Moin,
ich habe letztens eine etwas unschöne Erfahrung mit dem Internet im weitesten Sinne machen müssen und naja wie der Mensch so ist, kümmert er sich meist erst um manche Dinge wenn es zuspät ist.
Daher habe ich mal die Frage in den Raum gestellt, welche Möglichkeiten habe ich um meinen kleinen Webserver zu schützen.
Erstmal zu meinen örtlichen Gegebenheiten:
Ich besitze eine Fritzbox 7490 als Router/Modem und habe dahinter ganz normal mein LAN aufgebaut. Der Webserver hängt zur Zeit an dem 4. LAN Anschluß des Routers und der Rest der Netzwerkstruktur hängt über einem Kabel in den Keller zu meinem kleinen Netzwerkschrank, von dem das ganze Haus mit dem LAN versorgt wird. Also so gesehen sind 2 LAN Buchsen am Router in Benutzung. Ich habe den Port 80 und 22 freigegeben. Jedoch habe ich den Port 22 nicht direkt sondern "verschleiert" freigegeben. Also extern spreche ich den nicht mit Port 22 an, sondern einen anderen. Zusätzlich läuft das Telefon über die Fritzbox, mein Anbieter stellt mir nur eine VOIP Telefonnummer zur Verfügung, die in der Fritzbox auf den Analoganschluß weitergeleitet wird. Als Webserver nutze ich mein Raspberry Pi mit dem Raspian Betriebssystem.
Nun zu dem was ich machen möchte, bzw. was am Ende sein soll.
Ich würde den Webserver gerne weiter so nutzen, dass dieser extern ansprechbar bleibt. Er soll aber möglichst keine oder beschränkte Zugriffe aufs restliche LAN haben. Für mich wäre nicht das Problem, dass ich dann diesen nur noch "extern" ansprechen kann. Müsste aber für den Fall auch den SSH Zugriff von extern erlauben. Alternativ könnte ich mich aber auch darauf beschrenken, dass ich den Webserver "nur" aus dem Web ansprechen kann. Also nicht über die IP Adresse, sondern nur über die DynDNS Domain. Und der sFTP / SSH Dienst über das LAN ausschließlich erreichbar ist.
Ich habe etwas zu DMZ und co gelesen nur, anderseits habe ich gelesen, dass die Fritzbox keine "richtige" DMZ anbietet. Dazu habe ich was gelesen, man könnte 2 Router in "Reihe schalten", wobei der Router 1 den Externen Router bildet und dahinter die DMZ aufgebaut ist und der Router 1 kein DHCP aktiv hat und lediglich 2 IP Adressen (bei einem Server in der DMZ wenn mehr dann entsprechend mehr) vergibt. Die beiden wären zum einen die für den Server in der DMZ (in dem Fall mein Webserver) und zum anderen den für den "internen" Router. Jedoch klingt dies nicht ganz "optimal", vor allem da die Fritzbox ja eigentlich schon ein super Route ist. Also was Einstellungsmöglichkeiten und Co angeht. Und zusätzlich wäre die Frage, wie verhält es sich dann mit meinem Telefon? Also würde es in dem Senario dann auch sogesehen in der DMZ stehen?
Hier der Link zu dem Beispiel mit den 2 Routern: https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html
Nun meine Frage, welche Möglichkeiten habe ich um mein Ziel möglichst einfach, sicher und optimal zu lösen?
Ich hoffe mir kann man irgendwie bei meinem Problem helfen.
Max