Skip to content

Hetzner: Firewall für Rootserver

Seit 01.12.2016 kann man sich, wenn man bei Hetzner einen Rootserver besitzt, eine Firewall klicken. Das ist ein feiner Zug von Hetzner.

In einem Beitrag im Newsbereich bei Hetzner ist mir heute diese Neuerung aufgefallen und ich habe sie gleich bei diesem Server eingerichtet. So wird das System etwas besser geschützt und auch ein bisschen entlastet, wenn jemand meint, alle Ports durchprobieren zu müssen.

Fazit

Die Firewall funktioniert auf den ersten Blick wie spezifiziert. Die Übernahme einer Konfigurationsänderung dauert etwa 20 Sekunden. Leider wird aber nur IPv4 unterstützt. Ich bin allerdings zuversichtlich, dass IPv6-Funktionalität bald nachgerüstet wird. :-)

Kommentare

anonym am :

Das Tolle an der Firewall ist, dass scheinbar auf Switch-Level gefiltert wird. Durch das Blocken von einschlägigen UDP-Quellports (17, 123 und 53, bei 53 muss allerdings darauf geachtet werden, dass der Traffic zu den Systemresolvern noch durchkommt) konnte ich schon ein paar DRDoS-Angriffe auf meinen Gameserver abwehren.

Alexander Meinhardt am :

Hallo Thomas, kannst Du vielleicht einen Auszug deiner Regeln posten? Ich verstehe noch nicht so ganz, wie sich Hetzner das gedacht hat, vor allem bzgl. der TCP Flags. Danke!

Thomas Heidrich am :

Hi Alexander, im Prinzip habe ich sehr ähnliche Regeln gewählt, wie es Hetzner im Screenshot des verlinkten Newsbeitrags demonstriert hat. Alles, was Du nicht explizit freigibst, wird mittels Verwerfen der Pakete durch die Firewall blockiert. Die TCP-Flags-Option beschreibt, welche Flags in den zu erlaubenden Paketen gesetzt sein müssen, damit sie durchgelassen werden. Dies wird dazu benutzt, um z.B. die Richtung des TCP-Verbindungsausbaus einzuschränken.

Kommentar schreiben