Linux - Proxmox - Webinterface nur intern via SSH-Tunnel erreichbar machen


  • Das Webinterface von Proxmox ist aus dem Internet erreichbar. Dies finde ich auch Sicherheitsgründen nicht wirklich vorteilhaft
  • Aus diesem Grund sperren wir den Zugriff auf Port 8006 von aussen, via IPTables und erlauben den Zugriff nur via localhost über einen SSH-Tunnel

  • Bevor wir die IPTables-Regeln einpflegen, beenden wir wieder fail2ban
    • service fail2ban stop

  • Wichtig bei der Konfiguration der Regeln ist die Reihenfolge. Da IPTables nach dem „First Match“ Prinzip arbeitet, muss zuerst die Freigabe vor dem Drop erfolgen
iptables -A INPUT -p tcp --src localhost --dport 8006 -j ACCEPT
iptables -A INPUT -p tcp --dport 8006 -j DROP
  • Anschließend speichern wir die Regeln mit iptables-save > /etc/iptables/rules.v4
  • Verwendet Ihr IPv6 muss hier auch noch der Port gesperrt
ip6tables -A INPUT -p tcp --dport 8006 -j DROP
  • und mit ip6tables-save > /etc/iptables/rules.v6 gespeichert werden

  • Der Zugriff ist nun nur noch über einen SSH-Tunnel möglich
  • Dieser setzt sich wie folgt zusammen
    • ssh <Benutzer>@<Proxmox-IP> -L 8006:localhost:8006
  • Der Aufruf erfolgt dann via
 https://localhost:8006 

  • Abschließend müssen wir fail2ban wieder starten
    • service fail2ban start

  • Dies ist eine einfache Möglichkeit Eurer Webinterface gegen unbefugte Zugriffe zu schützen. Natürlich könnt Ihr auch noch weitere IPs hinzufügen.

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen: