[SOLVED] Proxmox Port ändern
- Thread starter Meso
- Start date
Wurde schon mehrfach hier im Forum gefragt.
Es gibt keine einfache Lösung dafür außer den Weg über iptables (irgendwas so wie hier unten):
Die Frage ist, welches Problem willst du damit lösen?
Es gibt keine einfache Lösung dafür außer den Weg über iptables (irgendwas so wie hier unten):
Code:
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8006Die Frage ist, welches Problem willst du damit lösen?
Das bringt was?
Standard für Https wäre ohnehin 443 und für jemanden der wirklich eindringen möchte, bringt einfaches Portrücken auch keine Herausforderung mit sich.
Zumal Managementinterface nichts im Internet zu suchen haben.
Mit ner Firewall and Fail2ban bist du eigentlich schon gut aufgehoben.
Standard für Https wäre ohnehin 443 und für jemanden der wirklich eindringen möchte, bringt einfaches Portrücken auch keine Herausforderung mit sich.
Zumal Managementinterface nichts im Internet zu suchen haben.
Mit ner Firewall and Fail2ban bist du eigentlich schon gut aufgehoben.
Wenn jemand bewusst es auf einen Server absieht, bringt es nichts, aber die größere Gefahr geht heute meiner Meinung auch mehr von automatisierten Bots aus, die bekannte exploits auf bekannte Anwendungsports anwenden.
Bleibt aber immer noch lustiges Blinde-Kuh.
Lieber die Anmeldung mit ohnehin verfügbarer MFA absichern und den Port lassen wo er ist.
Last edited:
Bei einem Zero-Day-Exploit bringt auch MFA nichts. Als ich noch als kid Server gehackt habe, habe ich schnell verstanden, desto weniger ein System von sich etwas preisgibt umso schwieriger ist es dort einzudringen.
1) keine Standards Ports verwenden (wenn möglich)
2) In keinem Fall Versionsnummern oder Anwendungsnamen Preisgeben.
Deshalb laufen auch Dienste wie Http oder Mail niemals unter ROOT-Privilegien, umso befremdlicher ist es, dass man das Admin Interface so leicht findet und es erreichbar ist.
Meine Lösung ist nun per IPtabels meine VPN IP nur für Port 8006 freizugeben und allen anderen Traffic direkt zu blocken. Denke das ist die beste Lösung.
1) keine Standards Ports verwenden (wenn möglich)
2) In keinem Fall Versionsnummern oder Anwendungsnamen Preisgeben.
Deshalb laufen auch Dienste wie Http oder Mail niemals unter ROOT-Privilegien, umso befremdlicher ist es, dass man das Admin Interface so leicht findet und es erreichbar ist.
Meine Lösung ist nun per IPtabels meine VPN IP nur für Port 8006 freizugeben und allen anderen Traffic direkt zu blocken. Denke das ist die beste Lösung.
Letzteres ist natürlich immer noch eine goldene Regel. Ersteres ist einfach falsch außer du heißt Chuck Norris.
Den initialen Anmeldevorgang zu unterlaufen ist sicherlich denkbar und sogar schon passiert, aber eher unwahrscheinlich. Jedenfalls hält MFA Scripkiddies besser ab, als "verstecken" des Ports.
Wo passiert das denn noch?
Abgesehen davon, dass es ohnehin extrem fraglich ist, irgendwelche Administrationsoberflächen im iNet zu exponieren, liefern auch VPNs eventuell Zero-Days.
Deshalb vertraue ich der popeligen Anmeldeseite von Apache-Guacamole mit TOTP.
Für direktes SSH auf Port 22 gilt das genauso.
Keine ist immun gegen (Regressions)lücken, halten aber die Angriffsfläche sehr klein.
Happy Hacking auf Port 22 und 8080.
Sonst gibt es selten freie Ports.
Die Bauchschmerzen verursachen mir Branchenanbieter, die ihre mobilen Anwendungen anbinden wollen und dafür Portfreigaben benötigen.
Irgendwem musst du vertrauen oder den Stecker ziehen.
Du vertraust offenbar einer VPN-"Lösung" ohne Zero-Exploits?
Last edited:
