ComputerBase Menü
Aktuelles

Firewalls bei vServern

A

AndreasX67

Cadet 3rd Year
Registriert
Juni 2024
Beiträge
53
Hallo zusammen,

bei den Anbietern von vServern gibt es den Unterschied, ob es zusätzlich eine individuelle Firewall im Konfigurationsmenu gibt oder die Firewall nur auf Betriebssystemebene angelegt werden kann.

Wie ist eure Einschätzung? Sollte man generell eher Anbieter wählen, die einem eine individuelle Firewall losgelöst von Betriebssystem bieten?

Danke!
 
Hi, ich denke das kommt auch auf den Anbieter an. Wenn ich den Server von außen irgendwie erreichbar machen will, würde ich in jedem Fall eine separate Firewall dazubuchen.
 
@crsye
Ja, die Server sind bzw. sollen von außen erreichbar sein. Leider bieten viele Anbieter diese Option nicht. daher die Frage nach der Wichtigkeit. Für besser halte ich es auch, keinen nur die praktische Relevanz nicht bewerten.
 
eine firewall zu installieren und alle ports zu schließen ist ohnehin pflicht und dauert keine 30 Sekunden.
Die dienste die erreichbar sein sollen, musst du dann halt frei geben.
ob der anbieter davor noch eine extra ebene hat oder nicht ist fast egal.
 
  • Gefällt mir
Reaktionen: CoMo
@madmax2010
Es geht hier um vServer die im Netz für Webseiten eingesetzt werden sollen von Anbietern wie Hetzner. Es geht auch nicht um die Firewall, die man selber installieren kann
 
Sprichst du von vServern oder von einfachen Webhosting oder managed server Paketen?
Bei Hetzner habe ich selbst ein paar vServer und auf jedem davon habe ich eine Firewall installiert. iptables unter linux, pf unter FreeBSD.

Probier es aus. kosten unter 5 Euro im Monat und werden pro angefangene stunde abgerechnet.

bei websites machst du dann halt port 80 und 443 auf
Sehr ausgiebige Anleitung: https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-ubuntu
Ergänzung ()

AndreasX67 schrieb:
Es geht auch nicht um die Firewall, die man selber installieren kann
Zum Vergrößern anklicken....
AndreasX67 schrieb:
Wie ist eure Einschätzung? Sollte man generell eher Anbieter wählen, die einem eine individuelle Firewall losgelöst von Betriebssystem bieten?
Zum Vergrößern anklicken....
oder direkt darauf Bezug nehmend:
egal und nicht relevant.
Selber installieren. Alles zu machen und nur das auf was sein muss.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: redjack1000
@madmax2010
Ich meine schon vServer. Hetzner bietet zusätzlich eine Firewall losgelöst vom Betriebssystem. Danke für deine Einschätzung, es gibt wie gesagt auch ganz andere dazu, daher wollte ich mir paar Meinungen einholen
 
Hardware-Firewalls sind sinnig, wenn Du entweder so viel Traffic hast, dass Deine vServer in die Knie gehen würden oder Du mehrere vServer in einem Netzwerk zusammen hast (ka, ob Hetzner das überhaupt anbietet) und Du nur einen Punkt nach außen hast.
 
  • Gefällt mir
Reaktionen: Lawnmower
madmax2010 schrieb:
eine firewall zu installieren und alle ports zu schließen ist ohnehin pflicht und dauert keine 30 Sekunden.
Zum Vergrößern anklicken....
Pflicht ist jetzt vielleicht etwas übertrieben. Es sind ja ohnehin nur Ports gefährdet, die tatsächlich offen sind. Und da will man ja bei einem Server i.d.R. auch das die erreicht werden.

Ich finde ohnehin den Begriff Firewall schwierig, da der auch oft nur schwammig umreißt, was da eigentlich genau passiert. Das reicht ja vom einfachen Paketfilter der Packages droppt bzw. rejected bis hin zu "HTTP-Verkehr säubern" usw.

Insofern würde ich eher darauf gucken, was es denn für typische Probleme gibt und wie man sich dagegen absichern kann, statt mit dem schwammigen Begriff Firewall zu agieren, der ja so ein bisschen naiv impliziert, das man sich da ja nur was installieren bzw. einschalten muss und dann ist "alles gut".
Ergänzung ()

TorenAltair schrieb:
Hardware-Firewalls sind sinnig, wenn Du entweder so viel Traffic hast, dass Deine vServer in die Knie gehen würden
Zum Vergrößern anklicken....
Das ist so ein schönes Beispiel dafür, wie unscharf eigentlich der Begriff Firewall ist. :-)
 
  • Gefällt mir
Reaktionen: Evil E-Lex, CoMo, madmax2010 und eine weitere Person
andy_m4 schrieb:
Das ist so ein schönes Beispiel dafür, wie unscharf eigentlich der Begriff Firewall ist
Zum Vergrößern anklicken....
Touche. Ich hatte Packet Inspection im Hirn.
 
  • Gefällt mir
Reaktionen: madmax2010
unsere Firma bucht meistens bei Wortmann und Hetzner Server für Kunden. Bei Wortmann kriegst du immer eine SecurePoint dazu ob du willst oder nicht. Unsere stellen die Komplett auf Durchzug, weil wir dahinter immer eine Sophos VM aufsetzen. und weil unsere Jungs nichts anderes können/wollen.
 
Ich hätte da so ein Mini PC, OPNsense zwischen Fritzbox und so mancher Kiste. Kann man natürlich auf auf dem Client selbst virtualisieren. Oder statt Fritzbox https://forum.opnsense.org/index.php?topic=39556.0

Die OPNsense CE Edition bietet sogar in der kostenfreien Variante sehr viele Features, die Business Edition sit mit 10€ im Monat überschaubar.

Installiert ist die gleich, ressourcenfreundlich sowieso, daher, was würde dagegen sprechen?
https://docs.opnsense.org/releases.html
 
Letztlich kommt es ja auch darauf an, was der Anbieter für eine Firewall anbietet. Das kann von simplen iptables-Regeln auf dem Hostsystem bis zu dedizierten Hardware-Firewalls reichen und damit ganz unterschiedliche Anforderungen abdecken.
 
@Dragon0001
Wie geschrieben ist sowas wie iptables immer möglich. Mir ging es um eine zusätzliche Firewall die einige Anbieter zusätzlich anbieten und davon losgelöst sind.
 
Dedizierte Firewall:
  • Filter-Last nicht auf deinem System
  • Traffic kommt erst gar nicht an deinem OS an -> potentiell weniger Sicherheitslücken
  • kann sowohl software (iptables...) als auch extra Hardware sein

Firewall im OS:
* bessere Anpassbarkeit durch dich (und damit aber auch mehr Möglichkeiten etwas falsch zu machen)

Da du keine weiteren Details nennst, nehme ich an, dass du recht wenig Traffic hast und daher eine Firewall auf dem vServer selbst völlig ausreichend ist.
 
  • Gefällt mir
Reaktionen: h00bi
@DHundt
Danke. Aktuell ist nur geplant Testseiten darauf laufen zu lassen, was ich bisher über InstaWP abgebildet habe. Also so gut wie kein Traffic. Ich werde dafür auch sowas wie CloudPanel oder FlyWP nutzen, wo eine Firewall bereits mit eingerichtet wird.
 
AndreasX67 schrieb:
@Dragon0001
Wie geschrieben ist sowas wie iptables immer möglich. Mir ging es um eine zusätzliche Firewall die einige Anbieter zusätzlich anbieten und davon losgelöst sind.
Zum Vergrößern anklicken....
Deswegen schrieb ich von iptables auf dem Host-System. Das ist unabhängig von deiner VM und somit auch eine zusätzliche Firewall. Daher hängt es davon ab, was dein Anbieter als Firewall anbietet.
 
Normalerweise läuft ja Webkrams auf einem Webserver. Und die gängigen Webserver bieten ja von sich aus schon Optionen an, um Überlastung zu verhindern. DAS kann man natürlich einfach nutzen.
Den eigentlichen Paketfilter braucht man dann nur noch für so Standardkrams.
 
  • Gefällt mir
Reaktionen: madmax2010
@AndreasX67 Bin auch bei Hetzner. Es gibt da zwei Herangehensweisen, entweder die von Hetzer vorgeschaltete Firewall nutzen, oder eine eigene installieren, bzw. nicht öffentliche Ports nur auf 127.0.0.1 laufen zu lassen. Das Ergebnis ist gleich, localhost Ports sind von außen nicht erreichbar

Nervig ist nur, dass bei Dedicated nur 10 offene Ports zugelassen sind (weiß selber nicht, warum magische Grenze)

Das mit Überlastungen vermeiden regelt hingegen nicht die Firewall, sondern ein Loadbalancer
 
  • Gefällt mir
Reaktionen: madmax2010
In Anbetracht der Fragestellung, nimm die externe Firewall mit. Im schlimmsten Fall ist es nur eine weitere Hürde für etwaige Angreifer. Niemand braucht eine zusätzliche Spamschleuder im Internet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

E
Frage zur Funktionsweise von Android-Firewalls
Antworten
7
Aufrufe
797
Tornhoof
T
CoMo
Fernseher via Firewall einschränken mit OPNSense
2 3
Antworten
41
Aufrufe
1.423
CoMo
CoMo
DJMadMax
Von Xiaomi zu Samsung - mit welcher Firewall diversen Apps den Netzzugang sperren?
2
Antworten
23
Aufrufe
1.333
cartridge_case
cartridge_case
X
Reisen in China und die Great Firewall
2
Antworten
21
Aufrufe
3.447
XXXBold
X
Rockhound
Praxis Software Hersteller verlangt UTM-Firewall
Antworten
11
Aufrufe
1.328
Piktogramm
Piktogramm
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz