2 LXCs, einer ins Internet, einer ins Lan

[qutu]

Moin,
Ich habe mir ein paar Gedanken gemacht aber komme leider nicht wirklich weiter.
Und zwar geht es um das Sicherheitskonzept um einen lxc im LAN und einen im Internet erreichbar zu machen.
Meine Idee war über port forwarding meinen nextcloud lxc erreichbar zu haben und gleichzeitig meinen Samba lxc im LAN laufen zu lassen.
Soweit ich das beurteilen kann besteht das Sicherheitsrisiko darin das der nextcloud lxc auch parallel im LAN ist und somit bei einer übernahme durch einen unbefugten dritten Polen bzw. mein LAN offen ist.
Von den Konzepten die ich gesehen habe ist anscheinend eine dmz mit Hilfe von 2 Routern eine alternative... Allerdings verliere ich dann den Lanzugang zu meinem Samba lxc bzw. Hab ich den dann auch im Bereich der angreifbaren dmz.
Mit der internen Linux Firewall den Zugang auf 443 bzw. zu beschränken hilft ja auch nur beschränkt.
Von den anderen lösungen scheint ein Reverse Proxy bzw. Caddy oder traeffik eine alternative.
Hat vllt jemand noch eine andere Idee wie man das auf einer physischen Maschine realisieren kann mit 2 lxcs? Wie sicher sind vlans oder Reverse proxys eurer Erfahrung nach? Oder führt kein Weg an einer physischen Trennung beider Netze via dmz vorbei?
Lg und schonmal vielen Dank!

 

[Dunuin]

Physisch trennen ist immer sicherer. Aber ein isoliertes DMZ Subnetz als VLAN oder einfach nur als Linux Bridge ist schonmal besser als wenn du deine Dienste einfach direkt im LAN betreibst.
Du könntest z.B. eine weitere Linux Bridge anlegen die mit keiner physischen NIC verbunden ist und diese Bridge als DMZ nutzen. Dann eine OPNsense VM aufsetzen die zwischen LAN und dieser neuen Bridge routet. Die OPNsense dann so einstellen, dass da alles von LAN auf die DMZ kommt, aber die DMZ nur ins Internet aber nicht ins LAN. Wenn man mag kann man auch noch z.B. mit dem Suricata-Plugin in OPNsense weiter mit Intrusion Detection/Prevention System absichern. Dann hast du eine DMZ innerhalb deines PVE Servers ohne dass da zusätzliche Hardware benötigt wird.
Ich persönlich würde Nextcloud nicht einmal als LXC laufen lassen, wenn man die ins Internet stellen will. Eine VM wäre da viel besser isoliert. Übernimmt dir da mal ein Bot die Nextcloud, dann ist es bei einer VM schwerer deinen PVE Host anzugreifen, da sich die VM ja im Gegensatz zum LXC nicht die Hardware und den Kernel mit dem PVE Host teilt.

Also bei mir läuft Nextcloud als VM isoliert in einem DMZ VLAN was von einer OPNsense VM bedient wird. Das ist für ein Homelab ein guter Kompromiss.

 

[cwt]

Ich persönlich würde aus dem Internet erreichbare Dienste immer in einer VM statt in einem LXC betreiben. Wurde hier im Forum bzgl. der besseren Isolation schon oft diskutiert bzw. dargelegt. Wenn unbedingt LXC, dann unprivilegiert. Eine Lücke im System wie Nextcloud wird auch durch einen Proxy in einer DMZ nicht isoliert, der agiert nur als komfortable Zwischenstation (und muss per FW rule ebenfalls Zugriff auf das VLAN und den https port des LXC haben). Allerdings bietet ein Proxy wiederum die Möglichkeit, zusätzliche Schutzmechanismen wie fail2ban oder Crowdsec zu integrieren. Das fängt zumindest die script kiddies und bots halbwegs gut ab. Geht natürlich auch mit Firewalls wie OPNSense, auf den Crowdsec direkt läuft und als LAPI agiert, mit Agents auf VMs.

Ah, @Dunuin war mal wieder schneller