Liebe Alle,
ich betreibe auf meiner auf DS620slim bereits mehrere Dienste unter Docker / Docker-Compose, die jedoch nur lokal zugreifbar sind - und bleiben sollen (z.B. Paperless-NGX). Zukünftig möchte ich auf der Synololy jedoch auch meine bisher auf einer externen VM gehosteten Webdienste (Nextcloud, Wordpress) betreiben, natürlich ebenfalls in Docker-Containern, jedoch extern zugreifbar. Auf der derzeitigen extern gehosteten VM laufen diese Dienste momentan hinter einem recht einfachen Reverse-Proxy (jwilder/nginx-proxy), zukünftig sollen sie auf der Synology natürlich ebenfalls hinter einem Reverse-Proxy laufen.
Qual der Wahl: Welchen würdet ihr empfehlen?
Grundsätzlich möchte ich die Dinge möglichst wenig komplex und einfach konfigurierbar halten, den von Synology in DSM mitgelieferten Reverse-Proxy habe ich noch nicht probiert, finde ihn aber recht interessant und würde ihn grundsätzlich gerne nutzen. Allerdings möchte ich direkt auf dem Synology-System laufende Dienste (wie den Synology-Proxy) möglichst wenig im Internet exponieren (sei es auch nur unter Port 443), daher frage ich mich, ob es unter Sicherheitsaspekten nicht sinnvoller wäre, einen Reverse-Proxy mit eingeschränkten Rechten in Containern (Traefik oder nginx-proxy) zu nutzen. Alle Container-Dienste nutzen jeweils eigene Bridge-Netze, die in der Synology-Firewall entsprechend eingeschränkt sind (insbesondere um die nur lokal zu erreichenden Dienste zu schützen)
Wie schätzt ihr die Sicherheit des Gesamt-Setups ein, abhängig davon, ob man den Synology- oder 'containerisierte' Reverse-Proxys nutzt? Wie ist das mit der Firewall der Synology und deren Wirksamkeit beim Einsatz von 'containerisierten' Reverse-Proxys? Ich würde z.B. gerne alle Anfragen auf 443, die von ausserhalb Deutschlands kommen, grundsätzlich blocken. Traefik finde ich spannend, allerdings für meine Zwecke evtl. ein bisschen zu sehr over-the-top und ich habe damit noch keine Konfigurationserfahrung...
Was wären eure Empfehlungen?
ich betreibe auf meiner auf DS620slim bereits mehrere Dienste unter Docker / Docker-Compose, die jedoch nur lokal zugreifbar sind - und bleiben sollen (z.B. Paperless-NGX). Zukünftig möchte ich auf der Synololy jedoch auch meine bisher auf einer externen VM gehosteten Webdienste (Nextcloud, Wordpress) betreiben, natürlich ebenfalls in Docker-Containern, jedoch extern zugreifbar. Auf der derzeitigen extern gehosteten VM laufen diese Dienste momentan hinter einem recht einfachen Reverse-Proxy (jwilder/nginx-proxy), zukünftig sollen sie auf der Synology natürlich ebenfalls hinter einem Reverse-Proxy laufen.
Qual der Wahl: Welchen würdet ihr empfehlen?
Grundsätzlich möchte ich die Dinge möglichst wenig komplex und einfach konfigurierbar halten, den von Synology in DSM mitgelieferten Reverse-Proxy habe ich noch nicht probiert, finde ihn aber recht interessant und würde ihn grundsätzlich gerne nutzen. Allerdings möchte ich direkt auf dem Synology-System laufende Dienste (wie den Synology-Proxy) möglichst wenig im Internet exponieren (sei es auch nur unter Port 443), daher frage ich mich, ob es unter Sicherheitsaspekten nicht sinnvoller wäre, einen Reverse-Proxy mit eingeschränkten Rechten in Containern (Traefik oder nginx-proxy) zu nutzen. Alle Container-Dienste nutzen jeweils eigene Bridge-Netze, die in der Synology-Firewall entsprechend eingeschränkt sind (insbesondere um die nur lokal zu erreichenden Dienste zu schützen)
Wie schätzt ihr die Sicherheit des Gesamt-Setups ein, abhängig davon, ob man den Synology- oder 'containerisierte' Reverse-Proxys nutzt? Wie ist das mit der Firewall der Synology und deren Wirksamkeit beim Einsatz von 'containerisierten' Reverse-Proxys? Ich würde z.B. gerne alle Anfragen auf 443, die von ausserhalb Deutschlands kommen, grundsätzlich blocken. Traefik finde ich spannend, allerdings für meine Zwecke evtl. ein bisschen zu sehr over-the-top und ich habe damit noch keine Konfigurationserfahrung...
Was wären eure Empfehlungen?
Zuletzt bearbeitet: