Hetzner - DokuWiki

Robot Firewall

Inhaltsverzeichnis

Firewall

Hetzner Online hat mit der "stateless Firewall" eine kostenlose Sicherheitslösung für Ihre Dedicated Root Server implementiert. Sie haben in Ihrer Administrationsoberfläche Robot im Reiter "Firewall" Ihres Servers die Möglichkeit, Filterregeln für Ihren eingehenden Datenverkehr zu definieren.

Die Firewall dient dazu, den Netzwerkzugriff basierend auf von Ihnen festgelegten Regeln zu beschränken. Sie überwacht den laufenden Datenverkehr und entscheidet anhand der Regeln, ob bestimmte Netzwerkpakete durchgelassen werden oder nicht. Auf diese Weise lassen sich unerlaubte Zugriffe unterbinden.

Insgesamt gilt: Die Funktion einer Firewall besteht nicht darin, Angriffe zu erkennen. Sie soll ausschließlich Regeln für die Netzwerkkommunikation umsetzen. Hetzner Online bietet Ihnen so neben dem DDoS-Schutz eine ergänzende Möglichkeit, Ihre Dedicated Root Server vor Gefahren aus dem Internet abzusichern.

Die Firewall für Dedicated Root Server im Robot wird auf dem Switch-Port konfiguriert und gilt für eingehenden IPv4-Datenverkehr.

Wie aktiviere ich die Firewall?

Sie können die Firewall im Robot unter "Hauptfunktionen; Server; Server auswählen; Firewall" aktivieren. Wird diese aktiviert und es sind noch keine Firewall Regeln hinterlegt, wird jeglicher eingehender Traffic blockiert.

Das Aktivieren der Firewall wird direkt umgesetzt und am Switch konfiguriert. Die Konfiguration dauert ca. 20 – 30 Sekunden.

Firewall aktivieren

Firewall-Regeln

Es können maximal 10 Regeln gesetzt werden.

Parameter

Name
Der Name kann frei vergeben werden. Lediglich Sonderzeichen sind nicht erlaubt
Ziel-IP und Quell-IP
IP-Adressen können entweder als Einzel-IPs oder als Subnetz in CIDR Notation angegeben werden (z.B. 192.168.0.1 oder 192.168.0.0/30). Da die Firewall auf dem Switch-Port konfiguriert wird, gilt die Regel ohne Angabe der Ziel-IP für alle IP-Adressen des Servers.
Ziel-Port und Quell-Port
Die Ziel- und Quell-Ports können als Einzel-Port oder als Bereich angegeben werden (z.B. 80 oder 32768-65535).
Protokoll
Auswahl des Protokolls (z.B. TCP oder UDP)
TCP-Flags
TCP-Flags (syn, fin, rst, psh, urg) können einzeln oder als logische Kombination ("|" für logisches Oder = mindestens eines der Flags muss gesetzt sein; "&" für logisches Und = alle Flags müssen gesetzt sein) angegeben werden.
Aktion
Die Aktion definiert, was mit Paketen geschehen soll, die auf die Regel zutreffen, also ob das Paket verworfen werden soll ("discard") oder an den Server weitergeleitet ("accept") werden soll.

Priorisierung

Die Regeln werden genau in der Reihenfolge angelegt, wie sie im Robot definiert werden, und der Reihe nach von oben nach unten abgearbeitet. Sie können die Reihenfolge nachträglich über die grünen Pfeile am Ende der Regel ändern.

Trifft Regel #1 nicht zu, wird Regel #2 geprüft. Trifft diese ebenfalls nicht zu wird Regel #3 geprüft. Sobald eine Regel zutrifft, wird die Abarbeitung der Regeln beendet und das Paket entsprechend der definierten Aktion entweder verworfen oder weitergeleitet. Somit werden bei zutreffender Regel alle nachfolgenden Regeln nicht beachtet. Trifft keine der Regeln zu, wird das Paket verworfen.

Firewallregeln

Hetzner Dienste freigeben

Über die Checkbox "Hetzner Services" können Sie ohne zusätzliche Konfiguration alle wichtigen Infrastrukturdienste von Hetzner Online freigeben. Wenn diese Option aktiviert ist, werden Dienste wie beispielsweise das Hetzner_Rescue-System, DNS, Backup-Server/StorageBoxes, System_Monitor_(SysMon) nicht blockiert, sondern direkt freigegeben.

Ausgehende TCP-Verbindungen

Bei einer statischen Firewall wird die Entscheidung, was mit einem Paket passieren soll, immer nur anhand eines Paketes getroffen. Die Firewall "merkt" sich somit nicht, ob ein eingehendes Paket zu einer vom Server ausgehenden Verbindung gehört. Dies hat zur Folge, dass ohne zusätzliche Regel alle vom Server ausgehenden Verbindungen nicht mehr funktionieren. Serverdienste (z.B. Webserver auf Port 80 freigeben) sind davon nicht betroffen.

Um generell alle Antworten auf TCP-Verbindungen zuzulassen, kann folgende Regel verwendet werden:

 Quell-IP: keine Angabe
 Ziel-IP: keine Angabe
 Quell-Port: keine Angabe
 Ziel-Port: 32768-65535 (Ephemeral Port Range)
 Protokol: tcp
 TCP-Flags: ack
 Aktion: accept

Die Regel kann natürlich auch durch Angabe von IP-Adressen und TCP-Ports restriktiver gestalten werden.

Beispiel

Der Server 1.2.3.4 baut eine Verbindung zum externen Webserver 4.3.2.1 auf und sendet folgendes TCP-Paket:

 Quell-IP: 1.2.3.4
 Ziel-IP: 4.3.2.1
 Quell-Port: 44563 (zufälliger Port aus der Ephemeral Port Range)
 Ziel-Port: 80
 Protokol: tcp
 TCP-Flags: syn

Dieses ausgehende Paket wird von der Firewall auf keinen Fall blockiert, da nur eingehende Verbindungen gefiltert werden.

Der Webserver 4.3.2.1 antwortet mit folgendem Paket:

 Quell-IP: 4.3.2.1
 Ziel-IP: 1.2.3.4
 Quell-Port: 80
 Ziel-Port: 44563
 Protokol: tcp
 TCP-Flags: syn & ack

Dieses Paket wird ohne die zusätzliche Regel blockiert, eine Verbindung kann somit nicht aufgebaut werden.

Firewall-Vorlagen

Über den Button "Firewall-Vorlagen" in der Serverübersicht ("Hauptfunktionen; Server") können Sie eigene Regelsätze anlegen. Diese Regeln können anschließend über das Drop-Down Menü bei der Firewallkonfiguration der Server eingefügt und konfiguriert werden.

Zusätzlich sind standardmäßig einige Beispiel-Vorlagen für gängige Serverdienste vordefiniert.

API

Die Firewall kann auch über den Robot-Webservice (API) konfiguriert werden.



© 2018. Hetzner Online GmbH. Alle Rechte vorbehalten.