Docker öffnet Ports auf der Firewall für Container. Das war für mich unerwartet. Es gibt auch ein paar Informationen im Netz, wie man das verhindern kann. Mir ist das alles zu joker. Es kommt auch eine richtige Firewall vor den Docker- (Oder-was-auch-immer-)Server. Da dieser Server bei einem Hoster steht beschreibt dieser Artikel, wie ich das für mich mit OPNsense umgesetzt habe. Vorüberlegungen Ich habe einen physischen Server bei meinem Hoster gemietet.

Damit kann jeder leicht seine eigenen Server mit TLS-Zertifikaten ausstatten. Da der Dienst nur überprüft, ob der Antragsteller Kontrolle über die Domain hat, für die er das Zertifikat ausstellt, dürfen die Zertifikate nur eine recht kurze Zeit gültig sein. Man muss sie also häufig erneuern. Dies erledigen verschiedene Programme automatisch. In OPNsense gibt es ein eigenes Plugin zum Einrichten von Zertifikaten.

Bei der Installation von OPNsense kann man schon den DHCP-Server im LAN einschalten. OPNsense kommt auch mit dem DNS-Server Unbound. Leider werden die dynamisch angemeldeten Rechnernamen nicht automatisch aufgelöst, wie man das vielleicht von Dnsmasq kennt. Gehen wir es an.

Nextcloud ist eine sehr gute Lösung für Cloud-Dienste (was immer das heißen mag). Sie ist auch leicht selbst auf einem eigenen Rechner zu hosten. In diesem Artikel beschreibe ich, wie man eine existierende Nextcloud-Instanz in einer OPNsense-DMZ nach außen freigeben.

Ein Reverse-Proxy kann verschiedene Aufgaben übernehmen. In diesem Fall soll er nur verschiedene Server in der DMZ unter einer IP-Adresse mit verschiedenen Domainnamen im Internet sichtbar machen.

Von außen zugreifbare Server sind auch von außen angreifbar, deshalb sollten sie nicht im gleichen Netz mit den anderen Rechnern stehen. Mit einer Demilitarisierten Zone (DMZ) kann man zumindest die Angriffsfläche verringern. Mit OPNsense kann man eine DMZ einfach einrichten. Wie folgt hier.

Das Alix.2d13 von PC Engines ist schon reichlich abgehangen, aber für Experimente kann man es noch gut nutzen. Vorbereitung Das Board hat keinen Monitoranschluss. Man benötigt eine serielle Konsole zur Einrichtung. Ab Werk steht die Bitrate der seriellen Konsole auf 38400 Bit pro Sekunde. Das ist bei der Installation von OPNsense etwas hinderlich, da OPNsense beim Booten auf 115200 bps umschaltet. Wenn man die Meldungen des tinyBIOS sehen möchte muss man screen mit 38400 bps starten.

Nach der Installation von OPNsense sollte man sich einmal mit dem Web-GUI verbinden und den Einrichtungs-Wizard durchlaufen. Das machen wir jetzt.

Firewalls kann man auf die verschiedensten Arten implementieren . Hier wird OPNsense verwendet.

Nachdem der Cluster aus den ODROID-HC1 läuft (Docker-Cluster mit ODROID-HC1 aufbauen), geht es jetzt daran Kommandos auf den einzelnen Knoten auszuführen. Nach dem Klonen und Anpassen der Rechnernamen ist der Cluster prinzipiell einsatzbereit. Allerdings nervt zum Beispiel das Herunterfahren des Clusters. Auf jedem Konten einloggen und mit sudo halt -p den Knoten herunterzufahren. Nicht gut.