Firewall
3 Minuten Lesezeit
Einschränkungen
Die Firewall, welche bei Ihrem Server inkludiert ist, ist ein einfacher Paketfilter, welcher ausschließlich eingehende Pakete filtert. Es gelten folgende weitere Einschränkungen:
- Das Entfernen (nicht das Deaktivieren) ALLER Firewallregeln führt dazu, dass die Firewall an sich deaktiviert wird - es findet keinerlei Filterung mehr statt (Any-Any Accept)!
- Umgekehrt bedeutet dies: Das Hinzufügen einer einzelnen Regel aktiviert die Firewall grundsätzlich - es werden nur noch Pakete erlaubt, welche explizit freigeschaltet wurden.
- Es können maximal 20 Regeln je IP Subnetz angelegt werden.
- Uns liegen keinerlei Logs von abgelehnten oder akzeptierten Paketen vor, diese können daher auch nicht zur Unterstützung bei der Entstörung herangezogen werden.
Verwalten
Um die Firewallregeln zu editieren, melden Sie sich im CloudHub an und öffnen das Dashboard Ihres Servers (Produkt-Dashboard -> Dedicated Server -> Server auswählen). In der Registerkarte “Informationen” finden Sie den Abschnitt “Stateless Firewall”.
Die Firewallregeln sind nach IP Subnetzen unterteilt (1). Um die Regeln zu editieren, wechseln Sie in den Bearbeitungsmodus (2).

Regeln editieren und hinzufügen
Im Bearbeitungsmodus werden Änderungen erst gespeichert, wenn sie über den Button bestätigt werden (1). Nach Speicherung dauert es ca. fünf Minuten, bis die Änderungen aktiv werden.
Vorhandene Firewallregeln lassen sich via Drag & Drop umsortieren, deaktivieren (2), bearbeiteten und löschen (3).
Es können auch neue Firewallregeln hinzugefügt werden (4).

Im Erstell- oder Bearbeiten-Dialog einer einzelnen Regel lassen sich alle Optionen einer Regel anpassen.
Die Reihenfolge wirkt sich entsprechend des numerischen Wertes auf die Sortierung der Firewallregeln aus.
Quell-CIDRs müssen entweder Netzadresse + Subnetzmaske oder Hostadresse + Host-Maske sein.
Ein paar Beispiele:
| Quell-CIDR | Valide? | Erklärung |
|---|---|---|
203.0.113.0/24 | ✓ | Netzadresse und passende Subnetzmaske |
203.0.113.0/24 | ✓ | Hostadresse und passende Subnetzmaske |
203.0.113.1/24 | ✗ | Inkorrekt, da Hostadresse und Subnetzmaske eines Netzes. Korrekt wären: 203.0.113.1/32 (nur eine IP-Adresse) oder 203.0.113.0/24 (alle IP-Adressen im Netz) |
2001:0db8::/64 | ✓ | Netzadresse und passende Subnetzmaske |
2001:0db8::1/32 | ✓ | Hostadresse und passende Subnetzmaske |
2001:0db8::1/64 | ✗ | Inkorrekt, da Hostadresse und Subnetzmaske eines Netzes. Korrekt wären: 2001:0db8::1/32 (nur eine IP-Adresse) oder 2001:0db8::/64 (alle IP-Adressen im Netz) |
Quell- und Zielports sind optionale Felder. Werden diese leer gelassen, entspricht dies “any” bzw. allen Ports.
Es können Aufzählungen und Port-Bereiche kombiniert angegeben werden, z.B.: 22, 80, 443, 8000-8999.

TCP Established (Rückantworten)
Da es sich um eine Stateless Firewall handelt, müssen für ausgehende Verbindungen die Rückantworten explizit erlaubt werden. Hierzu muss wie folgt eine Regel mit dem Flag ACK und RST angelegt werden.
Wir liefern Server stets vorkonfiguriert mit einer solchen Firewallregel aus.
Das Protokoll (1) muss “TCP” lauten, die Aktion (2) “Allow” und die passende Option (3) aktiv sein.
Als Quell-CIDR (4) ist idR. “0.0.0.0/0” zu setzen, wenn keine weiteren Einschränkungen gewünscht sind.
Ziel-Ports (5) sind abhängig vom Betriebssystem und dessen Konfiguration. Hier sind die “High-Ports” anzugeben, die im Betriebssystem für die meisten ausgehenden Verbindungen genutzt werden.
In Linux-Systemen lässt sich die Konfiguration via Befehl sysctl net.ipv4.ip_local_port_range einsehen.
