vServer mit Proxmox absichern

  • Hallo,


    ich möchte mir gerne einen vServer mieten und darauf das Proxmox Mail Gateway einrichten. Derzeit mache ich mir allerdings Gedanken über die Einrichtung bzw. der Umsetzung damit es auch sicher ist.


    Wenn ich das Mail Gateway direkt auf dem vServer installiere wäre es ja nach außen komplett "ungeschützt", da ja meines Wissens, vor dem vServer keine Firewall vorhanden ist.


    Jetzt war meine Überlegung direkt auf den vServer Proxmox VE zu installieren und darauf dann das Mail Gateway. Dann könnte ich über die Proxmox VE Firewall das System entsprechend absichern und nur die benötigten Ports freigeben.


    Könnt Ihr mir sagen, ob die in Proxmox VE integrierte Firewall dafür ausreichend ist oder wäre das Sicherheitstechnisch noch immer bedenklich?

    Wie würdet Ihr es alternativ machen? Oder gibt es bei Netcup auch eine Firewall- Lösung zum Dazubuchen?


    Da ich das ganze nur für private Zwecke einsetzen würde, möchte ich die Kosten für einen zweiten vServer, der als reine Firewall fungiert, wenn möglich vermeiden. Daher auch mein Gedanke mit der Proxmox VE Lösung.


    LG

    Manuel

  • Es kommt immer darauf an was du auf dem VServer installierst. Bei einem Linux Basis System hast du natürlich die Firewall von diesem.

    Wie gesagt, ich würde gerne das Proxmox Mail Gateway darauf laufen lassen. Die Frage ist jetzt nur ob es sicherer ist, das Proxmox Mail Gateway direkt auf dem vServer zu installieren oder zuerst Proxmox VE zu installieren und darauf in einem Container dann das Mail Gateway zu installieren.

  • Mit Proxmox VE wirst du die VM nicht auf aktuellen Netcup-Produkten laufen lassen können, da diese mWn. aktuell keine verschachtelte Virtualisierung mehr anbieten. Du könntest aber beispielsweise überlegen, zwei vServer/Root-Server zu mieten, davon einen für dein Mailgateway und einen zweiten als Firewall mit pfSense oder OPNsense zu betreiben. Verbinden könntest du die VMs z. B. mit dem kostenfreien VLAN 100Mbps und so deine VM abschotten.

  • PMG verwendet (wie PVE) Debian als Basis. Die Firewall kann also einfach über SSH konfiguriert werden, falls PMG kein entsprechendes Feature in der GUI mitbringt. Rebootfest wird es dann mit dem Packet netfilter-persistent.


    PVE davor zu schalten wird da keinen Mehrwert haben. Das verkompliziert es nur und erhöht den Wartungsaufwand. Außerdem funktioniert das nicht ohne Nested Virtualization, was früher maximal gegen Aufpreis angeboten wurde. (Aktueller Stand bei Rootserver G9 unbekannt.)

  • Vielen Dank für die Hilfreichen Antworten.


    Jetzt noch eine blöde Frage. Wenn ich mir jetzt einen zusätzlichen vServer als Firewall anmiete. Wie konfiguriere ich dann zb. PFSense? Auf die WebGUI kommt man ja nur über ein Internes Netz. Nehmen wir jetzt einmal an ich installiere am zweiten vServer das Proxmox Mail Gateway, welches ja auch nur ein WebGUI hat, dann komme ich über dieses ja auch schlecht auf die WebGUI der vorgeschalteten Firewall.


    Oder habe ich hier jetzt einen Denkfehler?