Blockera (nästan all) åtkomst till LAN för web proxy genom reverse proxy

Försöker klura ut hur jag ska lösa problemet men har helt enkelt fastnat i tankeverksamheten..

Satt upp en web proxy, som jag kommer åt genom nginx proxy manager, men som i nuläget har full åtkomst till LAN.
Dvs, alla webgränssnitt jag kan surfa på lokalt (unraid, *arr, dns-webui, router webui osv osv), kan jag också surfa på genom web proxyn.

Det är ju så klart helt åt helsike på alla sätt och vis så försöker ju då stänga av all access för web proxyn på LAN (utöver mina två DNS-servrar, nginx proxy manager och så klart routern) innan jag kan använda den.

Men i och med att jag använder nginx proxy manager så hjälper det ju inte om jag blockerar web proxyn i routern för LAN-trafik (förutom DNS då) då det är NPM's IP som syns/används om jag förstått det rätt (har även försökt blockera web proxyn utan framgång).

Men att blockera LAN-åtkomst för nginx proxy manager är ju desto omständigare. Den behöver ju helt enkelt tillgång till LAN då enheterna den skickar trafik till ligger på LAN.

Både nginx proxy manager och web proxyn körs som docker container på en och samma host (men det finns ju såklart möjlighet att köra dem i olika nät (custom bridge, macvlan osv).

Ber om ursäkt om det är olidligt rörigt, men det är helt enkelt för att det är precis lika rörigt i huvudet just nu. Så helt enkelt plågsamt jobbigt att få ut det i skrift så att det går att förstå vad det är jag vill och vad det är jag försöker göra.

Hur hade du satt upp det? Har jag tänkt helt fel med att försöka blockera det i routern? Ska jag istället göra på något annat sätt?

Verkar som jag är riktigt dålig på att förklara vad det är jag gör och vad det är jag vill förhindra.
Försöker så här istället (nästa steg är bilder/skärmdumpar)

1. Jag öppnar en webläsare (när jag är på något annat nät än mitt hemma-nät) och besöker proxy.mindomän.se.
2. Jag kommer då till en sida, som jag kallar web proxy, där jag kan ange adresser som jag vill besöka genom mitt hemmanät. (finns säkert någon mer korrekt teknisk term för det där)
3. Jag anger en adress, t.ex. www.sweclockers.com och kommer till denna sida i webläsaren, genom min web proxy (https://proxy.mindomän.se/proxy/https://www.sweclockers.com/

Det som händer när jag besöker denna sida är ju då alltså att den:
1. Hoppar till cloudflare.
2. Skickas vidare till mitt WAN IP.
3. Min router skickar vidare trafiken till min Nginx Proxy Manager server.
4. NPM skickar vidare trafiken till min web proxy server (som jag kallar det), dvs det som syns på sidan och görs jag besöker/använder på proxy.mindomän.se.

SÅ, problemet här är ju att när jag surfar genom proxy.mindomän.se så blir det ju som att sitter lokalt och surfar på mitt hemma-nät. Och då kommer jag ju åt alla diverse tjänster jag har som INTE är öppna utåt och som INTE får trafik från NPM.
exempel på detta är ju då t.ex. min unraid servers web ui, min *arr-stack (radarr, sonarr, blablablarr...), min routers web-ui. Ja, helt enkelt allt jag kommer åt när jag sitter hemma på mitt LAN och surfar.

Det är ju då DETTA jag vill undvika/blockera. På något sätt alltså blockera så att när jag skriver in en adress på proxy.mindomän.se till en tjänst som ligger på LAN (t.ex unraid.local, 192.168.1.250:8989, 192.168.1.1 osv..), så kan jag inte besöka dem, som jag (tyvärr) kan nu.

Och här är jag ju då osäker på hur jag ska göra detta. Vilken tjänst det är som ska blockeras (om det är NPM eller web proxyns IP som behöver blockeras mot LAN) eller något annat som måste/borde/kan göras och i så fall hur.

Ett av problemen, om det är blockering av enheter i t.ex. routern från att komma åt LAN som gäller, är att jag inte kan komma på en lösning som gör att allt fungerar då jag t.ex inte kan blockera hela LAN.
Är det t.ex. web proxyn som ska blockeras från LAN så kan jag ju inte blockera mina DNS-servrar som ligger på LAN och kan ju inte blockera NPM för web proxyn använder ju sig av den.
Är det istället NPM som ska blockeras så kan jag inte blockera allt på LAN för det är flera tjänster som använder sig utav denna.

