Docker öffnet Ports auf der Firewall für Container. Das war für mich unerwartet. Es gibt auch ein paar Informationen im Netz, wie man das verhindern kann. Mir ist das alles zu joker. Es kommt auch eine richtige Firewall vor den Docker- (Oder-was-auch-immer-)Server. Da dieser Server bei einem Hoster steht beschreibt dieser Artikel, wie ich das für mich mit OPNsense umgesetzt habe.

Damit kann jeder leicht seine eigenen Server mit TLS-Zertifikaten ausstatten. Da der Dienst nur überprüft, ob der Antragsteller Kontrolle über die Domain hat, für die er das Zertifikat ausstellt, dürfen die Zertifikate nur eine recht kurze Zeit gültig sein. Man muss sie also häufig erneuern. Dies erledigen verschiedene Programme automatisch. In OPNsense gibt es ein eigenes Plugin zum Einrichten von Zertifikaten.

Bei der Installation von OPNsense kann man schon den DHCP-Server im LAN einschalten. OPNsense kommt auch mit dem DNS-Server Unbound. Leider werden die dynamisch angemeldeten Rechnernamen nicht automatisch aufgelöst, wie man das vielleicht von Dnsmasq kennt. Gehen wir es an.

Nextcloud ist eine sehr gute Lösung für Cloud-Dienste (was immer das heißen mag). Sie ist auch leicht selbst auf einem eigenen Rechner zu hosten. In diesem Artikel beschreibe ich, wie man eine existierende Nextcloud-Instanz in einer OPNsense-DMZ nach außen freigeben.

Ein Reverse-Proxy kann verschiedene Aufgaben übernehmen. In diesem Fall soll er nur verschiedene Server in der DMZ unter einer IP-Adresse mit verschiedenen Domainnamen im Internet sichtbar machen.

Von außen zugreifbare Server sind auch von außen angreifbar, deshalb sollten sie nicht im gleichen Netz mit den anderen Rechnern stehen. Mit einer Demilitarisierten Zone (DMZ) kann man zumindest die Angriffsfläche verringern. Mit OPNsense kann man eine DMZ einfach einrichten. Wie folgt hier.

Das Alix.2d13 von PC Engines ist schon reichlich abgehangen, aber für Experimente kann man es noch gut nutzen.

Nach der Installation von OPNsense sollte man sich einmal mit dem Web-GUI verbinden und den Einrichtungs-Wizard durchlaufen. Das machen wir jetzt.

Firewalls kann man auf die verschiedensten Arten implementieren . Hier wird OPNsense verwendet.

Der QO-100 lässt sich allen Berichten nach einfach mit einem LNB und einem Software Defined Radio (SDR) empfangen. Es gibt Berichte und Analysen zum Drift des LNBs. Für ernsthafte Experimente muss man wohl noch am LNB herumbasteln, aber erste Spielereien sollten auch so funktionieren. Ist es nicht genial, dass man mit einem ganz kleinen Anschaffungswiderstand loslegen kann?

Los geht’s!