1. #1

    Registriert seit
    18.08.2022
    Beiträge
    1
    Thanked 0 Times in 0 Posts

    Standard Traffic Anfragen von außen über den Pi

    Hallo,

    ich habe mal eine Frage. Ich habe auf meinem Rasperrry Pi einen Nginx Proxy und leite über ihn alle Anfragen von außen. Wenn ich über eine URL von außen jetzt auf meine DiskStation zugreife, läuft auch der ganze Traffic über den Raspberry? Der Pi ist per Lan an einer Fritzbox angeschlossen.

    Beste Grüße

  2. #2
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    6.080
    Thanked 9.118 Times in 2.995 Posts
    Blog Entries
    5

    Standard AW: Traffic Anfragen von außen über den Pi

    Hi,

    wenn du für die Ports (80/443 für HTTP und HTTPS) NAT-Regeln in deiner Fritz! Box angelegt hast, die auf die statische IP des Raspberry Pi zeigen und der Nginx entsprechend konfiguriert ist, dann läuft der HTTP-Traffic über den Raspberry Pi:

    Internet <---> FritzBox <---> Raspberry Pi <---> Synolog DiskStation

    Bedenke, dass du dies für andere Dienste/Protokolle getrennt einrichten musst. Auf den Synology-NAS kann man ja allerlei zusätzliche Dienste nutzen. Sei es offizielle vom Hersteller wie z.B. Audio Station, oder über Drittanbieter wie beispielsweise WebDAV, LDAP etc. Sollen da umfangreichere Dienste weitergeleitet werden, wirst du mit Nginx schnell an die Grenzen stoßen, da das ein Layer 7 Reverse Proxy ist - das heißt, er arbeitet auf Ebene des HTTP-Protokolls. Für andere Protokolle brauchst du entweder spezifische Reverse Proxys, oder du nutzt einen Layer 4 Proxy wie HAProxy. Der leitet auf der Transportschicht die TCP/UDP Pakete durch. Brauchst du aber nur, wenn es über HTTP hinaus geht. Soll nur das Web-Interface per Internet erreichbar sein, reicht der Nginx aus.

    Falls du mit weiteren Diensten arbeitest oder arbeiten möchtest, findest du hier eine Dokumentation aller Dienste mit den dazugehörigen Ports.

    Aus sicherheitstechnischer Sicht sollte noch erwähnt sein, dass du mit deinem Raspberry Pi keine DMZ zu dem Synology-NAS herstellst, wenn die beide im gleichen Netz liegen. Je nachdem was deine Wünsche, Vorstellungen und Ansprüche sind, kann das trotzdem Sinn machen, etwa um bestimmte Zugriffe über den Reverse Proxy einzuschränken, wo die DiskStation an die Grenzen proprietärer Software kommt. Oder als zentraler Einstiegspunkt vom Internet her. Falls die Absicht dahinter aber eher die Absicherung mittels DMZ sein sollte, brauchst du zwei Netze. Zumindest mit vLANs, im besten Falle per Hardware. Kann man sich natürlich darüber streiten, ob das notwendig ist, gerade wenn es nur ein kleines Netzwerk mit wenigen Geräten ist.

    Wenn du keine DMZ bauen möchtest und es nur darum geht, den Datenverkehr über den Pi zu leiten, dann reicht das so. Ein Blick auf die NAT-Regeln der FB schaden nicht, um sicherzugehen, dass da nicht noch direkt welche auf das NAS zeigen. Würde ich btw. generell ab und an mal machen, gerade an so Stellen ist regelmäßige Inventur sinnvoll, damit da keine Leichen von irgendwelchen Tests übrig bleiben, die am Ende unter ungünstigen Umständen zum Sicherheitsproblem werden können.


Ähnliche Themen

  1. ARP Anfragen laufen falsch herum ab?
    Von DotNet im Forum Internet und Technik
    Antworten: 1
    Letzter Beitrag: 22.04.2017, 14:16
  2. Computer von außen erreichbar machen
    Von AFU im Forum Internet und Technik
    Antworten: 9
    Letzter Beitrag: 29.06.2014, 06:37
  3. [Kritik] Drogenverkauf/Anfragen
    Von Strike im Forum Feedback
    Antworten: 7
    Letzter Beitrag: 28.09.2012, 16:46
  4. [Vorschlag] Anfragen nach Bots unterbinden.
    Von Y zu dem K im Forum Feedback
    Antworten: 11
    Letzter Beitrag: 21.11.2011, 20:56
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.