Jag tycker det verkar som att du antingen missförstår mig med mening eller att jag är usel på att förklara. Det du säger har inget som helst att göra med det jag försökt att förklara två gånger nu.

en VPN har inget med det här att göra och är inget som löser några som helst problem eller som är ens i närheten av ett alternativ till det jag gör.

1. jag SKA ha en web proxy (som jag förklarat vad jag menar att det är).
2. en VPN är helt enkelt ingen lösning för att jag kan inte gå och installera VPN-klienter på random datorer hit och dit.
3. jag ska INTE ha åtkomst till mina interna tjänster. jag försöker BLOCKERA dem från att kunna nås när jag använder min web proxy.
4. jag blandar ingenting. Jag använder en web proxy för att kunna surfa på diverse sidor och jag använder nginx proxy manager för att nå web proxyn utan att behöva öppna port för denna tjänst (också).

varför jag ska ha en web proxy hör inte till diskussionen känner jag.

vadå konstiga lösning? är inget konstigt med att använda en reverse proxy för att nå sina tjänster internt utan att behöva öppna en sjuhelsikes massa portar och dessutom kunna använda whatever.domain.com för att nå en specifik tjänst, dessutom med SSL.
och varför skulle det vara konstigt att använda en web proxy för att kunna surfa på diverse sidor från andra datorer än sin egna?

ja jag använder bara nginx proxy manager för att dirigera trafiken till rätt intern server (i detta fall min web proxy, som jag kallar det).
Jag testade, innan jag skapade denna tråd, att blockera web proxyn från att nå LAN (med undantag för DNS-servrarna och så klart routern), men det gjorde ingen som helst skillnad. Därför jag misstänkte att det kanske ser ut som att trafiken kommer ifrån NGINX, eftersom trafiken skickas därifrån till web oroxyn och tillbaka, och att det då var detta IP som behövde blockeras från att nå LAN.

ja, i princip. Det jag kör är Girici Web-proxy (länk), men har inte koll på om det finns bättre alternativ.

För tillfället kör den som docker container på samma host som Nginx Proxy Manager med bridge network (för tillfället) och NPM kör macvlan. Men ska kolla upp PHProxy om det kan vara ett bättre alternativ, kunde t.ex. inte köra med iptables på Girici containern.

problemet med att köra annat vlan på den och blockera all trafik är ju att den inte längre har åtkomst till DNS-servrarna om jag inte misstar mig.

Jag kör Unifi OS. Så det ska nog gå att lösa, men det största problemet är min brist på kunskaper när det kommer till nätverk och speciellt till brandvägg, VLAN och liknande. Räcker nog tyvärr inte med att öppna för port 53/udp i och med att girici web-proxy också måste kunna tala med min Nginx Proxy Manager. Men ska kanske kunna googla mig till en lösning.

Men, i och med att jag använder Nginx Proxy Manager så trodde jag att det såg ut som att trafiken (i LAN) kom från NPM's IP(?). Och således att det är det IP som jag behöver lägga i eget VLAN istället för Girici Web-proxy maskinen. Kanske har fel här, men testade tidigare att blockera Girici från LAN helt och hållet (bortsett från att nå DNS) med brandväggsregler (eller zoner som det heter i nya Unifi OS). Men då kom jag åt precis allt som vanligt när jag skrev in adresserna/IP till de lokala tjänsterna i girici web-proxy. Ska väl tillägga att, i och med mitt påstående tidigare om mina bristande kunskaper, att det inte är helt hundra att jag gjorde rätt då det var med mycket stöd av ChatGPT och den där jäkeln är, om möjligt, ännu värre än mig.

MEN, om det är så att det istället är NPM's IP som behöver läggas i eget VLAN så uppstår ju andra problem i och med att det, av naturliga skäl, behövs åtkomst till många av de tjänster, som jag inte vill kunna surfa till i girici, i och med att de används av NPM.

Rörigt? förmodligen..

Menar du i det VLAN jag skapat för web-proxyn eller menar du generellt för något VLAN jag skapat (default, IoT, Guest osv..)?

Girici körs som en docker container och är ingen fysisk maskin med kabel till switchen, så har ingen port i switchen att låsa till den. Kör container med macvlan för girici, så den har ju en egen IP. Men porten i switchen som den "använder" i Unifi OS är ju densamma som alla enheter som körs på hosten som kör docker + hosten själv.

jag har faktiskt redan den zonbaserade brandväggen. Och jag måste säga att jag är ännu mer vilsen i brandväggskonfigurationen i unifi OS sedan jag uppgraderade till den.