Firewall-Konfiguration

Alle Einstellungen an der Firewall Ihres MangedServers werden sofort nach der Speicherung aktiv!

Mit der Firewall Ihres ManagedServers können Sie die Protokolle TCP und UDP konfigurieren. Eingehende Pakete anderer Protokolle können nicht konfiguriert werden und werden grundsätzlich immer abgelehnt.

Ausgenommen hiervon sind ICMP-Pakete (z.B. "Ping"), diese Pakete werden immer akzeptiert.

Es können ausschließlich eingehende Pakete über die Firewall konfiguriert werden.

Eine Konfiguration von ausgehenden Paketen ist nicht möglich, diese werden grundsätzlich immer erlaubt.

Nein, es können nicht alle Ports verwaltet werden! Von der Selbstverwaltung ausgenommen sind Ports, die von durch uns verwaltete Dienste belegt sind wie beispielsweise der Port 80 für den Apache-Webserver.

Damit Sie Ihre Firewall optimal konfigurieren können, finden Sie nachfolgend eine Auflistung der durch uns verwalteten Ports:

• 1 bis 1023
  Neben einigen durch uns verwalteten Diensten wie beispielsweise Port 80 für den Apache-Webserver oder Port 21 für den FTP-Server können auf den Ports 1 bis 1023 grundsätzlich nur unter dem Root-User laufende Dienste ausgeführt werden.
  Da auf einem ManagedServer kein Root-Zugriff besteht, ist die Konfiguration der Ports 1 bis 1023 grundsätzlich gesperrt.
  
  
• 3306
  Der Port 3306 wird vom bereits standardmäßig installierten MySQL-Server beansprucht und ist von der Konfigurierbarkeit über die Firewall ausgenommen.
  
  
• 49152 bis 65534
  Die Ports 49152 bis 65534 werden für die Verbindungen per Passive FTP verwendet und sind ebenfalls von der Firewall-Konfiguration ausgenommen.
  
  

Zur Hinterlegung der Ports, für die eine Regel gültig sein soll, stehen Ihnen beim Anlegen einer Regel die Felder "Port" zur Verfügung. Hier können die Ports wie folgt angegeben werden:

• Angabe einer einzelnen Port-Nummer
  Wenn die Firewall-Regel lediglich für einen bestimmten Port gelten soll, können Sie die entsprechende Zahl einfach in das Textfeld eingeben.

• Definition eines "Von-Bis"-Bereiches
  Wenn Sie eine Regel für einen bestimmten Bereich von Portnummern erstellen möchten, können Sie diesen wie folgt definieren:
  
  

  10000-20000

  In diesem Fall würde die Firewall-Regel für die Ports 10000 bis einschließlich 20000 Gültigkeit besitzen.

Bitte beachten Sie in diesem Zusammenhang, dass keine Firewall-Regeln erstellt werden können, die sich mit unseren eigenen Regeln überlappen und hierbei miteinander kollidieren könnten. So ist es beispielsweise nicht möglich, den Portbereich von 3000 bis 4000 komplett freizugeben, da auf Port 3306 der standardmäßig installierte und durch uns verwaltete MySQL-Dienst läuft und dieser Port durch uns nicht freigegeben ist.

Es ist jedoch selbstverständlich möglich, bestehende und durch uns verwaltete Firewall-Regeln zu erweitern. So ist es beispielsweise möglich, eine Regel für die Ports 3000 bis 4000 zu erstellen, die diesen Portbereich komplett sperrt, da dies lediglich eine Erweiterung der bestehenden Sperre für den Port 3306 darstellen würde.

Bei der Abarbeitung der definierten Firewall-Regeln sind die folgenden Punkte zu beachten:

• Die Abarbeitung der definierten Regeln erfolgt in der im Editor angegebenen Reihenfolge von oben nach unten. Da die Reihenfolge der Bearbeitung der Regeln für deren Funktionalität ausschlaggebend sein kann, sollten Sie diese mit großer Sorgfalt festlegen und überprüfen.
  
  Die Reihenfolge der definierten Regeln kann in der Übersicht über die Pfeilsymbole in der Liste der Regeln festgelegt bzw. verändert werden.

• Sobald eine Regel für ein eingehendes Paket zutrifft, wird die Regel entsprechend angewendet. Etwaige in der Liste darunter liegende Firewall-Regeln, die für das Paket ebenfalls zutreffend wären, werden nicht mehr berücksichtigt!
  
  Wenn beispielsweise an erster Position eine Regel definiert wird, die eingehende Pakete für die Ports 4000 bis 5000 erlaubt, eine darunter liegende Regel den Port 4444 für eingehende Pakete jedoch sperren soll, so würden am Port 4444 eingehende Pakete trotzdem angenommen werden!

Um bei freigeschalteter Firewall-Konfiguration eine neue Filter-Regel für eingehende Pakete zu erstellen, klicken Sie in der Übersicht der Firewall-Konfiguration einfach auf "Neue Regel hinzufügen".

Sie werden nun zur entsprechenden Seite weitergeleitet und können eine neue Filterregel für die Firewall Ihres ManagedServers einrichten:

Bei der Einrichtung einer Regel können die folgenden Angaben hinterlegt werden:

• Position
  Legen Sie hier bitte die Position fest, an der die Regel ausgeführt werden soll. Sie können diese Position nach Erstellen über die Übersicht selbstverständlich ändern. Hierzu klicken Sie in der Übersicht lediglich auf die entsprechenden Pfeilsymbole.

• Aktiv
  Wenn die Firewall-Regel erst zu einem späteren Zeitpunkt aktiv werden soll, deaktivieren Sie bitte die Checkbox. Wenn die Firewall-Regel sofort aktiv werden soll, lassen Sie die Checkbox aktiviert.

• Protokoll
  Wählen Sie aus dem Auswahlmenü aus, ob die Firewall-Regel für UDP- oder TCP-Pakete gelten soll.

• Quell-IP-Adresse
  Wenn die Firewall-Regel für Anfragen von einer bestimmten IP-Adresse gelten soll, tragen Sie die entsprechende IP-Adresse ein. Wenn die Regel hingegen für alle IP-Adressen gelten soll, lassen Sie dieses Feld einfach leer.
  
  
• Ziel-IP-Adresse
  Wenn die Firewall-Regel nur für eine bestimmte IP-Adresse Ihres ManagedServers gültig sein soll, so tragen Sie bitte die entsprechende IP-Adresse ein. Sofern die Regel für alle IP-Adressen gelten soll, so lassen Sie dieses Feld bitte einfach leer.

• Ziel-Port
  Wenn die Firewall-Regel nur einen bestimmten Port oder Portbereich betreffen soll, so geben Sie hier entweder den Port oder einen Portbereich ein (z.B. 5000-6000). Falls die Regel sich auf alle Ports beziehen soll, so lassen Sie dieses Feld einfach leer.
  
  
• Quell-Port
  Wenn die Firewall-Regel nur für eine Verbindung von einem bestimmten Port oder Portbereich gelten soll, geben Sie hier entweder den Port oder einen Portbereich ein (z.B. 1024-65535). Falls die Regel sich auf alle Quell-Ports beziehen soll, lassen Sie dieses Feld einfach leer. In der Regel vergibt das Quellsystem den Port willkürlich, sodass das Feld leer bleibt.
  
  
• Extra
  Hier können Sie IPTABLES direkt Parameter geben, z.B. "-y" oder "-m state --state ESTABLISHED,RELATED -m limit --limit 10/sec --limit-burst 50"
  
  
• Konsequenz
  Wählen Sie aus dem Auswahlmenü aus, ob Pakete, bei welchen diese Firewall-Regel greift, akzeptiert oder abgelehnt werden sollen.

• Kommentar
  In diesem Textfeld können Sie einen Kommentar zu jeder Firewall-Regel hinterlegen, welcher in der Liste der Firewall-Regeln angezeigt wird.

Nachdem alle Eingaben getätigt wurden, können Sie die neue Firewall-Regel mit einem Klick auf "Speichern" erstellen und Sie werden zur Übersicht der Firewall-Regeln weitergeleitet.

Die Verwaltung von bestehenden Firewall-Regeln erfolgt über den Reiter "Firewall" im Menüpunkt "Serverkonfiguration" Ihres Kundenmenüs.
(Wenn Sie die Firewall-Konfiguration zum ersten Mal nutzen, muss diese zunächst mit dem Kundenmenüpasswort freigeschaltet werden.)

Hier können Sie nun die folgenden Schritte vornehmen:

• Bei den Firewall-Standard-Einstellungen können Sie das Standardverhalten für eingehende Pakete, für welche keine explizite Regel existiert, bestimmen.
• Über die Schaltfläche "Reihenfolge ändern..." können Sie die Reihenfolge der Firewall-Regeln festlegen bzw. ändern. Ziehen Sie die Regel mit der Maus an die gewünschte Position und speichern die die Einstellung.
• Mit einem Klick auf "Editieren" können Sie bestehende Firewall-Regeln bei Bedarf editieren.
• Mit einem Klick auf "Löschen" können Sie bestehende Firewall-Regeln bei Bedarf löschen.
• Mit einem Klick auf "Neue Regel erstellen..." können Sie eine neue Regel für Ihre Firewall einrichten.