๐ Sicurezza
Principi applicati
Zero port forwarding
Nessuna porta รจ esposta direttamente sul router domestico. L'accesso remoto avviene esclusivamente tramite Cloudflare Tunnel (servizi pubblici) e Tailscale (servizi privati).
Segmentazione di rete
La rete domestica (192.168.1.0/24) e la rete dei servizi (10.0.0.0/24) sono completamente separate tramite due bridge virtuali Proxmox distinti. I container non hanno accesso diretto alla LAN domestica.
Container unprivileged
Tutti i container LXC sono unprivileged โ i processi interni non hanno privilegi root sull'host. Il mapping UID/GID isola ulteriormente i container dal sistema host.
Minimo privilegio
Ogni servizio gira con un utente dedicato non-root (es. utente media per big4). I permessi sui file media sono impostati al minimo necessario (644 per file, 755 per cartelle).
Accesso differenziato
| Tipo di accesso | Tecnologia | Servizi |
|---|---|---|
| Pubblico | Cloudflare Tunnel | Dashboard, Jellyfin, Docs, Forgejo |
| Privato | Tailscale | Sonarr, Radarr, Prowlarr, qBittorrent, Proxmox |
DNS filtering
Pi-hole filtra le query DNS per tutti i container, bloccando domini pubblicitari e potenzialmente malevoli prima che raggiungano i client.
Bind mount read-only
Jellyfin monta lo storage media โ in futuro si prevede di configurarlo in sola lettura per limitare i permessi di scrittura al solo CT big4.
Superficie di attacco
| Vettore | Mitigazione |
|---|---|
| Accesso SSH | Solo via Tailscale, non esposto pubblicamente |
| Interfaccia Proxmox | Solo via Tailscale su porta 8006 |
| Servizi pubblici | Protetti da Cloudflare (DDoS, TLS) |
| Rete interna | Isolata su vmbr1, NAT verso internet |