Reverse Proxy: Source & Destination Ports - egal?

MI-6

Benutzer
Mitglied seit
10. Jul 2012
Beiträge
56
Punkte für Reaktionen
1
Punkte
8
allo,

ich habe mir erfolgreich sehr viele Sub-Domains mit dem Reverse Proxy eingerichtet. Funktioniert wunderbar (bis auf Logitech Media Server, bei dem Seiten-Updates manchmal nicht funktionieren, bspw. beim Scan-Status).

Grundsätzlich frage ich mich aber, wie die Port- und Protokoll-Übersetzung im Reverse Proxy funktioniert.
  1. Wenn ich als Source Port xx / Protokoll HTTP angebe und als Destination Port 443 / HTTPS angebe, wird mir in Chrome eine sichere Verbindung angezeigt (Tabellenzeilen 1 und 3)
    1. Wird die sichere Verbindung über den Destination Port aufgebaut? Oder schon im Reverse Proxy Host (meiner DS)?
    2. Von wo bis wo reicht die sichere Verbindung?
      1. Client bis Destination Host?
      2. Oder nur DS Reverse Proxy bis Destination Host? Das wäre unlogisch, da mein Chrome ja eine sichere Verbindung anzeigt.
    3. Wird immer eine sichere Verbindung aufgebaut, sobald ich als Destination Protocol HTTPS eintrage? Auch bei Source Port 80 / HTTP (Tabellenzeilen 1 bis 4)?
      Oder Destination Port ungleich 443, aber HTTPS (Tabellenzeilen 5 bis 8)?
  2. Wenn das so ist, bräuchte ich ja als Source Protocol nie was anderes als HTTP (oder als Port 80) eintragen, wenn von Destination Protocol abhängt, ob eine sichere Verbindung aufgebaut wird. Wozu dann im Source jemals Port 443 / HTTPS verlangen/einstellen (bis auf daß z.B. Chrome HTTP gar nicht mehr unterstützen)?
  3. Was zählt eigentlich für sichere Verbindungen? Port oder Protokoll? Offensichtlich doch Protokoll?
Insb. Frage 3 ist wohl sehr, sehr naiv - kann man auch per Wikipedia erfahren. Aber die anderen Fragen habe ich mir auch nach längerer Recherche zum Thema Reverse Proxy so nicht beantworten können.

ZeileSource PortSource ProtocolDestination PortDestination ProtocolHSTSErgebnis mit Chrome
180HTTP443HTTPSausSichere Verbindung?
280HTTPS443HTTPSausSichere Verbindung?
3<>80HTTP443HTTPSausSichere Verbindung?
4<>80HTTPS443HTTPSausSichere Verbindung?
580HTTP<>443HTTPSausSichere Verbindung?
680HTTPS<>443HTTPSausSichere Verbindung?
7<>80HTTP<>443HTTPSausSichere Verbindung?
8<>80HTTPS<>443HTTPSausSichere Verbindung?
980HTTP443HTTPausUnsichere Verbindung?
10<>80HTTP<>443HTTPausUnsichere Verbindung?

Danke für ein paar erleuchtende Hinweise!
 
Zuletzt bearbeitet:

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Reverseproxy Zugriff erfolgt bei Dir per subdomain, soll ja so sein :)

Source ist die subdomain (ohne Portangabe)
Destination ist eine (interne) IP-Adresse mit dementsprechenden Port

Nachdem Deine subdomains normalerweise mit einem Zertifikat (Lets Encrypt) "verknüpft" sind, ist das Source-Protocoll https,
wegen sicheren Zugriff von extern


subdomain1 -> 192.168.0.9:4444
subdomain2 -> 192.168.0.9:5555
subdomain3 -> 192.168.0.7:4444

Destination Protocol intern - http oder https - ist davon abhängig, was Du dahinter laufen hast

Beispiel bei mir

bitwarden - http
filestation - https
nextcloud - http
plex - http
synologyrs - https

Das heißt der Zugriff auf meine nextcloud erfolgt von extern per https und wird intern auf http umgeleitet, was ja kein Problem ist, da der externe Zugriff per https erfolgt
Zugriff auf synologyrs per https, intern weiter per https, da Umleitung auf 5001 (https)
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Beim Reverse-Proxy der Synology

nextcloud per reverse proxy:
Quelle:

Protokoll: https
Hostname: nextcloud-subdomain
Port: 443 (wegen https)

Ziel:

Protokoll: http
Hostname: localhost oder IP
Port: 1234

synology per reverse proxy:
Quelle:

Protokoll: https
Hostname: synology-subdomain
Port: 443 (wegen https)

Ziel:

Protokoll: https
Hostname: localhost oder IP
Port: 5001

plex per reverse proxy:
Quelle:

Protokoll: https
Hostname: plex-subdomain
Port: 443 (wegen https)

Ziel:

Protokoll: http
Hostname: localhost oder IP
Port: 32400
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
Natürlich noch bei den Reverse-Proxy Regeln HSTS und HTTP/2 aktivieren :)
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
solltest Du von extern per http (das s vergessen :) ) auf Deine subdomain zugrifen wollen, folgende Regel erstellen:

zB. für Plex

Quelle:

Protokoll: http
Hostname: plex-subdomain
Port: 80 (wegen http)

Ziel:

Protokoll: https
Hostname: plex-subdomain
Port: 443

D.h. es wird http auf https "umgeleitet" !
und in weiterer Folge die Regel für Plex per https durchgeführt
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
gar nicht so kompliziert denken:
was von Aussen per HTTP rein kommt ist mindestens bis zum RP unverschlüssselt
was von Aussen per HTTPS rein kommt ist mindestens bis zum RP verschlüssselt
was danach im RP passiert hat nur Auswirkungen im heimischen LAN. Hier kann man beliebig mischen so wie es benötigt wird.
 
  • Like
Reaktionen: stulpinger

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
das wollte ich ja mit Hilfe meiner "geistigen" Ergüsse darstellen ...
oder Du meinst den TE 😎

so wie Du schreibst, http oder htttps, egal wie, spätestens beim RP ist die "Wand"

Mir gings um die Überschrift " Source & Destination Ports - egal?"
 

stulpinger

Benutzer
Mitglied seit
27. Mai 2009
Beiträge
734
Punkte für Reaktionen
141
Punkte
69
oot (out of topic)
hab zuerst gedacht Du meinst mit RP einen Regie-Platz, komm gerade von der Firma ...
eooot (end of out of topic)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat