Bei unserer Firewall handelt es sich um ein kostenloses Sicherheitsfeature, das den ein- und ausgehenden Traffic (Datenverkehr) deines Servers filtert.

Diese einfache Firewall bietet einen Basisschutz und kann beispielsweise verhindern, dass interne Daten unbeabsichtigt ins öffentliche Internet übertragen werden. Für erweiterte Funktionen musst du jedoch eine eigene Firewall-Lösung implementieren.

Die Verwaltung der Firewall erfolgt über sogenannte Policys. Dabei handelt es sich um Regelwerke, in denen die Regeln für den ein- und ausgehenden Traffic definiert werden.

Bei neu bestellten Servern ist die Firewall standardmäßig so konfiguriert, dass sie zunächst jeden Traffic erlaubt, nur der Versand von E-Mails wird blockiert. Erstelle anschließend eigene Policys und weise sie deinem Server zu.

Bei bestehenden Servern muss die Firewall zunächst konfiguriert werden. Melde dich dazu im Server Control Panel (SCP) an, wähle einen Server aus und öffne den Menüpunkt Firewall. Klicke auf Konfigurieren und bestätige den Vorgang mit Ja.

Die Firewall ist stateful. Das bedeutet, dass sie sich Verbindungen merkt, die von deinem Server ausgehen, und den Rückverkehr automatisch annimmt. Dies gilt jedoch nur für TCP-Traffic. Um UDP-Traffic auf die Whitelist zu setzen, musst du sowohl eine INGRESS- als auch eine EGRESS-Regel in deiner Policy anlegen:

Beispiel DNS-Server: INGRESS, UDP, allow traffic TO port 53, EGRESS, UDP, allow traffic FROM port 53 (Response-Traffic)

TCP (Transmission Control Protocol): Baut eine feste Verbindung auf, die von der Firewall nachverfolgt werden kann. Dadurch erkennt die Firewall automatisch Antworten auf ausgehende TCP-Verbindungen.

UDP (User Datagram Protocol): Es gibt keine feste Sitzung, die die Firewall tracken kann. Deshalb müssen für UDP sowohl eingehende als auch ausgehende Regeln definiert werden, damit Anfrage und Antwort erlaubt sind.

Die Firewall steht für alle Server-Produkte ab Generation 9 zur Verfügung.

Ältere Server-Generationen werden nach und nach mit dem Feature ausgestattet. Einen genauen Zeitplan können wir hier nicht nennen. Wir bitten dahingehend um Geduld.

Die Verwaltung der Firewall erfolgt über Regelwerke (Policys), die du selbst einstellen und anschließend einem Server zuweisen kannst. Wenn einem Server keine Policys zugewiesen sind, erlaubt die Firewall automatisch jeden Traffic. Policys werden serverübergreifend im Server Control Panel (SCP) definiert und können anschließend einem Server zugewiesen werden.

Die Standard-Firewall enthält nicht bearbeitbare Regeln, die obligatorischen Traffic erlauben. So ist zum Beispiel der DNS-Traffic zu den netcup DNS-Servern immer erlaubt. Außerdem sind standardmäßig Regeln eingestellt, die beispielsweise E-Mail-Spamming verhindern sollen. Diese kannst du jedoch einsehen und bei Bedarf entfernen.

• Wenn du ausgehenden Traffic (EGRESS) blockieren willst, musst du beispielsweise den NTP-Verkehr zu dem NTP-Server, den dein Server konfiguriert hat, auf die Whitelist setzen.
• DHCP-Traffic muss auch auf die Whitelist gesetzt werden, was jedoch wahrscheinlich nur während der Installation deines Servers nötig ist.
• Willst du deine Standard-Policys wiederherstellen, klicke unter Firewall auf Default Policys wiederherstellen und bestätige mit einem Klick auf Speichern. Diese Aktion hat keine Auswirkungen auf deine bestehenden Policys.

Die impliziten Regeln können weder entfernt noch bearbeitet werden. Standardmäßig sind sie auf ACCEPT ANY eingestellt. Sobald du jedoch eine eigene eingehende Regel anlegst, ändert sich die implizite eingehende Regel automatisch auf DROP. Das gleiche Verhalten gilt für ausgehende Regeln. Hintergrund: Ohne diese automatische Umstellung würden trotz definierter Regeln weiterhin sämtliche Verbindungen erlaubt, sodass die Firewall-Regeln wirkungslos wären.

Um den Versand von E-Mails über SMTP zu ermöglichen, muss die Standard-Policy der Firewall entfernt werden, da diese standardmäßig eingehende und ausgehende SMTP-Verbindungen blockiert.

1. Wähle deinen Server im Server Control Panel (SCP) aus.
2. Gehe in den Menüpunkt Firewall.
3. Klicke bei der Policy netcup Mail block auf das Papierkorb-Symbol.

Du kannst pro Server und öffentlicher Netzwerkschnittstelle (Interface) bis zu 500 aktive Regeln innerhalb von Policys im Server Control Panel definieren. Dabei gilt:

• Jede Kombination aus Quell-IP, Ziel-IP und Ports zählt als eigenständige Regel.
• Eine einzige Regel kann bis zu 100 IP-Adressen als Quelle oder Ziel haben (das entspricht 100 eigenständigen Regeln).
• Eine einzige Policy kann bis zu 500 Regeln enthalten.

1. Wähle einen Server aus.
2. Gehe oben rechts in den Menüpunkt Optionen > Firewall Policys.
3. Klicke auf Policy hinzufügen.
4. Gib einen Namen ein.
5. Gib eine Beschreibung ein (optional).

1. Klicke auf Regel hinzufügen.
2. Gib eine Beschreibung ein.
3. Typ auswählen: Wähle aus, ob die Regel auf eingehenden oder ausgehenden Traffic angewendet werden soll.
4. Aktion auswählen: Wähle aus, was mit dem Traffic geschehen soll:
   • ACCEPT: Der Traffic wird erlaubt.

   • DROP: Der Traffic wird verworfen. In diesem Fall wird keine Rückmeldung an den Absender gesendet.

     Sobald eine Regel für INGRESS oder EGRESS definiert und gespeichert wird, wird die Default-Regel für INGRESS/EGRESS entsprechend auf DROP umgestellt.

      

     Beachte, dass die Aktion REJECT (Verwerfen des Traffics und Rückmeldung an den Absender) nicht unterstützt wird. Implementiere für erweiterte Funktionen wie diese eine eigene Firewall-Lösung.

5. Protokoll auswählen
6. Source (IPs / Netzwerke) auswählen: Definiert, von welchen Quell-IP-Adressen oder Quell-Netzwerken eingehende oder ausgehende Verbindungen stammen dürfen.

7. Source (Ports) auswählen: Definiert, von welchen Quellports ein Netzwerkpaket stammen darf. Jede Regel akzeptiert nur einen Port String.

   Beispiel: Portnummern: port "22" oder Portbereich "1000-11000"

    

   Um die Ports deiner Dienste herauszufinden, prüfe die Dokumentation deiner Anwendung oder die Konfigurationsdatei des Dienstes. Dort sind die verwendeten Ports in der Regel eindeutig angegeben.
    

8. Destinations (IPs / Netzwerke) auswählen: Definiert, welche Ziel-IP-Adressen oder Zielnetzwerke von der Firewall-Regel angesprochen werden dürfen.
9. Destination Ports auswählen: Definiert, welcher Zielport angesprochen werden darf. Dieser Port bestimmt in der Regel die Zielanwendung bzw. den Dienst, der erreicht werden soll.
10. Bestätige mit einem Klick auf Hinzufügen.

1. Wähle einen Server aus.
2. Gehe in den Menüpunkt Firewall.
3. Klicke auf Policys editieren.
4. Auf der linken Seite siehst du alle deine zuvor definierten Policy. Schiebe sie auf die rechte Seite, um sie auf deinen Server anzuwenden.
   • >>: alle Regeln übernehmen
   • >: ausgewählte Regeln übernehmen
5. Beachte, dass die Regeln nach Priorität behandelt werden. Trifft eine Regel zu, werden die darunterliegenden Regeln ignoriert. Du kannst eigene Regeln per Drag and Drop nach oben oder unten verschieben, um ihre Priorität zu ändern.
6. Füge die gewünschten Policys deinem Server hinzu und bestätige mit einem Klick auf Editieren.
7. Klicke anschließend auf Speichern. Die Änderungen werden sofort übernommen.

Du kannst die Firewall auch deaktivieren. Dabei werden die konfigurierten Regeln nicht aus der Übersicht entfernt. Das Ein- und Ausschalten der Firewall verändert somit keine Konfigurationen der Policys, sondern deaktiviert diese lediglich.

1. Öffne dein Server Control Panel (SCP) und wähle den gewünschten Server aus.
2. Gehe in den Menüpunkt Firewall.
3. Deaktiviere den Schieberegler bei Firewall aktiv.
4. Klicke auf das Speichern-Symbol.

INGRESS, TCP, destination port 22, accept

EGRESS, TCP, source port 22, accept (Definiere EGRESS nur, wenn du auch extra EGRESS Regeln für Client-Traffic konfiguriert hast, sonst wird dieser Traffic blockiert (siehe Beispiel 6)).

INGRESS, TCP, destination ports 80,443, accept (2 Regeln)

EGRESS, TCP, source ports 80,443, accept (2 Regeln) (Definiere EGRESS nur, wenn du auch extra EGRESS Regeln für Client-Traffic konfiguriert hast, sonst wird dieser Traffic blockiert (siehe Beispiel 6)).

INGRESS, TCP, source IP-Prefixes =198.51.100.0/24, accept

EGRESS, TCP, destination IP-Prefixes =198.51.100.0/24, accept (Definiere EGRESS nur, wenn du auch extra EGRESS Regeln für Client-Traffic konfiguriert hast, sonst wird dieser Traffic blockiert (siehe Beispiel 6)).

INGRESS, TCP, source IPs = 198.51.100.10/32, 2001:db8::cafe/128, destination ports 3306 accept (2 Regeln)

EGRESS, TCP, destination IPs = 198.51.100.10/32, 2001:db8::cafe/128, source ports 3306 accept (2 Regeln) (Definiere EGRESS nur, wenn du auch extra EGRESS Regeln für Client-Traffic konfiguriert hast, sonst wird dieser Traffic blockiert (siehe Beispiel 6)).

INGRESS, UDP, source port 67, destination port 68, accept

EGRESS, UDP, source port 68, destination port 67, accept (Definiere EGRESS nur, wenn du auch extra EGRESS Regeln für Client-Traffic konfiguriert hast, sonst wird dieser Traffic blockiert (siehe Beispiel 6)).

Bei TCP lässt die Firewall-Verbindungsverfolgung den Rückverkehr (Antworten) automatisch zu, sodass keine INGRESS-Regeln erforderlich sind.

EGRESS, TCP, destination ports 80,443 accept (2 Regeln) (Verbindung zu HTTP/S-Servern erlauben)

EGRESS, TCP, destination ports 22 accept (Verbindung zu SSH-Servern erlauben)

EGRESS, UDP, destination ports 123 accept (Zeitsynchronisation mit NTP-Servern erlauben)

INGRESS, UDP, source ports 123 accept (NTP-Antwort-Traffic akzeptieren)

Beachte, dass sobald eine EGRESS-Regel existiert, die Standardaktion DROP ist und alles, was nicht definiert ist, verworfen wird. Damit dann noch alles wie gewohnt funktioniert, müssen EGRESS-Regeln für typischen Traffic, wie Webseitenaufrufe (HTTP/S) angelegt werden.

Beispiel: EGRESS accept TO destination port 80,443

Wir empfehlen, ausschließlich INGRESS-Regeln anzulegen.

Netzwerkprobleme beheben