TODO: tilføj MQTT og SSH til port forward sikringsliste

2026-05-17 07:57:31 +02:00
parent c297012592
commit acdc7259a7
1 changed files with 5 additions and 1 deletions
@@ -26,15 +26,19 @@
 | Synology DSM | 5000/5001 | 5000/5001 | `nas.anneclaus.dk` |
 | Unifi | 8443 | 8443 | (Unifi har egen HTTPS — lavere prioritet) |
 | FTP | 21 | 21 | FTP er usikkert — overvej om den skal lukkes |
 | MQTT | 1883 | 1883 | MQTT i klartekst — høj risiko |
 | SSH | 2222 | 2222 | SSH er krypteret, men tiltrækker brute-force |
 **For hver tjeneste der flyttes:**
 1. Tilføj CNAME-record hos One.com: `<subdomain>` → `anneclaus.duckdns.org`
 2. Opret proxy host i NPM med SSL-cert og Force HTTPS
 3. Luk den direkte port-forward på routeren
 - [ ] **MQTT port 1883** — høj prioritet: MQTT kører i klartekst. Enten luk porten helt (bruges kun internt?) eller aktiver TLS i Mosquitto
 - [ ] **FTP port 21** — luk den (FTP sender kodeord i klartekst — brug SFTP over SSH i stedet)
 - [ ] **Mealie** — flyt til `mealie.anneclaus.dk` via NPM, luk port 9925 på routeren
 - [ ] **Synology DSM** — flyt til `nas.anneclaus.dk` via NPM, luk port 5000/5001 på routeren
- [ ] **FTP port 21** — vurder om den skal lukkes (FTP sender kodeord i klartekst)
+- [ ] **SSH port 2222** — overvej at begrænse til nøgle-login og deaktivere password-login
 - [ ] **Plex** — lavere prioritet, Plex har allerede kryptering internt
 - [ ] **Unifi** — lavere prioritet, Unifi har allerede HTTPS