Frage zu /etc/default/pveproxy

[Jeremy Smeets]

Guten Tag,

ich würde gerne den Zugang zum Webinterface nur noch über localhost erlauben. Ich habe mir hierzu die manpages zu pveproxy angeschaut und bin auf folgende Zeilen gestoßen:

HOST BASED ACCESS CONTROL
It is possible to configure “apache2”-like access control lists. Values are read from file
/etc/default/pveproxy. For example:

ALLOW_FROM="10.0.0.1-10.0.0.5,192.168.0.0/22"
DENY_FROM="all"
POLICY="allow"


Wie wirkt sich die Konfiguration auf andere Ports aus? Handelt sich bei dieser Config explizit um die Web GUI cfg? Oder schließe ich mit dieser Config auch SSH und andere Ports? Muss ich SSH Eexplizit als Sonderregel anlegen?

 

[fabian]

dieses file bezieht sich nur auf pveproxy - den daemon, der die API und das webinterface bereitstellt.

 

[Stoiko Ivanov]

die datei '/etc/default/pveproxy' wird nur von pveproxy (daemon, welcher das web-interface zur Verfügung stellt ) und spiceproxy (daemon, um spice-connections an die richtige node weiterzuleiten.

falls es sich um einen cluster handelt, unbedingt auch das clusternetzwerk freischalten.

ssh nur von localhost zuzulassen klingt etwas ungewöhnlich? Wie soll dann die Verbindung von außen passieren?

 

[Jeremy Smeets]

....

ssh nur von localhost zuzulassen klingt etwas ungewöhnlich? Wie soll dann die Verbindung von außen passieren?

SSH Tunnel auf die Node und Port Forwarding. So lässt sich eigl relativ gut sicherstellen das niemand ohne SSH Key das Web GUI auch nur sieht

 

[Stoiko Ivanov]

Ahh - ich hatte verstanden, dass ssh nur über localhost gehen soll ... - sorry die Verwirrung