Zabezpieczenie systemu - Przekierowanie portow

Witam. Mam zainstalowanego HA i teraz czas zabezpieczyc system. Wszystko robie zgodnie z instrukcja Artura jak zabezpieczyc H A. Problem mam w jaki sposob przekierowac porty zeby nie narobic dziadostwa.


Czy jest ktos w wstanie pomoc co mam wpisac w poszczegolne pola?

Pewnie tylko TCP 8123 trzeba przekierowa─ç, ale poczekajmy na wparcie praktyk├│w.

Niemniej: jeste┼Ť pewien ┼╝e chcesz wystawi─ç HA na ┼Ťwiat? Rozwa┼╝a┼ée┼Ť bezpieczniejsz─ů opcj─Ö przez VPN?

Zasugerowalem sie poradami artur home. Nie mam pojecia jak przekierowac te porty zeby nie pogorszyc sprawy. Nie nie bralem tego pod uwage bo nie mam o tym zielonego pojecia. Czy przez vpn jest bezpieczniej? Gdzie znajde instrukcje aby to skonfigurowac? Z gory dziekuje za odp.
Dziekuje wszystkim za odp. Zainstalowalem Zero tier. A teraz moje pytanie. Czy nie powinno zmienic sie zw polaczenie jest bezpieczne? U nie wciaz pokazuje ze tak nie jest.

Pod tagiem zdalny-dost─Öp ewentualnie zerotier tailscale vpn

1 Like

Najlepiej poszukaj sobie portu zewn─Ötrznego na li┼Ťcie tutaj SG TCP/IP Ports Database tak aby nie by┼é u┼╝ywany przez ┼╝adn─ů inn─ů us┼éug─Ö - wtedy boty skanuj─ůce najcz─Ö┼Ťciej omijaj─ů taki port i nie masz du┼╝o pr├│b wej┼Ťcia na HA.
Oczywi┼Ťcie przekieruj potem sw├│j port na 8123 lokalnieÔÇŽ

W dzisiejszych czasach otwieranie portu na ┼Ťwiat , to proszenie si─Ö o k┼éopoty. Ilo┼Ť─ç bot├│w szukaj─ůcych luk przez kt├│re mo┼╝na si─Ö wbi─ç jest osza┼éamiaj─ůca. Proponuj─Ö skorzysta─ç z rady @szopen i uruchomi─ç sobie us┼éug─Ö zerotier . Jest bezpieczna i dzia┼éa nawet bez publicznego IP

1 Like

R├│wnie┼╝ uwa┼╝am, ┼╝e obecnie nie ma ┼╝adnej potrzeby otwierania port├│w na ┼Ťwiat. Jest sporo rozwi─ůza┼ä, kt├│re przy minimalnych nawet kosztach, jak zakup domeny, pozwalaj─ů na zdalny dost─Öp z ka┼╝dego miejsca. Mam tu na my┼Ťli chocia┼╝by tunel od Cloudflare. Obecnie do┼Ť─ç prosty w konfiguracji jest dost─Öp poprzez Tailscale, kt├│ry mnie osobi┼Ťcie zaintrygowa┼é.

No to po kolei:
Spr├│buj w ÔÇťPrze┼é─ůcz portyÔÇŁ wpisa─ç 8123 (jak si─Ö da to w obydwu polach), wybierz protok├│┼é TCP. Identycznie w ÔÇťOtw├│rz portyÔÇŁ. Nazewnictwo jest dziwne (pewnie po angielsku brzmi normalniej), ale zapisz i zobacz czy masz dost─Öp do HA ÔÇťz zewn─ůtrzÔÇŁ.

Powinno dzia┼éa─ç, ale pami─Ötaj ┼╝e de facto dajesz dost─Öp dla ca┼éego ┼Ťwiata do Twojego HA. Nie jest to nic z┼éego, ale HA ma mn├│stwo plugin├│w, dodatk├│w, rozszerze┼ä, modu┼é├│w kt├│re POTENCJALNIE maj─ů b┼é─Ödy pozwalaj─ůce na obej┼Ťcie zabezpiecze┼ä HA. I POTENCJALNIE mo┼╝e to doprowadzi─ç, kiedy jaki┼Ť dzieciak b─Ödzie w┼é─ůcza┼é Ci ┼Ťwiat┼éa maj─ůc z tego radoch─Ö.

