Cloud vom Internet abschotten möglich?

  • Hallo miteinander,

    momentan spiele ich mit dem Gedanken einen zweiten Pi zu kaufen der in erster Linie als LAN Festplatte fungieren soll. Ich bin großer Microsoft OneDrive Fan. Das Konzept ist super. Lokal möchte ich zukünftig größere Dateien verwalten und von mehreren Geräten aus bearbeiten. Daher dachte ich mir, das kann ein Pi übernehmen der 24/7 läuft. Als Software wollte ich Owncloud einsetzen. Der Dienst scheint identisch zu OneDrive zu sein.

    In der Regel sollte ein Pi Zero oder Zero W ausreichen. Optimal wäre ein Pi 3B dass ich neben der Cloud als Mediacenter zum Abspielen von Filmen und Mediatheken (Kodi) nutzen würde. Allerdings müsste der Pi dann in jedem Fall mit dem Internet verbunden sein.

    Mit stellt sich jetzt die Frage, kann ich einen Pi 3B kaufen, Owncloud oder eine passende Alternatiive installieren und vom Internet abschotten so dass die Cloud nur über das LAN erreichbar ist und nebenbei läuft Kodi welches mit dem Internet verbunden ist? Einen besonderen OS Wunsch habe ich nicht. Raspbian finde ich ganz gut.
    Ansonsten müssten wohl ein Pi Zero und Pi 3 separat laufen. :(


  • ..., Owncloud oder eine passende Alternatiive installieren und vom Internet abschotten so dass die Cloud nur über das LAN erreichbar ist ...

    Das sollte mit iptables möglich sein bzw. evtl. auch "nur" mit Hilfe der Konfiguration dieses Dienstes.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Danke schonmal für die Tipps.

    Wäre das hier die richtige Einstellung? Ich habe weder viel Ahnung von Iptables noch von der Linux Konfiguration.
    Müsste ich in der Zeile:

    Code
    Allow from xxx.xxx.xxx [where the ip is your lan's private ip  e.g  192.168.1 (leave the last group off)]


    jede lokale IP Adresse eingetragen werden? Ich nutze DHCP und möchte das gerne beibehalten.


    Seafile scheint ähnlich zu Owncloud zu funktionieren. Ich mache mir Sorgen hinsichtlich des in beiden Fällen notwendigen Webservers und der Datenbank. Diese werden ja unabhängig von dem Cloud-Dienst installiert und sind für Jedermann unter Umständen zugänglich.


  • Müsste ich in der Zeile:

    Code
    Allow from xxx.xxx.xxx [where the ip is your lan's private ip  e.g  192.168.1 (leave the last group off)]


    jede lokale IP Adresse eingetragen werden?

    Nein, denn mit iptables kann man als source auch ein Subnetz konfigurieren. Z. B.:

    Code
    iptables -I INPUT 1 -p tcp -i <input-Interface> ! -s 192.168.???.0/24 -d 192.168.???.?? --dport xxxx -j REJECT

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hi,
    wozu der Aufwand? Solange du an deinem Router keine Ports an deinen raspberry forwardest, ist der sowieso nur im LAN erreichbar. :)

    Normal wird die Frage immer anders herum gestellt, sprich wie du deinen raspi ins Internet bekommst. ;)

    Einmal editiert, zuletzt von franky273 (7. Mai 2017 um 18:52)

  • Werden die Ports nicht von heutigen Routern automatisch geöffnet? Ich habe einen Speedport und musste bisher bspw. für meine Konsole keine Ports öffnen. Vor guten 10 Jahren war das für fast jedes Onlinespiel notwendig. Wenn dem so ist, wäre das natürlich super.
    Laut Webinterface bietet mein Router eine dynamische und eine manuelle Portfreigabe. Eingetragen ist scheinbar nichts.

  • UPnP erlaubt internen Geräten selbstständig Löcher in die FW zu bohren. Dann muss man nicht manuell irgendwelche Ports öffnen. Allerdings hat man damit auch keine Kontrolle mehr wer in dem lokalen Netz Ports geöffnet hat.

