Der Webproxy soll (wie der webcontainer auch magrathea) die http(s) Resourcen im Space gebündelt verwalten Verbindung weiterleiten.
Der große Vorteil, wenn das gebündelt passiert ist, dass wir TLS-Zertifikate von letsencrypt nutzen können und für die HTTP-01 nur einen Server konfigurieren und absichern müssen.
Also Proxy wird Caddy benutzt.
Als Cgallenge wird von Letsencrypt von extern eine Anfrage an /.well-known/acme-challenge/<TOKEN> gemacht. D.h. wir verbieten jede Anfrage, die nicht von 172.23.208.0/23 oder 2a01:170:1112::/48 kommt AUßER die url ist /.well-known/acme-challenge/<TOKEN>:
(acl) {
@extern {
not remote_ip 172.23.208.0/23 2a01:170:1112::/48
not path /.well-known/acme-challenge/*
}
respond @extern "Not allowed" 403
}