Cloudflare (Sub)Domein en Firewall WAF, instellingen goed?

Ik heb sinds een paar dagen een eigen domein via cloudflare met diverse subdomeinen welke met zero trust tunnels is verbonden aan diverse hosts bij mij thuis.

Nu heb ik denk ik de firewall instellingen goed maar wil toch graag even terug koppeling dat ik het inderdaad bij het juiste eind heb hoe ik het heb ingesteld en bedoel.

* Als eerste heb ik bij WAF Security Tools mijn eigen WAN IP toegang gegeven voor alle websites in mijn account, via de tunnels dus en via mijn eigen thuis netwerk (voor nu iig)
* Dan eerste WAF firewall regel: Block alles wat niet van bepaalde provider (ASN) komt.
* Tweede: Alleen toestaan dat bepaalde User Agent toegang krijgt (specifiek door een bepaalde app op telefoon)

Klopt het dan nu dat ik alleen via deze specifieke user agent (app) via deze provider toegang in NL heb? en niemand anders ongeacht hoe veel/vaak ze proberen (of ze moeten wel heel specifiek de app zo instellen via mijn provider, maar dan kom je tegen de inlog via email/ww en 2fa aan)

Ik ben een noob en een beetje zoekende wat dit betreft, er zijn zoveel tutorials met bijv certficaten instellen dat ik door de bomen het bos niet meer zie.
Reden dat ik het vraag is omdat ik bij Events veel poging voorbij zie komen die weliswaar geblokt worden maar ik word daar nerveus van omdat ik er op dit moment te weinig van af weet.

Dus schiet maar raak en als je goede andere tips/tutorials kan geven hoe ik dit beter in kan stellen, graag!

Inmiddels aan het stoeien met de mTLS wat denk ik het meest veilige is?

Ja inderdaaad erg summier als ik mijn vraag zo terug lees...
OK @SVMartin

Ik heb een domein bij cloudflare en ik host een paar dingen zelf op mn eigen server thuis, sommige hiervan wil alleen ik (en mn vriendin) kunnen benaderen buitenshuis.

Omdat ik geen porten op mn eigen router wil open stellen heb ik een cloudflare tunnel opgezet, deze maakt outbound connecties met cloudflare waardoor ik van buiten binnen mn netwerk kan komen.

In cloudflare heb ik diverse sub domeinen die dus naar diverse webservers (interne ipadressen:porten bij mij thuis linken)
Alleen is het zo dat iedereen die die website intikt mn netwerk/webserver op komt (logisch) en dus heb ik diverse firewall regels bij cloudflare ingesteld.
Deze firewall regels (gebaseerd op provider, en een zeer specifieke header die mijn telefoon app door geeft) houden alles wel tegen en ik kan mijn eigen spul van buiten benaderen maar ik zie dat er veel wordt geprobeerd om binnen te komen omdat de subdomeinen gewoon openbaar bekend zijn.

Zoals ik het nu zie, iedereen die deze app ook heeft en op mijn provider zit kan mijn host op, wordt dan wel weer tegen gehouden door inlog/ww/2fa

Mijn vraag is eigenlijk, hoe zorg ik ervoor dat ALLEEN mijn vriendin en ik (bijv via een certificaat) binnenkom en de rest niet ongeacht of ze de app/provider hebben.

P.S. inmiddels dacht ik een oplossing te hebben gevonden dat via mTLS werkt, (een eigen CA root certificaat op onze telefoons, en een client certificaat op cloudflare -dus precies andersom hoe cloudflare werkt- maar dan moet ik een enterprise abbo bij cloudflare hebben)

VPN heb ik al werkend, maar ik wil die niet steeds aan/uit zetten om die app te gaan gebruiken.

VPN is idd gewoon super handig, maar het moet gewoon kunnen werken alleen weet ik er veels te weinig van op dit moment.
Wireguard is misschien wel een tijdelijke oplossing als ik idd vpn kan auto uitzetten...ook maar eens in gaan verdiepen.

MAAR....ik blijf het vragen, wie weet hoe ik dus via cloudflare en hun zero trust tunnels ervoor kan zorgen dat alleen bepaalde mensen kan toelaten.

Wat ik ook hiermee bereik is dat al mn hosts een mooi slotje via https hebben, en ja ook al is dat op mn eigen thuis netwerk.

SVMartin schreef op zondag 18 december 2022 @ 18:52:
[...]
Blijkbaar niet, want je zegt dat je ongewenst verkeer ziet:
[...]
Dat verkeer zou dan vanuit klanten komen die bij dezelfde provider zitten (dat is een Vodafone of kpn omdat jij daar een mobiel abbonement hebt?) en die ook die app gebruiken? (Welke precies?)

Gaat dat verkeer dan via die zero trust tunnel, dus komt binnen bij Cloudflare, of komt het ook binnen op jouw server thuis?

Nee ik zie geen verkeer, ik zie poging om bij mijn hosts in te loggen of te scannen...deze zijn vanuit de gehele wereld...en de firewall regels bij cloudflare houden dit tegen....regels gebaseerd op:

1) block "alles niet van mijn telefoon provider afkomt" ASN
2) block "alles wat http/1.1" gebruikt
3) block "alles wat geen header "bladiebla" gebruikt" -deze header wordt door mijn app gestuurd.

Als ik met mijn telefoon via de app naar mijn domein ga, dan ga ik via de zero-trust-tunnel door betreffende firewall heen rechtstreeks naar mijn host, waar ik dan evt met inlog/ww/2fa kan inloggen.

Als iemand bovenstaande 3 firewall regels ook heeft/gebruikt komt ie dus ook bij mn host....ik wil dit dus meer afschermen.
Maar tot op heden is het mij niet gelukt, en wireguard op mn UDMPro ook nog niet.

Morgen weer een dag...