Forward Proxy vs. Reverse Proxy

Jens Schanz

4 Min. Lesezeit
Forward Proxy vs. Reverse Proxy
Photo by Cytonn Photography / Unsplash

In den letzten Beiträgen wurden unterschiedliche Varianten von Reverse-Proxies und deren Absicherung angesprochen. Zusätzlich zum Begriff Reverse-Proxy hat vielleicht der eine oder andere nur den Begriff Proxy oder Forward-Proxy im Gedächtnis.

Den Unterschied zwischen beiden versucht dieser Artikel aufzuklären.

Proxy-Server gehören zu den grundlegenden Bausteinen moderner IT-Infrastrukturen. Sie übernehmen eine Vermittlerrolle zwischen Systemen und ermöglichen zusätzliche Funktionen wie Sicherheit, Lastverteilung oder Anonymisierung.

Der Unterschied einfach erklärt

In der Praxis werden zwei grundlegende Proxy-Typen unterschieden:

  • Forward Proxy
  • Reverse Proxy

Obwohl beide Technologien ähnlich klingen, erfüllen sie völlig unterschiedliche Aufgaben. Dieser Artikel erklärt den Unterschied und zeigt typische Einsatzszenarien.

Was ist ein Proxy?

Ein Proxy-Server ist ein System, das zwischen zwei Kommunikationspartnern sitzt und deren Netzwerkverkehr vermittelt.

Statt dass ein Client direkt mit einem Zielserver kommuniziert, läuft die Verbindung über den Proxy.

Das ermöglicht zusätzliche Funktionen wie:

  • Zugriffskontrolle
  • Caching
  • Logging
  • Sicherheit
  • Lastverteilung

Je nach Position im Netzwerk unterscheidet man zwischen Forward Proxy und Reverse Proxy.

Forward Proxy

Ein Forward Proxy sitzt zwischen Clients und dem Internet.

Der Client sendet seine Anfrage zunächst an den Proxy. Dieser leitet sie anschließend stellvertretend an das Ziel im Internet weiter.

Der Zielserver sieht daher nur die IP-Adresse des Proxy-Servers, nicht die des eigentlichen Clients.

Architektur

Client → Forward Proxy → Internet → Zielserver

Typische Aufgaben

Ein Forward Proxy wird häufig in Unternehmensnetzwerken eingesetzt.

Typische Funktionen sind:

  • Internetzugriffe kontrollieren
  • Web-Filter (Jugendschutz, Malware-Filter)
  • Zugriff auf bestimmte Webseiten blockieren
  • Logging von Internetaktivitäten
  • Anonymisierung von Clients
  • Umgehung von Geo-Beschränkungen

Beispiele

Typische Forward-Proxy-Software:

  • Squid
  • Bluecoat
  • Zscaler
  • Unternehmens-Firewalls (z. B. Fortigate)

Reverse Proxy

Ein Reverse Proxy sitzt vor den Servern und nimmt Anfragen aus dem Internet entgegen.

Der Client verbindet sich nicht direkt mit dem Zielserver, sondern mit dem Reverse Proxy. Dieser verteilt die Anfrage an einen oder mehrere Backend-Server.

Architektur

Client → Internet → Reverse Proxy → Backend Server

Typische Aufgaben

Reverse Proxies sind ein zentraler Bestandteil moderner Web-Architekturen.

Typische Funktionen:

  • Load Balancing
  • TLS/SSL-Terminierung
  • Web Application Firewall
  • DDoS-Schutz
  • Caching
  • Routing zu verschiedenen Backend-Services

Beispiele

Sehr verbreitete Reverse-Proxy-Systeme sind:

  • Nginx
  • Traefik
  • HAProxy
  • Apache HTTP Server
  • Cloudflare

Forward Proxy vs Reverse Proxy

Merkmal Forward Proxy Reverse Proxy
Position Vor den Client Vor den Servern
Aufgabe Vertritt den Client im Internet Vertritt einen oder mehrere Serverdienste im Internet
Ziel Internetzugriffe kontrollieren Services veröffentlichen
Sichtbarkeit Server sehen den Proxy statt den Client Clients sehen den Proxy statt dem richtigen Server
Einsatz Unternehmensnetzwerke Web-Hosting / Cloud-Services / Microservices

Beispiel aus der Praxis

Forward Proxy in einem Unternehmen

Ein Mitarbeiter öffnet eine Webseite.

Laptop → Firmenproxy → Internet → Webseite

Der Proxy kann dabei:

  • Den Verkehr anylisieren und filtern (SSL-Interception)
  • Webseiten blockieren
  • Internetzugriffe protokollieren

Reverse Proxy für Webservices

Ein Nutzer ruft eine Website auf.

Browser → Reverse Proxy → Webserver

Reverse Proxies im Homelab

Reverse Proxies sind im Homelab oder Self-Hosting sehr verbreitet, da oft nur eine eingehende IP-Adresse zur Verfügung steht und der HTTP(s)-Verkehr über den Hostnamen (SNI) an den entsprechenden Webserver im Homelab weitergeleitet werden muss.

Typische Architektur:

Internet
   ↓
Reverse Proxy (Traefik / Nginx)
   ↓
Docker Services
   ├─ Home Assistant
   ├─ Immich
   ├─ Jellyfin
   └─ Ghost

Der Proxy übernimmt dabei:

  • HTTPS-Zertifikate (Let's Encrypt)
  • Routing nach Hostname
  • Zugriffskontrolle

... oder analysiert wie in den vorhergehenden Beiträgen den eingehenden Verkehr und blockt Bedrohungen, bevor diese Schaden anrichten.

CrowdSec auf Ubuntu 24.04 mit Traefik (Docker) einsetzen
Wenn im Homelab oder in einer Self-Hosting-Umgebung mehrere Dienste über einen Reverse-Proxy veröffentlicht werden, ist eine zuverlässige Schutzschicht gegen automatisierte Angriffe unerlässlich. Besonders Systeme, die über Traefik auf den Ports 80 und 443 erreichbar sind, werden regelmäßig von Bots, Scannern und Exploit-Frameworks durchsucht. Typische Angriffe sind beispielsweise: * Brute-Force-Versuche auf Login-Seiten
Your IT-Innovation-HubJens Schanz
CrowdSec auf Ubuntu 24.04 mit Nginx Proxy Manager (Docker) einsetzen
Wenn in einem Homelab mit Nginx Proxy Manager (NPM) auf Docker mehrere Services über die Ports 80 und 443 veröffentlicht werden, ist eine zuverlässige Schutzschicht gegen Brute-Force-Angriffe, Scanner, Bots und Exploits unerlässlich. In diesem Beitrag zeige ich Schritt für Schritt: * Installation von CrowdSec auf Ubuntu 24.04 * Einbindung der Docker-Logs
Your IT-Innovation-HubJens Schanz

Fazit

Forward und Reverse Proxies lösen unterschiedliche Probleme:

Forward Proxy

  • schützt Clients
  • kontrolliert Internetzugriffe

Reverse Proxy

  • schützt Server
  • veröffentlicht Services
  • ermöglicht Skalierung

In modernen Infrastrukturen kommen häufig beide Proxy-Typen gleichzeitig zum Einsatz.