Ports reference¶

Tabla canónica de puertos expuestos en host (no en network namespace de container — eso es interno y no se documenta aquí). Lista no exhaustiva pero cubre lo que mantengo activo y monitorizado.

VM 208 (Docker hub, `192.168.0.XXX`)¶

Puerto	Servicio	Notas
80	Caddy HTTP	Redirect a 443; CF Tunnel termina TLS pero Caddy también
443	Caddy HTTPS	Backend principal pre-F4 (post-F4 desaparece, Caddy se mueve a LXC 270/271)
2019	Caddy admin API	localhost only, no escucha en `0.0.0.0`
3030	Grafana	`grafana.monxas.casa`
3101	Loki	Host bind `0.0.0.0:3101` → container `:3100` (corregido 2026-05-16)
5678	n8n LAN admin	`n8n.monxas.casa` (separado de LXC 200 que hace alerts)
8073	Healthchecks	`checks.monxas.casa`
9090	Prometheus	`prom.monxas.casa` con auth basic
9093	Alertmanager	LAN-only; webhook a LXC 200
9100	node_exporter	Métricas host VM 208
1411	PocketID	`pass.monxas.casa`
8080	qBittorrent web	`qbit.monxas.casa` con PocketID forward-auth
7878	Radarr	`radarr.monxas.casa`
8989	Sonarr	`sonarr.monxas.casa`
6767	Bazarr	`bazarr.monxas.casa`
9696	Prowlarr	`prowlarr.monxas.casa`
8686	Lidarr	`lidarr.monxas.casa`
2283	Immich	`pics.monxas.casa`
9999	Stash	`nopor.monxas.casa`
8222	Vaultwarden	`pass-vault.monxas.casa` — separado de PocketID
13378	Audiobookshelf	`podcasts.monxas.casa`
3055	Karakeep	`bookmarks.monxas.casa`

LXC 270 / 271 (Caddy HA, post-F4)¶

Mismo en ambos, IPs .247 (primary) y .248 (secondary). VIP .250 flota.

Puerto	Servicio	Notas
80	Caddy HTTP	Redirect a 443
443	Caddy HTTPS	TLS internal, certs ACME-DNS via CF
2019	Caddy admin	localhost only
8080	Healthcheck endpoint	`/health` para keepalived `track_script`
(VRRP)	keepalived	Protocolo 112 IP (no TCP/UDP), VIP `.250`

LXC 200 (`n8n` + alerts, `192.168.0.XXX`)¶

Puerto	Servicio	Notas
5678	n8n alert forwarder	Webhook receiver Alertmanager; bypass auth en `/webhook/*`

LXC 251 (`rag`, `192.168.0.XXX`)¶

Puerto	Servicio	Notas
8000	RAG API	Endpoint principal MCP RAG
8080	Kiwix	Reader ZIM (Wikipedia/Appropedia offline)
9999	ZIM HTTP	Servidor estático de archivos ZIM

LXC 186 (`pbs`, `192.168.0.XXX`)¶

Puerto	Servicio	Notas
8007	PBS web UI + API	`pbs.monxas.casa` (CF Access)

LXC 110 (`tv-gw`, `192.168.0.XXX`)¶

Puerto	Servicio	Notas
9100	node_exporter	Host metrics
5044	Zeek log shipper	(TBD si se usa)

VM 171 (`homeassistant`, `192.168.0.XXX`)¶

Puerto	Servicio	Notas
8123	HA frontend	`ha.monxas.casa` (CF Tunnel — bypass forward-auth, ya tiene su login)
22222	HA SSH addon	LAN-only, key-based
1880	Node-RED addon	LAN-only

LXC 123 (`cloudflared`, pmx-51)¶

Puerto	Servicio	Notas
2000	cloudflared metrics	localhost only
(out)	443/HTTPS, 7844/QUIC	Outbound a CF edge

Proxmox hosts¶

Puerto	Servicio	Notas
8006	PVE web UI	`https://pmx-50:8006`, LAN only (no en CF)
22	SSH	Key-based, no password
3128	Spice proxy	LAN
(VRRP)	keepalived	N/A (corre dentro de LXC, no host)

Convenciones¶

Servicios LAN-only: no se exponen via CF Tunnel. Accesibles solo desde LAN o WireGuard.
Servicios públicos: van por CF Tunnel → VIP → Caddy → backend.
Admin APIs (Caddy 2019, cloudflared 2000): siempre localhost, nunca bind público.
Métricas (node_exporter 9100, etc.): LAN-only, scrapeadas por Prometheus en VM 208.

Conflictos potenciales¶

Cuidado al añadir un servicio nuevo en VM 208: comprobar que el puerto no choca con la lista de arriba. Helper:

bash ssh [email protected] 'sudo ss -tlnp | sort -k4'

Ports reference¶

VM 208 (Docker hub, 192.168.0.XXX)¶

LXC 270 / 271 (Caddy HA, post-F4)¶

LXC 200 (n8n + alerts, 192.168.0.XXX)¶

LXC 251 (rag, 192.168.0.XXX)¶

LXC 186 (pbs, 192.168.0.XXX)¶

LXC 110 (tv-gw, 192.168.0.XXX)¶

VM 171 (homeassistant, 192.168.0.XXX)¶

LXC 123 (cloudflared, pmx-51)¶