Firewall-Einstellungen in ISPConfig vornehmen

Firewall-Einstellungen in ISPConfig vornehmen

In dieser Anleitung erfahren Sie, wie Sie als Kunde mit einem Managed vServer, Managed Server oder ScaleServer bei Timme Hosting das neue Firewall-Feature in ISPConfig nutzen können, um Ports selbständig zu öffnen oder zu sperren. Das Firewall-Modul bietet eine einfache Benutzeroberfläche, mit der auch technisch weniger versierte Anwender Firewall-Regeln hinzufügen, ändern und entfernen können.

Hinweis: Dieses Feature steht nur Kunden mit Managed vServern, Managed Servern und ScaleServern zur Verfügung. Webhosting-Pakete haben keinen Zugriff auf das Firewall-Modul.

Das Firewall-Feature in ISPConfig

Die Firewall in ISPConfig ermöglicht es Ihnen, den Netzwerkzugriff auf Ihren Server über definierte Regeln zu steuern. Standardmäßig haben wir für Ihren Server bereits eine Reihe von vordefinierten Firewall-Regeln eingerichtet, sodass wichtige Dienste erreichbar sind. In der ISPConfig-Oberfläche finden Sie diese unter System > Firewall (wählen Sie dort Ihren Server aus, falls mehrere Server verwaltet werden). Auf dem Bildschirm sehen Sie eine Liste von Regeln, die aktuell gelten.

Beachten Sie, dass die ausgegrauten Regeln in der Liste schreibgeschützt (Read Only) sind. Diese werden vom System automatisch verwaltet und können von Ihnen nicht bearbeitet werden. Sie spiegeln grundlegende Einstellungen wider, die z.B. in ISPConfig unter System > Dienste vorgenommen wurden. Beispielsweise hängen Regel 3 und 4 auf dem Screenshot mit dem FTP-Dienst zusammen: Wenn Sie FTP unter System > Dienste > FTP deaktivieren, werden diese Regeln angepasst. Diese Read-Only-Regeln können je nach Serverkonfiguration leicht variieren. Alle nicht schreibgeschützten Regeln in der Liste dürfen Sie selbst anpassen oder löschen.

Wichtig: Die Firewall arbeitet nach dem Whitelisting-Prinzip. Das heißt, nur die explizit freigegebenen Ports (durch Regeln) sind zugänglich, alle anderen Ports sind geschlossen. Wenn Sie eine Regel löschen, wird der entsprechende Port vollständig gesperrt (nicht mehr erreichbar). Im Folgenden zeigen wir Schritt für Schritt, wie Sie neue Regeln hinzufügen, bestehende Regeln bearbeiten und Regeln löschen können.

Firewall-Regeln

Priorisierung von Firewall-Regeln

Bei der Verwaltung von Firewall-Regeln ist es wichtig zu verstehen, in welcher Reihenfolge die Regeln angewendet werden. Die Firewall prüft eingehende Verbindungen der Reihe nach gegen Ihre Liste von Regeln - von oben nach unten.  Sobald eine Regel zutrifft (d.h. alle Kriterien wie IP, Port, Protokoll passen zum eingehenden Paket), wird die definierte Aktion ausgeführt (z.B. ACCEPT = erlauben oder DENY = verwerfen) und alle darunterstehenden Regeln werden ignoriert. Trifft keine Ihrer definierten Regeln auf ein Paket zu, wird dieses standardmäßig blockiert (verworfen).

Was bedeutet das für Sie als Benutzer?

Vor allem, dass die Reihenfolge Ihrer Regeln Einfluss hat. Sie können die Priorität der Regeln in ISPConfig direkt über die Pfeil-Buttons neben den Regeln verändern.

Beispiel: Angenommen, Sie haben ganz oben in der Liste eine Regel stehen, die Ihrer eigenen IP-Adresse sämtliche Ports erlaubt. Wenn Sie weiter unten zusätzlich eine Regel anlegen, die Port 8080 sperren soll, dann wird diese Sperr-Regel nie wirksam. Ihre IP hat durch die obere Regel bereits Zugriff auf alles und die Firewall prüft die darunterliegenden Regeln gar nicht mehr.

Als Faustregel sollten spezifischere Regeln (z.B. eine Regel, die Port 8080 nur für bestimmte IPs erlaubt) oberhalb von allgemeineren Regeln stehen. Überlegen Sie also beim Hinzufügen oder Anpassen von Regeln, ob die Position in der Liste korrekt ist. Passen Sie die Reihenfolge an, falls nötig, um das gewünschte Ergebnis zu erzielen.

Neue Firewall-Regel hinzufügen

Möchten Sie einen Port öffnen, der bisher nicht freigegeben ist, können Sie dafür eine neue Regel anlegen. Nehmen wir als Beispiel an, Sie möchten Port 9000 auf dem Server öffnen. Gehen Sie dazu wie folgt vor:


1 - Firewall-Modul öffnen

  • Navigieren Sie in ISPConfig im Hauptmenü zum Punkt System.
  • Wechseln Sie nun im linken Untermenü in der Kategorie System zum Punkt Firewall und wählen Sie Ihren Server aus (falls noch nicht geschehen).
  • Klicken Sie dann auf den Button "Neue Regel hinzufügen". Damit wird eine neue leere Regel an unterster Stelle zur Regel-Liste hinzugefügt.



2 - Chain und Protokoll einstellen

  • Belassen Sie die Felder Chain und Protokoll auf den voreingestellten Werten.
  • Standardmäßig ist hier die INPUT-Chain und das TCP-Protokoll ausgewählt.



3 - Quell-IP festlegen

  • Wenn der Port für alle IP-Adressen offen sein soll, lassen Sie das Feld Quell-IP leer.
  • Möchten Sie den Zugriff auf eine bestimmte IP oder mehrere IPs beschränken, tragen Sie hier die zulässige IP-Adresse ein.
  • Für mehrere IP-Adressen können Sie diese durch Kommas getrennt einfügen.



4 - Ziel-IP eintragen

  • Geben Sie im Feld Ziel-IP die IP-Adresse Ihres Servers an.
  • Für mehrere IP-Adressen (z.B. Zusatz-IPs) können Sie diese durch Kommas getrennt (z.B. 123.45.67.89,98.76.54.32) einfügen. Alternativ können Sie das Feld leer lassen, wodurch alle IP-Adressen (serverseitige IPs) erlaubt werden.



5 - Quell-Port freilassen

  • Lassen Sie das Feld Quell-Port leer, da die Verbindung von beliebigen Ports der entfernten Clients initiiert werden darf (es sei denn, Sie möchten auf einen bestimmten Quell-Port filtern, was unüblich ist).



6 - Ziel-Port angeben

  • Tragen Sie im Feld Ziel-Port den Port 9000 ein, den Sie öffnen möchten.
  • Für andere Fälle könnten Sie auch einen Portbereich (z.B. 40110:40210) oder mehrere Ports angeben, getrennt durch Kommas.



7 - Aktion auswählen

  • Stellen Sie sicher, dass die Aktion auf ACCEPT steht. Dies bedeutet, dass Verbindungen auf den angegebenen Port erlaubt werden.
  • Die Alternative wäre z.B. "DENY", um Verkehr zu verwerfen. Wir wollen den Port allerdings freigeben und nutzen deshalb "ACCEPT".



8 - Regel speichern

  • Klicken Sie auf Speichern, um die neue Regel anzulegen.
  • Die Regel erscheint nun in der Liste der Firewall-Regeln.


Nach dem Speichern ist Port 9000 ab sofort für eingehende Verbindungen geöffnet. Sie können nun überprüfen, ob die neue Regel in der Übersicht auftaucht. Denken Sie daran, dass neue Regeln in der Liste meist unten angefügt werden. Die Priorität der Regel besprechen wir im Abschnitt "Priorisierung von Firewall-Regeln".

Bestehende Firewall-Regel bearbeiten

Sie können bestehende freigegebene Ports einschränken, indem Sie deren Regel bearbeiten. Ein typischer Anwendungsfall ist, einen offenen Port nur für bestimmte IP-Adressen zugänglich zu machen. Nehmen wir an, Port 8080 ist momentan generell geöffnet (Standardregel) und Sie möchten ihn aus Sicherheitsgründen nur noch für ausgewählte IPs freigeben. Gehen Sie dazu wie folgt vor:


1 - Regel lokalisieren

  • Suchen Sie in der Firewall-Regelliste die Regel, die den Port 8080 freigibt.
  • In unserem Beispiel auf dem Screenshot ist dies Regel 16 in der Liste. Je nach System kann die Position variieren.
  • Achten Sie auf die Spalte Ziel-Port, um die richtige Regel zu finden.



2 - Quell-IP eingrenzen

  • In der gefundenen Regel können Sie nun das Feld Quell-IP ausfüllen.
  • Tragen Sie hier die IP-Adresse(n) ein, von der/denen aus der Port 8080 erreichbar sein soll.
  • Wenn Sie mehrere IPs zulassen möchten, trennen Sie diese mit Kommas (z.B. 123.45.67.89,98.76.54.32) oder geben Sie komplette Subnetze frei (z.B. 12.34.43.0/24).
  • Lassen Sie Ziel-IP, Ziel-Port und andere Einstellungen unverändert, da diese bereits auf Port 8080 zeigen.



3 - Änderung speichern

  • Klicken Sie auf Speichern, um die angepasste Regel zu übernehmen.


Nach dem Speichern ist Port 8080 nun nicht mehr für alle erreichbar, sondern ausschließlich für die angegebenen IP-Adressen. Alle Verbindungsversuche von anderen IPs werden blockiert.

Tipp: Analog können Sie auch andere Einstellungen bestehender Regeln ändern, z.B. den Ziel-Port (wenn Sie sich vertippt haben) oder das Protokoll, falls notwendig. Achten Sie stets darauf, was die Regel bewirkt, um sich nicht versehentlich auszuschließen (z.B. SSH-Port nicht für Ihre eigene IP sperren).

Firewall-Regel löschen (Port schließen)

Wenn Sie einen Port komplett schließen möchten, können Sie die zugehörige Firewall-Regel löschen. Dies ist sinnvoll, wenn Sie einen Dienst nicht mehr öffentlich erreichbar haben wollen. Im folgenden Beispiel schließen wir den Port 110 (POP3-Maildienst), indem wir die entsprechende Regel entfernen:


1 - Regel lokalisieren

  • Suchen Sie in der Firewall-Liste die Regel, die den Port 110 freigibt (in unserem Beispiel Regel 14).
  • Vergewissern Sie sich, dass Sie die richtige Regel identifiziert haben (Kontrolle über die Spalte Ziel-Port = 110).



2 - Regel löschen

  • Klicken Sie rechts neben dieser Regel auf das Papierkorb-Symbol (Löschen).
  • Die Regel wird daraufhin zum Entfernen markiert.



3 - Änderung anwenden

  • Klicken Sie nun auf Speichern, um die Löschung endgültig zu übernehmen.
  • Die Regel verschwindet aus der Liste.


Damit ist der Port 110 nun geschlossen. Der Dienst ist von außen nicht mehr zugänglich. Wiederholen Sie diesen Vorgang für alle Ports, die Sie nicht mehr freigeben möchten. Denken Sie daran, dass Sie wichtige Standardports (wie z.B. 80 für HTTP oder 443 für HTTPS) nicht löschen sollten, solange Sie die entsprechenden Dienste benötigen.

Beispiele

Im folgenden Abschnitt finden Sie einige praktische Beispiele, wie Firewall-Regeln in ISPConfig aussehen können und welche Wirkung sie haben. Diese Beispiele sollen Ihnen helfen, typische Szenarien besser zu verstehen und eigene Regeln sicher zu erstellen.

Die gezeigten Screenshots veranschaulichen, wie sich verschiedene Einstellungen auf die Erreichbarkeit einzelner Dienste auswirken – zum Beispiel, wenn bestimmte Ports nur für einzelne IP-Adressen zugänglich sind oder wenn Dienste komplett gesperrt werden sollen.

Darüber hinaus zeigen wir auch, wie Sie den Zugriff auf Ihre Datenbank (Port 3306) gezielt auf bestimmte IPs beschränken können – ganz ohne eigene Firewall-Regel, denn ISPConfig übernimmt diesen Schritt automatisch für Sie.

Beispiel 1

  • Die Ports 25 (SMTP, für eingehende Mails), 80 (HTTP) und 443 (HTTPS) sind für alle geöffnet.
  • Die Ports 22 (SSH) und 8080 (ISPConfig) sind nur von 100.64.0.3 und 100.64.1.0/24 aus erreichbar.
Firewall Beispiel 1

Beispiel 2

  • Ein Zugriff auf FTP (Regel #14)  und SSH (Regel #4) ist nur von der IP 100.64.0.3 aus möglich.
  • Alle anderen Dienste sind für alle erreichbar.
Firewall Beispiel 2

Beispiel 3

  • Eine Datenbank auf Port 3306 ist nur für die IP-Adressen 100.64.0.3 und 100.64.0.8 erreichbar.

Um weiteren IP-Adressen den Zugriff auf die Datenbank zu ermöglichen, müssen Sie hier keine neuen Regeln manuell anlegen, sondern die gewünschten IP-Adressen einfach unter "Webseiten > Datenbanken > (Datenbank anklicken) > Erweiterte Einstellungen > Entfernter Zugriff IP Adressen" eintragen. ISPConfig generiert die Regeln dann automatisch.

Firewall Beispiel 3

Mit dem neuen Firewall-Feature in ISPConfig können Sie einfach und schnell die Port-Freigaben Ihres Servers verwalten. Ganz ohne tiefgehende technische Kenntnisse. Unsere Schritt-für-Schritt-Anleitungen haben gezeigt, wie Sie neue Ports öffnen, Zugänge einschränken oder komplett schließen können. Die zuvor umständliche Vorgehensweise gehört damit der Vergangenheit an. Sie als Kunde gewinnen mehr Kontrolle und Flexibilität. Beachten Sie dabei stets die Regel-Priorisierung und öffnen Sie nur die Ports, die tatsächlich gebraucht werden, um die Sicherheit Ihres Servers hoch zu halten. Sollten Sie unsicher sein, welche Ports benötigt werden oder wie eine Regel wirken würde, steht unser Support Ihnen gerne beratend zur Seite.

Geschafft! Sie haben Firewall-Einstellungen in ISPConfig vorgenommen!

Noch mehr Anleitungen ▶

Finden Sie den passenden Tarif

Unser Tarifberater hilft Ihnen dabei, das passende Paket zu finden. Bei Fragen berät Sie unser Sales-Team sehr gerne unter +49 (0) 4131 / 22 78 1-25 oder sales@timmehosting.de.

Bitte beachten Sie: Der Tarifberater dient nur der groben Orientierung. Ihr tatsächlicher Bedarf kann durch den Ressourcenbedarf Ihrer Anwendung(en), tageszeitabhängige/saisonale/aktionsbedingte Schwankungen des Besucheraufkommens, geplantes Wachstum und weitere Faktoren von der Empfehlung abweichen.

  • 1
  • 2
  • 3
  • 4
  • 5

Was möchten Sie hosten?

einen Shop eine Website beides

Möchten Sie einen oder mehrere Shops hosten? (Eine Multishop-Installation gilt als ein Shop.)

einen Shop mehrere Shops

Möchten Sie eine oder mehrere Websites hosten? (Eine Multisite-Installation gilt als eine Website.)

eine Website mehrere Websites

Wieviele Besucher haben Sie insgesamt pro Tag?

bis 1.000 bis 10.000 bis 50.000 mehr als 50.000

Wieviele Besucher haben Sie insgesamt pro Tag?

bis 1.000 bis 10.000 bis 50.000 mehr als 50.000

Wieviele Besucher haben Sie insgesamt pro Tag?

bis 1.000 bis 10.000 bis 50.000 mehr als 50.000

Wieviele Artikel haben Sie insgesamt in Ihrem Shop/Ihren Shops (inkl. Varianten)?

bis 1.000 bis 20.000 bis 100.000 mehr als 100.000

Wieviele Artikel haben Sie insgesamt in Ihrem Shop/Ihren Shops (inkl. Varianten)?

bis 1.000 bis 20.000 bis 100.000 mehr als 100.000

Wieviel Speicherplatz benötigen Sie insgesamt?

bis 30GB bis 300GB mehr als 300GB

Wieviel Speicherplatz benötigen Sie insgesamt?

bis 30GB bis 300GB mehr als 300GB

Wieviel Speicherplatz benötigen Sie insgesamt?

bis 30GB bis 300GB mehr als 300GB

Wir empfehlen Ihnen folgende Lösungen:

ScaleServer oder Web Hosting

Zu den ScaleServer Paketen Zu den Web Hosting Paketen

Wir empfehlen Ihnen folgende Lösungen:

ScaleServer oder Shop Hosting

Zu den ScaleServer Paketen Zu den Shop Hosting Paketen

Wir empfehlen Ihnen folgende Lösungen:

Managed vServer oder ScaleServer

Zu den Managed vServer Paketen Zu den ScaleServer Paketen

Wir empfehlen Ihnen folgende Lösungen:

Managed Server oder ScaleServer

Zu den Managed Server Paketen Zu den ScaleServer Paketen

Wir empfehlen Ihnen unsere

Managed Server

Zu den Managed Server Paketen
zum vorherigen Schritt