Jednym z pomys┼é├│w jest postawienie serwera VPN, wsp├│┼écze┼Ťnie wiele router├│w ma to wbudowane. Jest to us┼éuga du┼╝o bardziej sprawdzona i powszechnie u┼╝ywana. Najpierw ┼é─ůczysz si─Ö przez VPN z Twoj─ů sieci─ů lokaln─ů, a potem ÔÇťwidziszÔÇŁ HA tak jakby┼Ť by┼é w domu. I nawet jak HA ma b┼é─Ödy, to najpierw agresor musia┼éby prze┼éama─ç zabezpieczenia VPN, a to ju┼╝ nie jest taka bu┼éka z mas┼éem.

To tak du┼╝ym skr├│cie :slight_smile: Wszystko zale┼╝y na czym masz ÔÇťpostawioneÔÇŁ HA, routery, switche, czy masz IP publiczny czy prywatny, czy masz sta┼éy IP czy nie.

Dziekuje wszystkim za odp. Zainstalowalem Zero tier. A teraz moje pytanie. Czy nie powinno zmienic sie zw polaczenie jest bezpieczne? U nie wciaz pokazuje ze tak nie jest.

Pisz po polsku ca┼éymi s┼éowami, bo trudno zrozumie─ç co masz na my┼Ťli pisz─ůc jakie┼Ť nieistniej─ůce skr├│ty.

Tunel ZT jest szyfrowany i nie jest dost─Öpny publicznie (musisz mie─ç zalogowanego klienta po obu stronach po┼é─ůczenia).

Nie ma tu ┼╝adnego zewn─Ötrznego po┼é─ůczenia, twoja sie─ç ZT jest sieci─ů prywatn─ů i zamkni─Öt─ů, wi─Öc nie jest dost─Öpna w internecie.

W obu (sie─ç za NATem routera dostawcy internetu, oraz sie─ç ZT) swoich sieciach lokalnych natomiast nie u┼╝ywasz SSL i dlatego nie widzisz ikonki bezpiecznego po┼é─ůczenia.
Je┼Ťli nie zrobisz jakiego┼Ť szczeg├│lnie g┼éupiego ruchu w stylu otwarcia dost─Öpu z internetu do swojej sieci LAN, to mimo braku szyfrowania mi─Ödzy serwerem a przegl─ůdark─ů nie ma kto pods┼éuchiwa─ç przesy┼éanych danych, wi─Öc brak SSL nie ma wp┼éywu na nic.

Cze┼Ť─ç,
pytanie od laika. U┼╝ywam do tej pory HA na Proxmoxie tylko w sieci lokalnej. Mam router z mo┼╝liwo┼Ťci─ů serwera VPN oraz przekierowania portu TCP u operatora. Adres IP jest dynamiczny. Czy mo┼╝e kto┼Ť mi wskaza─ç kierunek w jaki naj┼éatwiejszy i najbezpieczniejszy spos├│b wykona─ç zdalny dost─Öp. Z racji ogromu materia┼éu na forum zale┼╝y mi przynajmniej na wskazaniu kierunku, kt├│ry sam postaram si─Ö nast─Öpnie przestudiowa─ç. Je┼╝eli s─ů potrzebne jakie┼Ť dodatkowe dane to pytajcie.

Dzi─Öki za odpowied┼║.

Je┼Ťli masz tam na tym proxmoxie HAOS lub HA Supervised (i VM ma sie─ç w trybie mostka, cho─ç do zupe┼énie podstawowego dzia┼éania nawet mo┼╝e by─ç NAT, tylko on psuje wiele innych rzeczy lokalnie), to tu masz opisane absolutnie naj┼éatwiejsze rozwi─ůzanie bez anga┼╝owania routera ani otwierania port├│w (to jest tunel cloudflared ÔÇťna cudzej domenieÔÇŁ, a konkretnie na domenie nale┼╝─ůcej do projektu AIS)

Je┼Ťli masz w┼éasn─ů domen─Ö to mo┼╝esz u┼╝y─ç rozwi─ůzania cloudflared ÔÇťw zwyk┼éej postaciÔÇŁ.

Opr├│cz tego rozwi─ůzania chmurowaych VPN zerotier i tailscale (oba wymagaj─ů klient├│w po obu stronach tunelu). Te 2 Dodatki s─ů akurat dost─Öpne w preinstalowanych repozytoriach w Sklepie.

Wszystkie powy┼╝sze rozwi─ůzania nie wymagaj─ů otwierania port├│w.

PS Dla porz─ůdku powinienem wspomnie─ç o NabuCasa - to dost─Öp chmurowy do HA (miesi─Öczny trial jest free), z tego projektu za to s─ů op┼éacani etatowi programi┼Ťci dbaj─ůcy o rozw├│j HA, wi─Öc je┼Ťli si─Ö nie znasz na sieciach i chcesz wspiera─ç rozw├│j HA to polecam.