Zugriff auf den Proxmox Webadmin und SSH absichern

    Hallo,

    ich habe diesen Artikel gefunden: https://blog.inforeseau.com/20…oxmox-web-admin-interface

    Da wird beschrieben das man eine Datei /etc/default/pveproxy erstellen soll und da soll man dises eintragen, also die IPs die auf den Server zugreifen dürfen

    Code
    ALLOW_FROM="127.0.0.1,172.20.0.1"
DENY_FROM="all"
POLICY="allow"

    anschliessend

    Code
    service pveproxy restart

    Ist das noch aktuell oder gibt es einen anderen, besseren Weg das zu tun

    Danke

    SW

    Ich löse das über die Firewall.

    Dort einfach im GUI die IP Angeben die auf den Server zugreifen darf.

    Ich finde das sauberer weil ich da auch alle anderen Zugriffsrechte und Szenerien abbilde.

    Was da im Artikel steht;

    Quote

    While proxmox comes with a nice firewall, it doesn’t allow you to restrict access to port 8006 and 22 (obviously not to lock you out), because it won’t do this on your « local » network, but when you are on a publicly connected machine, the « local » network is internet.

    Kann ich nicht bestätigen.
    Habe es dank FW Regeln schon geschafft mich auszusperren.

    SSH habe ich auf der Kiste deaktiviert und mache alles über das Webinterface oder aktiviere ssh über das SCP wenn ich es wirklich brauche.

    Wenn wir schon dabei sind :D

    Du kannst auch eine ipv6 für den Host nehmen und die dann freie IPv4 für eine VM - so spart man sich eine Ipv4.

    Ich kann das ebenfalls nicht bestätigen.
    Per Default ist im "DataCenter" die Firewall auf OFF....mit Grund, da man vorher seine Basis-Regeln einpflegen sollte.


    Ich hatte auch einmal die Firewall auf "DataCenter"-Ebene eingeschaltet und NICHT 8006+22 freigegeben....hat gemacht, was es soll...mich ausgesperrt^^


    Und die Anleitung bzw. der Blog-Artikel ist aus 2020...in 5 Jahren passiert viel.

    Ob der beschränkte Zugriff auf IPs über deinen genannten Weg so funktioniert....der Artikel ist 5 Jahre alt...sollte, muss aber nicht (mehr).

    Ich hatte in meiner Testumgebung auch mehrere IPs für HTTPS und SSH freigegeben. Es ist eine "klassische" Firewall.

    Von oben nach unten wird abgearbeitet. Und was vor "Block All" bzw. "Block SSH" und "Block HTTPS" ist wird zuerst behandelt.

    Also stell nach oben "Allow SSH from Home" und "Allow SSH from Jumpserver" usw. und dann kommst du drauf.

    Tipp: Erstelle im Zweifel einen Snapshot vor dem erstellen und aktivieren der Firewallregeln. Ich hab mich in meiner Testumgebung nämlich selbst schon ausgesperrt :D


    Edit: Ich hatte das alles über die WebGUI gemacht

    So, wollte mal berichten der Proxmox PVE läuft mit der PVE Firewall. Alle Ports bis auf 443 sind zu. Zugriff auf den Host bzw. die VHosts gibts nur der VPN. Auf dem Port 443 antwortet Caddy der mit Crowdsec versehen ist. Backup geht zum roten H.