NPM + CP + WAF

Im Zeitraum vom 09.04.2024 - 28.03.2025 ist der Support eingeschränkt. In dem genannten Zeitraum, befinde ich mich auf einer Weiterbildung.

    Hallo zusammen, ich glaube, ich benötige etwas Hilfe bzw. einen Denkanstoß :)

    Ich verwende CloudPanel v2 in der Hetzner Cloud-Infrastruktur für meine Webseiten.
    Nun sehe ich, dass ich über Nginx Proxy Manager Zentral die SSL-Zertifikate zb. Wildcard verwalten könnte, das wäre ja mega Spannend.
    Mein Gedanke geht eventuell noch weiter - Wie wäre es, wenn NPM gleich auch eine WAF integriert hätte?

    Warum: Dann würde ja schon vorab der Traffic gefiltert beim Cloud Panel Server aufschlagen und nicht mehr ungefiltert.
    Ich habe da etwas gegoogelt und bin auf das Tutorial gestoßen "Crowdsec Integration zu Cloud Panel".

    Nun zur Frage, gibt es eine vernünftige best practice Empfehlung, wie ich eine WAF z. B. Crowdsec in NPM betreiben kann?

    Bitte korrigiert mich, wenn ich komplett auf dem Holzweg bin.

    Vielen Dank
    Stoffl

    Edit: Ich hab mal eine Skizze hochgeladen, wie ich mir das aktuell vorstelle. (NPM Server). Der Rest ist bestand und gibt es schon. eventuell kann ich ja den unifi server auch hinter den NPM setzen ... aktuell hat dieser eine eigene Subdomain.

    Gitlab / Git Runner sind mom öffentlich begrenzt erreichbar, könnten aber eine vernünftige FW natürlich auch gebrauchen.

    Huhu,

    bei der Infrastruktur würde ich zu einem etwas anderem Setup raten.

    Die pfSense kann hier alle Arbeiten ausführen. Hier kannst du jeden Traffic individuell nach Regeln definieren. Auch kannst du damit ein WireGuard VPN Managment betreiben, Let's Encrypt nutzen und mit der HAProxy-Erweiterung auch alles steuern.

    Zitat von stoffl

    Nun zur Frage, gibt es eine vernünftige best practice Empfehlung, wie ich eine WAF z. B. Crowdsec in NPM betreiben kann?

    Ich glaube eine best practice gibt es hier nicht. Da die Anwendungsfälle so Unterschiedlich sein können.

    Hi vielen Dank, pfSense hatte ich schon.
    Diese musste ich regelmäßig neu starten, allerdings war dort das Setup auf einem ded Server und Virtualisierung glaube kvm. Ab einem gewissen Traffic hat sich die Maschine verabschiedet. Weshalb ich da sehr vorsichtig geworden bin.
    Was mir aber in pfSense fehlt, eine Möglichkeit für die WAF wie Crowdsec odg. Bzw. ich konnte in Package List nichts finden.
    Package List | pfSense Documentation

    Also ich möchte wirklich so viel Traffic wie möglich abfangen. Als Alternative bietet sich dann nur noch Cloudflare an oder eben npm + Crowdesc --> CP


    Ein ganz anderer Ansatz, den ich mir auch noch stelle: Würde es mehr Sinn machen, hier auf Docker zu setzen?

    Also einen Server bei der Serverbörse holen oder Cloud basierend, dort direkt Docker darauf klatschen. Nach meinem Kenntnisstand kann ich ja alles in den Containern betreiben - lediglich die persistenten Daten muss ich Sorgen halten. Eventuell dafür eine S3 (Object store von Hetzner)
    Was mich bei Docker / ded Server noch stört, dann müsste ich mich jetzt um die Sicherungen auch noch kümmern, gibt ja dann keine Backup-Solution von Hetzner / Snapshot Solution bei ded Servern. Bis jetzt hatte ich das Glück, über Veeam und VMWare Backups machen zu können. Aber auch hier, Monitoren, Tracken prüfen ...

    Danke

    Stoffl

    Zitat von stoffl

    Hi vielen Dank, pfSense hatte ich schon.
    Diese musste ich regelmäßig neu starten, allerdings war dort das Setup auf einem ded Server und Virtualisierung glaube kvm. Ab einem gewissen Traffic hat sich die Maschine verabschiedet. Weshalb ich da sehr vorsichtig geworden bin.
    Was mir aber in pfSense fehlt, eine Möglichkeit für die WAF wie Crowdsec odg. Bzw. ich konnte in Package List nichts finden.
    Package List | pfSense Documentation

    Also ich möchte wirklich so viel Traffic wie möglich abfangen. Als Alternative bietet sich dann nur noch Cloudflare an oder eben npm + Crowdesc --> CP

    Das hatte ich tatsächlich noch nie. Hier wäre noch eine Alternative https://docs.crowdsec.net/docs/getting_s…wdsec_opnsense/

    Zitat von stoffl

    Ein ganz anderer Ansatz, den ich mir auch noch stelle: Würde es mehr Sinn machen, hier auf Docker zu setzen?

    Also einen Server bei der Serverbörse holen oder Cloud basierend, dort direkt Docker darauf klatschen. Nach meinem Kenntnisstand kann ich ja alles in den Containern betreiben - lediglich die persistenten Daten muss ich Sorgen halten. Eventuell dafür eine S3 (Object store von Hetzner)
    Was mich bei Docker / ded Server noch stört, dann müsste ich mich jetzt um die Sicherungen auch noch kümmern, gibt ja dann keine Backup-Solution von Hetzner / Snapshot Solution bei ded Servern. Bis jetzt hatte ich das Glück, über Veeam und VMWare Backups machen zu können. Aber auch hier, Monitoren, Tracken prüfen ...

    Das würde gehen. Du könntest auch auf einen Ded Server Proxmox laufen lassen und hier via ZFS Snapshots anlegen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden