Iemand kwam met het idee dat LANgenoten natuurlijk ook een WANbeleid nodig heeft. Dat vond ik eigenlijk te goed om niet te gebruiken.
Niet als zwaar reglement, maar als simpele vuistregel voor alles wat je aan de buitenwereld hangt.
De korte versie
Hang niet blind je hele homelab aan internet.
Vraag jezelf bij elke service af:
- moet dit echt publiek bereikbaar zijn?
- kan dit beter achter VPN?
- is HTTPS geregeld?
- staat MFA aan waar mogelijk?
- zijn updates en backups op orde?
- staat er geen beheerinterface open?
Dingen zoals websites, forums en publieke dashboards kunnen prima via een reverse proxy.
Maar beheerinterfaces zoals Proxmox, je router/firewall, NAS, databases of Docker-beheer wil je meestal niet publiek open hebben.
Mijn eigen uitgangspunt
Alles wat publiek moet, loopt via Nginx Proxy Manager op poort 80/443.
Beheer doe ik liever via LAN of WireGuard VPN.
SSH-rootlogin staat uit, SSH werkt met keys, en op publieke servers draai ik extra bescherming zoals CrowdSec.
Forum-vuistregel
Als je hulp vraagt, deel genoeg info om geholpen te worden, maar maskeer gevoelige dingen zoals:
- wachtwoorden
- tokens
- API-keys
- private keys
- klantgegevens
- onnodige publieke IP’s
En als iemand iets onveiligs deelt: help verbeteren, niet afbranden.
Kortom:
zelf hosten is mooi, veilig zelf hosten is beter.
Wat zouden jullie nog toevoegen aan het LANgenoten WANbeleid?