Secure public entry point for Cloudron / Point d’entrée public sécurisé pour Cloudron
English
Finalization of an important infrastructure change: Cloudron is no longer exposed directly from the home network.
The new setup relies on a public server used only as an entry point. Web traffic reaches this server first, then is forwarded to Cloudron through an encrypted tunnel. Cloudron keeps handling applications, domains, and HTTPS, while direct access to the local machine from the Internet is closed.
Completed work
- Set up a WireGuard tunnel between the public server and Cloudron.
- Configured a TCP reverse proxy so Cloudron can continue handling HTTPS.
- Moved application DNS records to the new public entry point.
- Hardened SSH access on the public server with key-based authentication only.
- Closed direct exposure of the home network.
- Added local rules to limit Cloudron access to the local network and the tunnel.
- Verified the setup from the local network, from the public server, and from outside.
Current state
Cloudron applications remain publicly reachable, but the home server is no longer directly exposed. Public traffic now goes through the entry server, then through the encrypted tunnel to Cloudron.
Inbound mail is intentionally left aside for now, as it requires separate handling with the network provider. Outbound mail remains handled through an SMTP relay.
Next steps
- Stabilize the inbound mail strategy.
- Document the network choices to make maintenance easier.
- Continue publishing infrastructure changes and ongoing projects here.
Result: a cleaner foundation for hosting personal services while reducing the exposed attack surface.
This worklog entry was summarized with AI assistance.
Français
Finalisation d’une évolution importante de l’infrastructure personnelle : Cloudron n’est plus exposé directement depuis le réseau domestique.
Le nouveau montage repose sur un serveur public utilisé comme point d’entrée. Le trafic web arrive sur ce serveur, puis rejoint Cloudron à travers un tunnel chiffré. Cloudron conserve la gestion des applications, des domaines et de HTTPS, tandis que l’accès direct à la machine locale depuis Internet est fermé.
Travaux réalisés
- Mise en place d’un tunnel WireGuard entre le serveur public et Cloudron.
- Configuration d’un reverse proxy TCP afin de laisser Cloudron gérer HTTPS.
- Bascule DNS des domaines applicatifs vers le nouveau point d’entrée.
- Durcissement SSH du serveur public avec accès par clé uniquement.
- Fermeture de l’exposition directe du réseau domestique.
- Ajout de règles locales pour limiter l’accès Cloudron au réseau local et au tunnel.
- Vérification du fonctionnement depuis le réseau local, depuis le serveur public et depuis l’extérieur.
État actuel
Les applications Cloudron restent accessibles publiquement, mais le serveur domestique n’est plus directement exposé. Le chemin public passe par le serveur d’entrée, puis par le tunnel chiffré jusqu’à Cloudron.
Le mail entrant est volontairement mis de côté pour l’instant, car il demande un traitement séparé côté fournisseur réseau. L’envoi sortant reste assuré via un relais SMTP.
Prochaines étapes
- Stabilisation de la stratégie de réception mail.
- Documentation des choix réseau pour faciliter leur maintenance.
- Publication régulière des changements d’infrastructure et des projets en cours.
Résultat : une base plus propre pour continuer à héberger des services personnels tout en réduisant la surface d’attaque.
Cette entrée de journal a été résumée avec l’aide de l’IA.