Antworten auf Ihre häufigsten Fragen

Gibt es Besonderheiten der Konfiguration von Firewalls auf Virtual Servern?
pdf print

Eine Bitte vorweg: Werden Sie sich vor der Konfiguration einer Firewall klar darüber, welchen Sicherheitsgewinn Sie sich versprechen und was blockiert werden soll. Die Sicherheit des Servers wird durch bloßen Start einer Firewall oder durch eine Konfiguration, die Zugriff auf alle laufenden Dienste wieder wie vorher erlaubt nicht sicherer. Natürlich gibt es sinnvolle Anwendungen für Firewalls, allerdings ist dies gerade bei Virtual-Server-Produkten seltener der Fall als man häufig denkt.

Falls Sie über die folgenden Hinweise hinaus noch Fragen haben, wenden Sie sich bitte per Systems-Management-Auftrag an unseren Support.

  • Bei Systemen mit Plesk existiert ein Firewall-Modul, das zur Erstellung von Firewall-Regeln benutzbar ist:
  • Bei Systemen ohne Plesk können die Firewall-Skripte benutzt werden, die die meisten Linux-Distributionen mitbringen:
    • Ubuntu: ufw
      • Bitte beachten Sie, dass bei der Nutzung von ufw jedoch kleinerer Anpassungen bedarf, da es im Auslieferungszustand leider Fehler wirft:
        • In der Datei /etc/ufw/sysctl.conf müssen folgende 3 Zeilen auskommentiert werden:
          net/ipv4/icmp_echo_ignore_broadcasts=1
          net/ipv4/icmp_ignore_bogus_error_responses=1
          net/ipv4/icmp_echo_ignore_all=0
        • In der Datei /etc/default/ufw muessen die zusätzlichen Module welche mittels IPT_MODULES konfiguriert sind, entfernt werden.
        • Eine ausführliche Dokumentation zu UFW finden Sie auf folgender Seite (auf Englisch): https://help.ubuntu.com/community/UFW
      • Debian 8:
        1. systemctl enable iptables
        2. systemctl start iptables
      • CentOS 6: /etc/init.d/iptables
      • CentOS 7:
        Das bei CentOS 7 mitgelieferte firewalld kann auf dem Virtual Server zu Problemen führen, wir empfehlen daher firewalld zu deinstallieren und das klassische iptables zu nutzen.
    • Bei den Virtual Servern gibt es ein paar Besonderheiten, die bei der Konfiguration von iptables beachtet werden sollten. 

Wir raten davon ab die Firewall, die Sie über das VZPP konfigurieren können zu verwenden.

Nutzen Sie stattdessen eine Lösung, die innerhalb Ihres Virtual Server läuft. Eine einwandfreie Funktion ist nicht in allen Fällen gegeben. Dies trifft, aufgrund der Nutzung von Systemd, besonders für Virtual Server mit CentOS 7 und Debian 8 zu.

Sollten Sie die Firewall bereits aktiviert haben und dadurch auf Probleme stoßen, können Sie folgende Schritte als "Workaround" verwenden, damit die VZPP-Firewall den Betrieb und die Nutzung anderer Firewall-Lösungen nicht beeinträchtigen kann:

  1. Melden Sie sich im VZPP/PPP an.
  2. Linkes Menü -> Firewall
  3. Wählen Sie dort nun den Punkt "Firewall Setup".
  4. Konfigurieren Sie die Firewall dort auf "Advanced firewall mode with default policy Accept" und speichern Sie die Einstellungen.
  5. Optional können die übrigen Regeln gelöscht werden. Anschließend sollte dann nur noch die Regel für die "Default Policy" bestehen.

Falls Module, die lt. der u.a. Modulliste vorhanden sein sollten nicht nutzbar sind, teilen Sie uns dies bitte mit.
Typische Fehlermeldungen in diesem Fall sind "iptables: No chain/target/match by that name" o.ä.
Bitte beachten Sie allerdings, dass darüber hinaus keine Module ladbar sind.

Nutzbare Module:

Folgende iptables-Module werden auf den VPS standardmäßig geladen:
ipt_reject ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_tcpmss ipt_tcpmss ipt_ttl ipt_length ipt_state ipt_helper iptable_nat ip_nat_ftp ipt_log ipt_conntrack ip_conntrack ip_conntrack_ftp ip_conntrack_irc ipt_tos ip_nat_irc ipt_recent ipt_redirect ipt_recent und ipt_redirect.


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de