    Ich kann nur jedem empfehlen UPnP im Router auszuschalten - sofern es geht :rolleyes:

  • HI,
    UPNP funktioniert allerdings nur Client seitig. Sprich der Request muss von einem internen Rechner (aus dem LAN) kommen. Zudem startet ein RPi keine UPNP Verbindungen, zumindest nicht der Webserver.
    Grundsätzlich wird der Webserver auf dem Raspi ohnehin niemals im Internet erreichbar sein, ohne entsprechendes Forwarding am Router einzustellen, und nein das passiert auch nicht mit eingeschaltetem UPnP :)
    Du kannst aber einfach die Gegenprobe machen, starte auf dem raspi den Webserver und ruf zB über das Handy (wichtig nicht mit WLAN verbunden sein, sondern über das Handynetz!) eine Webanfrage auf deine öffentliche IP Adresse. Dabei dürfte sich maximal der Router melden - diese sind ab Werk nämlich häufiger viel schlimmer vorkonfiguriert und betreiben oft selbst ein Fernwartungsinterface auf dem Webserver Port!
    Den Raspi wirst du da aber mit ziemlicher Sicherheit nicht treffen, erst wenn du auf deinem Router eine Port Weiterleitung von Port 80 auf die interne IP deines raspi anlegst, wird der erreichbar sein.
    Mit iptables würde ich auf Rechnern im LAN auch nichts rum konfigurieren - viel wichtiger wäre es, mal die Konfiguration eures Routers zu checken. Weil falls die iptables rules wirklich greifen, ist der Angreifer bereits im LAN, und damit ist Euer lokales Netz dann ohnehin schon kompromittiert.

  • ... UPNP funktioniert allerdings nur Client seitig. Sprich der Request muss von einem internen Rechner (aus dem LAN) kommen. Zudem startet ein RPi keine UPNP Verbindungen, zumindest nicht der Webserver...


    Stimm. Mein Hinweis auf UPnP zu disablen bezog sich auf

    Zitat von &quot;eiskalt&quot;

    ...ch habe einen Speedport und musste bisher bspw. für meine Konsole keine Ports öffnen. Vor guten 10 Jahren war das für fast jedes Onlinespiel notwendig...


    und ist <OT> aber ich finde es wichtig darauf hinzuweisen :)

  • Absolut, da theoretisch auch Malware oder Viren denkbar sind, die genau das auf einem Client PC tun könnten - also Ports auf den eigenen Rechner weiterleiten lassen.
    In jedem Fall aber birgt es natürlich einen gewissen Kontrollverlust, die Geräte alles selbst verwalten zu lassen.

    Was ich halt zum Ausdruck bringen wollte: In erster Linie sollte man sich die Konfiguration seines Router ansehen, weil wenn ein Rechner direkt im Internet über seine öffentliche IP erreichbar ist, läuft da schon was falsch. :)


    Zudem sehe ich Sicherheitslücken im Router als deutlich kritischer, schlicht weil das in der Regel das einzige Gerät ist, dass direkt übers Internet erreichbar ist.

    Einmal editiert, zuletzt von franky273 (7. Mai 2017 um 21:01)

  • Das hört sich gut an.
    UPnP kann ich im Interface nicht finden, den Punkt gibt es nicht. Nach meiner Recherche besitzen die Speedports der Telekom immer noch kein UPnP. :)
    Wenn ich meine öffentliche IP versuche mit dem Smartphone aufzurufen, passt nichts. Nicht mal ein Timeout wird ausgegeben. Klar, es hängt noch kein Webserver hinter dem Router aber das gibt mir gewissermaßen Sicherheit.

    Ich denke hinsichtlich Viren und Malware gut aufgestellt und sensibilisiert zu sein. Nur machen mir die sogenannten Scanner sorgen. Soweit ich weiß durchforsten diese Tools den ganzen Tag irgendwelche IP-Blöcke nach Diensten und Ports. Regelmäßig Updates durchführen stellt kein Problem dar aber einen Webserver absichern oder überhaupt zu Prüfen was sicher ist und was nicht, ist für mich nicht machbar. Daher die Frage.

    Demnach war das Thema umsonst, da von Werk aus weder Owncloud noch Seafile beabsichten automatisch Dateien im Internet verfügbar zu machen.

  • Wie gesagt, ein Scanner wird unter deiner öffentlichen IP immer nur deinen Router finden... Alle anderen Rechner im LAN haben überhaupt keinen direkten Zugang zum Internet, nicht solange du über einen Router ins Netz gehst.
    Anders sähe das aus wenn du direkt an deinem PC ein Einwahlmodem (wie früher) betreiben würdest.


    Gesendet von iPhone mit Tapatalk


  • Wie gesagt, ein Scanner wird unter deiner öffentlichen IP immer nur deinen Router finden...

    BTW: Warum vertraust Du einem Router mit einer Firmware, die vielleicht nur teilweise open source ist bzw. dieser Router evtl. auch noch ein Zwangsrouter ist (dessen Firmare nur der Provider updaten kann/darf) mehr, als einem Rechner (der z. B. "border device" ist und die öffentliche IP-Adresse hat) mit einem Betriebssystem das z. B. zu 100% open source ist?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • Wo hab ich denn geschrieben, dass ich das tue?

    Ich habe das aus deinem Beitrag (siehe oben) so verstanden.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich glaube du verstehst was anderes unter einem Router als ich. Ein Router muss nicht zwangsweise eine kleine (Fritz) Box sein, die zwischen PC und Modem hängt.

    Wenn du das Modem direkt an einen PC hängst und dieser mit öffentlicher IP im Netz ist und das Netzwerk verteilt, ist er genauso der Router. ;)

    Es ist für mich unerheblich welche Art von Router du einsetzt, Fakt ist aber, das Gerät das direkt im Internet hängt (und das ist in der Regel bei den meisten ein dediziertes Router Device oder eben ein PC mit angeschlossenem Modem), ist das einzige das aus dem Internet aus erreichbar ist (nicht umgekehrt!), und jeder der in dein LAN will muss daran vorbei, folglich sollte das gut geschützt sein.

    Hingegen einen weiteren PC hinter bspw. einer Fritzbox mit iptables zu schützen ist Overkill, außer du hast wirklich Angst, dass AVM heimlich und undokumentiert sämtliche Ports an alle PCs im LAN weiterleitet ... aber selbst das sollte sich mit Netzwerk Monitoring tools rausfinden lassen. :)

    PS: Falls es dein Plan war hinter der "Fritzbox" einen 2. Gateway Router aufzumachen, der quasi allein mit der "Fritzbox" verbunden ist und alle anderen nur mit ihm, dann erhöht das natürlich die Sicherheit (und Komplexität), ist dann aber eben auch nix anderes als ein weiterer Router dazwischen.

    Router = Funktion, nicht Gerät :)

    Einmal editiert, zuletzt von franky273 (8. Mai 2017 um 10:00)


  • Ich glaube du verstehst was anderes unter einem Router als ich.

    Das glaube ich nicht.


    Es ist für mich unerheblich welche Art von Router du einsetzt, ...

    Naja, es ist schon ein Unterschied ob man einen Router (evtl. Zwangsrouter) mit einer Firmware hat die nicht open source ist bzw. die Firmware auch nicht selber updaten kann und einem "selbst gebauten" Router mit einer Firmware/OS die/das zu 100% open source ist.

    EDIT:


    Router = Funktion, nicht Gerät


    Genau: Funktion und nicht Hardware, ... und welchen Einfluss hat die Firmware bzw. das OS auf die Funktion?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (8. Mai 2017 um 10:05)

  • Ja, aber ändert doch die Aussage nicht, dass der Router das wichtigste zu schützende Device ist, sobald daran jemand vorbei kommt, ist er im LAN ... und wenn nicht, dann eben nicht. WAS der Router ist, hab ich doch nirgendwo definiert. Wenn du bei dir lieber n selbst gebauten Router verwenden willst, ist dass doch deine Sache, es bleibt dann aber immer noch ein Router?!

    Was bringt es mir noch, die PCs HINTER dem Router zu schützen, wenn der Router selbst dicht ist (oder auch nicht)?
    Wenn ich meine Haustür abschließe, ist es auch unerheblich ob die Zimmertür oben aufsteht ... und wenn ich an einem raspi mit iptables rum doktor, obwohl der selber gar keine öffentliche IP hat ist das Investition in die Sicherheit an schlicht der falschen Stelle. Solange der Raspi nicht explizit als Router eingerichtet ist, was bringt es mir dann noch den abzuschotten? Konkretter, was bringt es mir exterene IPs zu filtern, wenn sämtliche Pakete vom internen Router kommen? Die Regel kann niemals greifen.

    Was anderes ist es eben, wenn ich bestimmte Ports an den Raspi weiterleite, dann machen iptables Restriktionen eben sehr wohl Sinn.

    Einmal editiert, zuletzt von franky273 (8. Mai 2017 um 10:14)


  • ..., dass der Router das wichtigste zu schützende Device ist, ...

    Ja, nur ist es leider so, dass man nicht jeden Router (bzw. die meisten Router) nicht selber schützen kann, ... weil: siehe oben.


    ... sobald daran jemand vorbei kommt, ist er im LAN ...

    Es gibt auch den anderen Fall, dass jemand am Router _nicht_ vorbei kommt, sondern lediglich _im_ Router ist, aber noch lange nicht im LAN ist.

    ... und btw. das sieht mit IPv6 dann wieder ganz anders aus. Da ist jedes Gerät das aus dem Internet erreichbar sein soll, als "border device" mit seiner globalen IPv6-Adresse direkt im Internet.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!