Eine Firewall ist die erste und wichtigste Verteidigungslinie Ihres Root-Servers oder vServers. Sie kontrolliert den ein- und ausgehenden Netzwerkverkehr und blockiert unerwünschte Verbindungsversuche. Ein Server ohne Firewall ist wie ein Haus ohne Türen, offen für jeden.
Grundprinzip einer Firewall
Eine Firewall arbeitet nach dem Prinzip von Regeln: Jede ein- und ausgehende Verbindung wird anhand definierter Regeln geprüft. Die grundlegende Strategie lautet: Alles blockieren, was nicht ausdrücklich erlaubt ist (Default Deny).
Firewall-Tools unter Linux
| Tool | Typ | Schwierigkeit | Empfohlen für |
|---|---|---|---|
| ufw (Uncomplicated Firewall) | Frontend für iptables | Einfach | Einsteiger, Ubuntu |
| iptables | Kernel-basiert | Mittel | Erfahrene Admins |
| nftables | Nachfolger von iptables | Mittel | Moderne Systeme |
| firewalld | Frontend mit Zonen | Mittel | CentOS/AlmaLinux |
Grundkonfiguration mit ufw
UFW (Uncomplicated Firewall) ist das einfachste Firewall-Tool und ideal für Einsteiger. Es ist auf Ubuntu vorinstalliert und kann auf Debian nachinstalliert werden.
Basis-Setup für einen Webserver
Für einen typischen Webserver, der Webseiten hostet und per SSH verwaltet wird, benötigen Sie folgende Regeln:
- Standardmäßig allen eingehenden Traffic blockieren
- Allen ausgehenden Traffic erlauben
- SSH-Zugang erlauben (Port 22 oder Ihren gewählten Port)
- HTTP erlauben (Port 80)
- HTTPS erlauben (Port 443)
Erweiterte Regeln
Je nach den Diensten, die auf Ihrem Server laufen, müssen Sie weitere Ports öffnen:
| Dienst | Port(s) | Protokoll | Anmerkung |
|---|---|---|---|
| SSH | 22 (oder individuell) | TCP | Zugriff idealerweise auf bestimmte IPs begrenzen |
| HTTP | 80 | TCP | Für Webserver und Let's Encrypt |
| HTTPS | 443 | TCP | Verschlüsselter Webverkehr |
| FTP | 20-21 | TCP | Besser durch SFTP ersetzen |
| SMTP | 25, 587 | TCP | Nur wenn Mail-Server betrieben wird |
| IMAP | 993 | TCP | Verschlüsselter E-Mail-Abruf |
| POP3 | 995 | TCP | Verschlüsselter E-Mail-Abruf |
| MySQL | 3306 | TCP | Nur von vertrauenswürdigen IPs erlauben |
| DNS | 53 | TCP/UDP | Nur wenn DNS-Server betrieben wird |
Best Practices
- Default Deny: Blockieren Sie alles und erlauben Sie nur, was nötig ist
- SSH begrenzen: Erlauben Sie SSH nur von bekannten IP-Adressen, wenn möglich
- Rate Limiting: Begrenzen Sie die Anzahl der Verbindungen pro IP und Zeitraum
- Logging aktivieren: Protokollieren Sie blockierte Verbindungsversuche zur Analyse
- Regelmäßig prüfen: Überprüfen Sie Ihre Firewall-Regeln regelmäßig auf Aktualität
- Keine breiten Regeln: Öffnen Sie nie alle Ports oder ganze IP-Bereiche ohne Grund
- Ausgehende Regeln: Beschränken Sie auch den ausgehenden Traffic, um Missbrauch zu verhindern
Firewall und andere Sicherheitsmaßnahmen
Die Firewall ist nur ein Teil eines umfassenden Sicherheitskonzepts. Kombinieren Sie sie mit:
- Server-Härtung und SSH-Absicherung
- Fail2Ban für automatische IP-Sperren
- Spam-Schutz für Ihren E-Mail-Server
- DDoS-Schutz für Überlastungsangriffe
- Monitoring zur Erkennung von Anomalien
- Backups als letzte Verteidigungslinie
Fazit
Eine korrekt konfigurierte Firewall gehört zur Grundausstattung jedes Servers. Beginnen Sie mit dem Default-Deny-Ansatz und öffnen Sie nur die Ports, die Ihre Dienste tatsächlich benötigen. Auf einem vServer oder Root-Server ist die Firewall-Konfiguration eine der ersten Maßnahmen nach der Ersteinrichtung. Kombinieren Sie die Firewall mit weiteren Sicherheitsmaßnahmen für einen umfassenden Schutz.
Häufig gestellte Fragen
Welche Ports muss ich für einen Webserver in der Firewall öffnen?
Für einen Standard-Webserver müssen Sie Port 80 (HTTP), Port 443 (HTTPS) und Port 22 (SSH) öffnen. Weitere Ports wie 25 oder 587 für E-Mail sind nur nötig, wenn Sie einen eigenen Mail-Server betreiben.
Was bedeutet Default Deny bei einer Firewall?
Default Deny ist das Grundprinzip, bei dem zunächst sämtlicher eingehender Netzwerkverkehr blockiert wird. Anschließend werden nur die Ports und Dienste gezielt freigeschaltet, die tatsächlich benötigt werden. Das bietet maximale Sicherheit.
Welches Firewall-Tool ist für Einsteiger am besten geeignet?
UFW (Uncomplicated Firewall) ist das einfachste Tool und ideal für Einsteiger. Es ist auf Ubuntu vorinstalliert und ermöglicht eine schnelle Konfiguration mit verständlichen Befehlen, ohne tiefe Kenntnisse von iptables zu erfordern.
Wie teste ich, ob meine Firewall richtig konfiguriert ist?
Prüfen Sie Ihre Firewall-Regeln mit dem entsprechenden Status-Befehl Ihres Tools und testen Sie von außen, ob nur die gewünschten Ports erreichbar sind. Online-Port-Scanner helfen dabei, offene Ports auf Ihrem Server zu identifizieren.
Brauche ich eine Firewall auf einem Managed Server?
Bei einem Managed Server kümmert sich der Hosting-Anbieter um die Firewall-Konfiguration. Sie müssen sich in der Regel nicht selbst darum kümmern. Bei einem vServer oder Root-Server hingegen sind Sie selbst für die Einrichtung und Pflege der Firewall verantwortlich.