Toon posts:

Cloudflare (Sub)Domein en Firewall WAF, instellingen goed?

Pagina: 1
Acties:

Vraag


  • Rozz
  • Registratie: April 2000
  • Laatst online: 02-02 11:56

Rozz

I'm an Apogian!!

Topicstarter
Ik heb sinds een paar dagen een eigen domein via cloudflare met diverse subdomeinen welke met zero trust tunnels is verbonden aan diverse hosts bij mij thuis.

Nu heb ik denk ik de firewall instellingen goed maar wil toch graag even terug koppeling dat ik het inderdaad bij het juiste eind heb hoe ik het heb ingesteld en bedoel.

* Als eerste heb ik bij WAF Security Tools mijn eigen WAN IP toegang gegeven voor alle websites in mijn account, via de tunnels dus en via mijn eigen thuis netwerk (voor nu iig)
* Dan eerste WAF firewall regel: Block alles wat niet van bepaalde provider (ASN) komt.
* Tweede: Alleen toestaan dat bepaalde User Agent toegang krijgt (specifiek door een bepaalde app op telefoon)

Klopt het dan nu dat ik alleen via deze specifieke user agent (app) via deze provider toegang in NL heb? en niemand anders ongeacht hoe veel/vaak ze proberen (of ze moeten wel heel specifiek de app zo instellen via mijn provider, maar dan kom je tegen de inlog via email/ww en 2fa aan)

Ik ben een noob en een beetje zoekende wat dit betreft, er zijn zoveel tutorials met bijv certficaten instellen dat ik door de bomen het bos niet meer zie.
Reden dat ik het vraag is omdat ik bij Events veel poging voorbij zie komen die weliswaar geblokt worden maar ik word daar nerveus van omdat ik er op dit moment te weinig van af weet. :P

Dus schiet maar raak en als je goede andere tips/tutorials kan geven hoe ik dit beter in kan stellen, graag! _/-\o_

Alle reacties


  • Rozz
  • Registratie: April 2000
  • Laatst online: 02-02 11:56

Rozz

I'm an Apogian!!

Topicstarter
Inmiddels aan het stoeien met de mTLS wat denk ik het meest veilige is?

  • SVMartin
  • Registratie: November 2005
  • Niet online
Je moet het denk ik even aan mij uitleggen, alsof ik ook een noob ben.

Ik vermoed:
- je hebt ergens hosting ingekocht voor een aantal websites (waar? Gebruik je nog een cms, welke?)
- je hebt Cloudflare toegepast om toegang tot deze websites te beschermen? Waartegen wil je beschermen, en waarmee/hoe precies?
- je wilt vanuit huis wel toegang hebben tot de websites.
-waar staat de firewall, en wat voor type firewall is dat?
- wat is een zero trust tunnel?

  • Rozz
  • Registratie: April 2000
  • Laatst online: 02-02 11:56

Rozz

I'm an Apogian!!

Topicstarter
Ja inderdaaad erg summier als ik mijn vraag zo terug lees...
OK @SVMartin

Ik heb een domein bij cloudflare en ik host een paar dingen zelf op mn eigen server thuis, sommige hiervan wil alleen ik (en mn vriendin) kunnen benaderen buitenshuis.

Omdat ik geen porten op mn eigen router wil open stellen heb ik een cloudflare tunnel opgezet, deze maakt outbound connecties met cloudflare waardoor ik van buiten binnen mn netwerk kan komen.

In cloudflare heb ik diverse sub domeinen die dus naar diverse webservers (interne ipadressen:porten bij mij thuis linken)
Alleen is het zo dat iedereen die die website intikt mn netwerk/webserver op komt (logisch) en dus heb ik diverse firewall regels bij cloudflare ingesteld.
Deze firewall regels (gebaseerd op provider, en een zeer specifieke header die mijn telefoon app door geeft) houden alles wel tegen en ik kan mijn eigen spul van buiten benaderen maar ik zie dat er veel wordt geprobeerd om binnen te komen omdat de subdomeinen gewoon openbaar bekend zijn.

Zoals ik het nu zie, iedereen die deze app ook heeft en op mijn provider zit kan mijn host op, wordt dan wel weer tegen gehouden door inlog/ww/2fa

Mijn vraag is eigenlijk, hoe zorg ik ervoor dat ALLEEN mijn vriendin en ik (bijv via een certificaat) binnenkom en de rest niet ongeacht of ze de app/provider hebben.

P.S. inmiddels dacht ik een oplossing te hebben gevonden dat via mTLS werkt, (een eigen CA root certificaat op onze telefoons, en een client certificaat op cloudflare -dus precies andersom hoe cloudflare werkt- maar dan moet ik een enterprise abbo bij cloudflare hebben)

  • eLScha
  • Registratie: Juli 2005
  • Laatst online: 08:20
Kun je niet een VPN opzetten op die server thuis? Verbind je op eender welk apparaat met die VPN en dan zit je in je eigen netwerk.

  • Thralas
  • Registratie: December 2002
  • Laatst online: 01:31
Rozz schreef op zondag 18 december 2022 @ 17:04:
Mijn vraag is eigenlijk, hoe zorg ik ervoor dat ALLEEN mijn vriendin en ik (bijv via een certificaat) binnenkom en de rest niet ongeacht of ze de app/provider hebben.
Gebruik een VPN.
P.S. inmiddels dacht ik een oplossing te hebben gevonden dat via mTLS werkt, (een eigen CA root certificaat op onze telefoons, en een client certificaat op cloudflare -dus precies andersom hoe cloudflare werkt- maar dan moet ik een enterprise abbo bij cloudflare hebben)
Daarmee wordt 't snel complexer dan een VPN-oplossing. Enige voorwaarde is dat je een apparaat in je netwerk hebt dat WireGuard of OpenVPN ondersteunt, maar daarna heb je heel Cloudflare niet meer nodig.

  • Rozz
  • Registratie: April 2000
  • Laatst online: 02-02 11:56

Rozz

I'm an Apogian!!

Topicstarter
VPN heb ik al werkend, maar ik wil die niet steeds aan/uit zetten om die app te gaan gebruiken.

  • SVMartin
  • Registratie: November 2005
  • Niet online
Ja, vpn is echt sneller en eenvoudiger, daarom ook veiliger. Je moet er wel voor zorgen dat je de vpn server altijd update, maar dat geldt voor alles dat je doet. Ik heb zelf wireguard op opnsense en als in de deur uit stap is het 1 swipe en 1 tik en heb ik vpn. Ik doe dat vooral omdat ik daarmee ook mijn pihole als dns gebruik.

Ik heb tegenwoordig ook een dmz met een WordPress installatie. Ook veilige automatische updates en sterke wachtwoorden. Ik zou geolocatie filtering kunnen toevoegen. Ik zie ze ook van alles proberen om binnen te komen, maar dat zijn automatische scans.

  • Thralas
  • Registratie: December 2002
  • Laatst online: 01:31
Rozz schreef op zondag 18 december 2022 @ 17:14:
VPN heb ik al werkend, maar ik wil die niet steeds aan/uit zetten om die app te gaan gebruiken.
Met WireGuard kun je 't altijd aan laten, het batterijverbruik is verwaarloosbaar.

Het is alleen handig om 'm uit te schakelen als je op je eigen WiFi zit. Onder iOS kun je die uitzondering zo instellen in de app, voor Android heb je iets als Tasker nodig. Werkt meer dan uitstekend.

  • Rozz
  • Registratie: April 2000
  • Laatst online: 02-02 11:56

Rozz

I'm an Apogian!!

Topicstarter
VPN is idd gewoon super handig, maar het moet gewoon kunnen werken alleen weet ik er veels te weinig van op dit moment.
Wireguard is misschien wel een tijdelijke oplossing als ik idd vpn kan auto uitzetten...ook maar eens in gaan verdiepen.

MAAR....ik blijf het vragen, wie weet hoe ik dus via cloudflare en hun zero trust tunnels ervoor kan zorgen dat alleen bepaalde mensen kan toelaten.

Wat ik ook hiermee bereik is dat al mn hosts een mooi slotje via https hebben, en ja ook al is dat op mn eigen thuis netwerk.

  • SVMartin
  • Registratie: November 2005
  • Niet online
Deze firewall regels (gebaseerd op provider, en een zeer specifieke header die mijn telefoon app door geeft) houden alles wel tegen
Blijkbaar niet, want je zegt dat je ongewenst verkeer ziet:
maar ik zie dat er veel wordt geprobeerd om binnen te komen omdat de subdomeinen gewoon openbaar bekend zijn.
Dat verkeer zou dan vanuit klanten komen die bij dezelfde provider zitten (dat is een Vodafone of kpn omdat jij daar een mobiel abbonement hebt?) en die ook die app gebruiken? (Welke precies?)

Gaat dat verkeer dan via die zero trust tunnel, dus komt binnen bij Cloudflare, of komt het ook binnen op jouw server thuis?

  • Rozz
  • Registratie: April 2000
  • Laatst online: 02-02 11:56

Rozz

I'm an Apogian!!

Topicstarter
SVMartin schreef op zondag 18 december 2022 @ 18:52:
[...]
Blijkbaar niet, want je zegt dat je ongewenst verkeer ziet:
[...]
Dat verkeer zou dan vanuit klanten komen die bij dezelfde provider zitten (dat is een Vodafone of kpn omdat jij daar een mobiel abbonement hebt?) en die ook die app gebruiken? (Welke precies?)

Gaat dat verkeer dan via die zero trust tunnel, dus komt binnen bij Cloudflare, of komt het ook binnen op jouw server thuis?
Nee ik zie geen verkeer, ik zie poging om bij mijn hosts in te loggen of te scannen...deze zijn vanuit de gehele wereld...en de firewall regels bij cloudflare houden dit tegen....regels gebaseerd op:

1) block "alles niet van mijn telefoon provider afkomt" ASN
2) block "alles wat http/1.1" gebruikt
3) block "alles wat geen header "bladiebla" gebruikt" -deze header wordt door mijn app gestuurd.

Als ik met mijn telefoon via de app naar mijn domein ga, dan ga ik via de zero-trust-tunnel door betreffende firewall heen rechtstreeks naar mijn host, waar ik dan evt met inlog/ww/2fa kan inloggen.

Als iemand bovenstaande 3 firewall regels ook heeft/gebruikt komt ie dus ook bij mn host....ik wil dit dus meer afschermen.
Maar tot op heden is het mij niet gelukt, en wireguard op mn UDMPro ook nog niet.

Morgen weer een dag...
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee