Feedback erbeten: Ingress-Härtung und Firewall-Automatisierung mit Ansible
Hallo zusammen,
ich möchte ein Ansible-basiertes Setup zur Ingress-Härtung und Firewall-Automatisierung in meinem Homelab vorstellen und würde mich über sachliches Feedback aus der Community freuen.
Ziel war es, einen klar abgegrenzten, reproduzierbaren und getesteten Referenzstand für einen einzigen extern erreichbaren Ingress-Host zu schaffen.
Schwerpunkte
- Firewall-Härtung mit nftables (Default-Deny, explizite Allow-Regeln)
- Reverse Proxy (nginx) als einziger externer Einstiegspunkt
- Bewusste Trennung zwischen Ingress-Security und Applikationsverhalten
- Praktische Tests zulässiger und unzulässiger Zugriffe
(HTTP/HTTPS, sensible Pfade, HTTP-Methoden) - Dokumentation von Entscheidungen und bewusst akzeptierten Abweichungen
Repository
Die komplette Automatisierung und begleitende Dokumentation befindet sich hier:
https://github.com/gatonero/homelab-ansible
Motivation
Mir ging es weniger um „maximale Härtung“, sondern um:
- einen stabilen und wartbaren Zustand,
- klar begründete Sicherheitsentscheidungen,
- und eine saubere, nachvollziehbare Umsetzung mit Ansible.
Ich freue mich über Hinweise, Verbesserungsvorschläge oder alternative Ansätze – insbesondere im Hinblick auf Best Practices für Ingress-Härtung mit Ansible.
Vielen Dank fürs Lesen und für jedes Feedback.