LXC mit Nginx Proxy Manager. Soweit so gut, Testumgebung mit drei LXC funtionieren so wie ich es mir vorstelle.
Meine Frage ist nach der Verwendung der Firewall. In meinem Fall läuft wie gesagt alles per OPNsense, Rules können ja nun aber auch auf Datacenter, Proxmoxhost oder sogar einzelner Maschine gesetzt werden. Zusätzlich kann ich wohl auch noch auf jeder Maschine (Linux) die ufw nutzen. Weiß nicht, ob die Idee alles per OPNsense sinnvoll/ausreichend wie auch immer ist.
Hätte ich z.B.: ein Proxmox interes Netz über die ich den Traffic vom Nginx quasi intern an die einzelnen hosts leiten könnte, könnte ich wohl per LXC oder VM die Firewall auf Proxmox nutzen, hätte auf der Sense lediglich die DNS Settings und Freigabe von 443 auf den Nginx.
Wie geht ihr vor? Gibt es sowas wie best practice Ansätze ?
Danke euch!
ich baue aktuell eine Testumgebung mittels Proxmox auf. Vor dem Proxmox host steht eine OPNsense mit der ich wie bekannt sämtlichen Traffic in VLANs kontrolliere. Alle Services auf dem Proxmox kontrolliere ich über einen LXC mit Nginx Proxy Manager. Soweit so gut, Testumgebung mit drei LXC funtionieren so wie ich es mir vorstelle.
Meine Frage ist nach der Verwendung der Firewall. In meinem Fall läuft wie gesagt alles per OPNsense, Rules können ja nun aber auch auf Datacenter, Proxmoxhost oder sogar einzelner Maschine gesetzt werden. Zusätzlich kann ich wohl auch noch auf jeder Maschine (Linux) die ufw nutzen. Weiß nicht, ob die Idee alles per OPNsense sinnvoll/ausreichend wie auch immer ist.
Hätte ich z.B.: ein Proxmox interes Netz über die ich den Traffic vom Nginx quasi intern an die einzelnen hosts leiten könnte, könnte ich wohl per LXC oder VM die Firewall auf Proxmox nutzen, hätte auf der Sense lediglich die DNS Settings und Freigabe von 443 auf den Nginx.
Wie geht ihr vor? Gibt es sowas wie best practice Ansätze ?
Danke euch!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5047242395
Url: https://administrator.de/contentid/5047242395
Ausgedruckt am: 04.11.2024 um 18:11 Uhr
3 Kommentare
Neuester Kommentar
Moin,
das kommt darauf an wo Du die Bedrohung siehst.
Es könnte ja auch ein PC per LAN, ein Notebook oder Smartphone per WLAN oder schlimstens einer der Server gehackt werden. Bei einem Server wäre man an der FW vorbei und würde den Rest verschlingen...
Es ist aber auch eine Frage des Aufwandes und der Übersichtlichkeit.
Stefan
das kommt darauf an wo Du die Bedrohung siehst.
Es könnte ja auch ein PC per LAN, ein Notebook oder Smartphone per WLAN oder schlimstens einer der Server gehackt werden. Bei einem Server wäre man an der FW vorbei und würde den Rest verschlingen...
Es ist aber auch eine Frage des Aufwandes und der Übersichtlichkeit.
Stefan
Meine Frage ist nach der Verwendung der Firewall. In meinem Fall läuft wie gesagt alles per OPNsense, Rules können ja nun aber auch auf Datacenter, Proxmoxhost oder sogar einzelner Maschine gesetzt werden.
Was ist, wenn jemand es schafft auf einer VM auszubrechen und Kontrolle über den Proxmox zu erlangen? Ausgeschlossen ist das nicht. Natürlich hat man dann eine gute Chance die Kontrolle über alle VMs zu haben. Wenn du die Regelung über die FW machst, dann bleiben andere Netze/VLANS davon aber unberührt im Optimalfall.
Hallo netzer2021,
etwas merkwürdige Frage, weil ... was läuft dahinter dann alles ?
- bin immer mit KISS ( keep it small and simple) gut gefahren.
- eine wesentliche Rolle spielt aber, welche Dienste laufen und wie sind sie angreifbar - auch als Wartungsfrage (udates)
- wie gut ist dein Monitoring ?
l.g.
Fred
etwas merkwürdige Frage, weil ... was läuft dahinter dann alles ?
- bin immer mit KISS ( keep it small and simple) gut gefahren.
- eine wesentliche Rolle spielt aber, welche Dienste laufen und wie sind sie angreifbar - auch als Wartungsfrage (udates)
- wie gut ist dein Monitoring ?
l.g.
Fred