Sunrise Port Forwarding

  • Mal schauen ob es noch funktioniert wenn ich es wieder aus der DMZ rausnehme. Den SSH Zugriff könnte ich über VPN schützen?

    Das ist auf gut Deutsch "Bullshit"

  • Kommt meistens günstiger, wenn du den WebServer irgendwo bei AWS, Azure oder Google Hostern lässt und nur den Service einkaufst.


    Kommt natürlich noch auf den Verwendungszweck an, aber einfach so einen Server ins Internet hängen (ohne die notwendigen Security-Kenntnisse, welche ich aufgrund der Fragen vermisse) ist eine “dumme” Idee.

  • Kommt meistens günstiger, wenn du den WebServer irgendwo bei AWS, Azure oder Google Hostern lässt und nur den Service einkaufst.


    Kommt natürlich noch auf den Verwendungszweck an, aber einfach so einen Server ins Internet hängen (ohne die notwendigen Security-Kenntnisse, welche ich aufgrund der Fragen vermisse) ist eine “dumme” Idee.

    Der Webserver muss auf ein Python Script zugreifen können, d.h. auch wenn ich diesen Service auslagere muss irgendein Zugang offen sein, deshalb halte ich es für sicherer "nur" den Webservice von aussen zugänglich zu machen. Meine Fragen beruhen eher auf der Tatsache dass ich damit nicht mein täglich Brot verdiene und nicht irgendwas "grobes" übersehen will. Oder wo genau liegt das Risiko wenn ich diesen Port von Aussen zugänglich mache?

    Das ist auf gut Deutsch "Bullshit"


  • Kommt natürlich noch auf den Verwendungszweck an, aber einfach so einen Server ins Internet hängen (ohne die notwendigen Security-Kenntnisse, welche ich aufgrund der Fragen vermisse) ist eine “dumme” Idee.

    Hast du ja grundsätzlich recht, aber die Realität darf man hier auch berücksichtigen. Einem echten Angriff hält ein Home-Szenario nicht stand, nur wer macht das bei einem Privaten? Dafür interessiert sich niemand. D.h. primär gibts Attacken von Massen-Scripts, diese hat man mit einem NAT, geänderten Passwörtern und halbwegs aktueller Software jedoch in aller Regel im Griff ;-)


    |---> it MUST be a spoon! <---|


      

  • Wenns nur für den Eigenbedarf ist, nimm doch ein Port grösser als 1024 dafür. Bietet auch noch leichten Schutz und umgeht mögliche Probleme. Wenn du einen anständigen VPN Server laufen lässt, dann kannst du über den für alle anderen Sachen einloggen, wie beispielsweise SSH.

  • Genau, der Webserver läuft jetzt auf 8080 und das funktioniert, allerdings nur wenn ich von ausserhalb zugreife, wie das SteGe gesagt hat.

    Für SSH werde ich mir einen VPN zulegen.

    Das ist auf gut Deutsch "Bullshit"

  • ... allerdings nur wenn ich von ausserhalb zugreife, wie das SteGe gesagt hat.

    Für SSH werde ich mir einen VPN zulegen.

    Habe, bzw. hatte das gleiche Problem auch (Swisscom ISP). Habs so gelöst, dass ich die externe dyndns Adresse intern mit der internen Adresse auflöse. Braucht halt dafür einen internen DNS Server oder Host Einträge auf den Clients. Als internen DNS habe ich meinen pihole zweckentfremdet.

    ... mir ist beim Lesen auch gleich das Monokel ins Martini-Glas gefallen!

  • Wenns nur für den Eigenbedarf ist, nimm doch ein Port grösser als 1024 dafür. Bietet auch noch leichten Schutz und umgeht mögliche Probleme. Wenn du einen anständigen VPN Server laufen lässt, dann kannst du über den für alle anderen Sachen einloggen, wie beispielsweise SSH.

    Je nachdem wie zuverlässig der Zugriff sein sollte. In vielen Firmen-Netzen und teilweise auf Public LAN's sind Nicht-Standard-Ports geblockt (ausgehend, du würdest also z.B. von der Firma dein Server zuhause nicht erreichen)


    |---> it MUST be a spoon! <---|


      

  • Ansonsten gibts Dienste wie "ngrok" oder "xip" welche einen Tunnel nach aussen öffnen vom Gerät aus (Webserver z.b.) und es so zugänglich machen von aussen.