Umfrage zur vorgeschalteten Firewall vor dem eigenen Server

  • Ich fände eine (optionale) vorgeschaltete Firewall gar nicht so schlecht. Hab zwar lokal auf den Maschinen auch immer nur das offen, was ich wirklich offen haben will, aber zum Beispiel bei den ganzen Windowsjüngern bietet sich das doch super an. Oder wenn jemand wirklich einfach 100% sicher gehen will, weil doppelt hält besser... oder so.


    Wie wärs mit einem Firewall seitigen IP Range blocken, damit Mr. xXx_1337H4x0r_xXx aus Russland gar nicht erst bis zum Server kommt 8|

  • Wer seine 3€ China-Überwachungskamera direkt ans Internet hängt ist eben kein „halbwegs klar denkender Mensch“

    dachte, der arbeitet f. die KPC:D


    eine Geschichte gäbe es, aber das hängt direkt mit einer Erweiterung des Produktsortiments zusammen,

    nämlich vServer, welche keine public IPv4 haben, dass diese per NAT nach draußen können;

    f. die Klasse der Storage Server könnte dies durchaus von allgemeinen Interesse sein;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Ich finde es macht auch einfach 'n Unterschied für was.

    Für reine vServer kann ich mir das vorstellen, davon hast du meist mehr und erwartest ja auch das konkurrenz-verhalten von schnell erstellbar, einfach wartbar etc.

    Aber für die root-maschine will ich entsprechend Leistung. Und sobald du hier die netcup firewall anbietest, wollen die Leute dafür auch 'ne API haben. Damals gabs dann custom scripte die sich im CCP eingeloggt haben.. Persönlich will ich keine performance für sowas zahlen. Dann lieber 'ne offsite-backup Lösung von netcup.

    Edit: Und wenn ich hier so lese hätte die Firewall von früher hier nicht geholfen, weil die Leute gleich ip-ranges und co wollen, statt einfach 'ne port-list und ip whitelist.

  • Lustigerweise hab ich gerade gestern dem Support das vorgeschlagen weil ich das bei einem anderen Anbieter gesehen habe und das nun auch gerne bei meinem Lieblingshoster hätte;)

    Ich bin mal so frei und kopiere die Antwort des Supportmitarbeiters hier rein:

    Zitat

    Wir hatten das in einer früheren Server-Generation mal. Unsere Erfahrungen damit und Wünsche unserer Kunden führten jedoch dazu, dass es schon seit mehreren Generationen unserer Server nicht mehr angeboten und zudem auch äußerst selten nachgefragt wird. Eine Änderung ist/wird daher nicht geplant

    Schade eigentlich. Für mich ist das ein fehlendes Feature.


    Ich wäre absolut dafür ein simples Webinterface im SCP zu haben wo standardmäßig die externe FIrewall deaktiviert ist (um auszuschließen dass unwissende Kunden sich nen Wolf suchen warum sie von außen nicht erreichbar sind), man aber mit einem Klick die Ports freigeben kann unter denen man erreichbar sein möchte.

    Sollte wahrscheinlich mit moderatem Aufwand in die DDoS-protection einbaubar sein weil ja wohl auf den Routern sowieso der Traffic analysiert wird.

    Wenn man mehr will als simples Port x eingehend ja-nein muss man sich dann eben selbst ne Lösung basteln.

    Eine offizielle Antwort von netcup was damals zu der Entscheidung geführt hat das wieder abzuschaffen würde mich interessieren:S

  • Ich wäre absolut dafür ein simples Webinterface im SCP zu haben wo standardmäßig die externe FIrewall deaktiviert ist (um auszuschließen dass unwissende Kunden sich nen Wolf suchen warum sie von außen nicht erreichbar sind), man aber mit einem Klick die Ports freigeben kann unter denen man erreichbar sein möchte.

    ist das nicht ein Widerspruch in sich?

    wozu mit einem Klick Ports freigeben, wenn sie deaktiviert ist?

    gerade bei unwissenden Kunden müsste sie eigenlich aktiviert sein, meinst nicht?

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Eine offizielle Antwort von netcup was damals zu der Entscheidung geführt hat das wieder abzuschaffen würde mich interessieren:S

    Ich bin zwar nicht von netcup, aber das kann ich Dir beantworten: Die Antwort war wahrscheinlich auf die vorherige Virtualisierungslösung bezogen. Vor KVM wurde Linux-VServer eingesetzt inkl. OpenVCP als Control Panel. An der Entwicklung von Letzterem war die netcup GmbH (bzw. [netcup] Oli W.) ebenfalls beteiligt. Dort gab es (nach einmaliger Freischaltung durch den Support) ein Firewallmodul, das eben diese Funktion bereitstellte. Bei OpenVCP war diese Firewall fast schon ein zwingendes Feature, da man im vServer z.B. kein iptables ausführen konnte. Durch den geteilten Kernel konnte man keine Kernelmodule laden.


    Das Firewall-Feature in OpenVCP hatte zwar auch seine Macken, vor allem bei vielen Regeln, aber man konnte damit einzelne Ports freigeben/sperren und die Default-Policy setzen. Da es sich dabei um eine Containervirtualisierung handelte, ist das mit einer Vollvirtualisierung wie KVM natürlich nicht zu vergleichen und technisch komplett unterschiedlich. Außerdem wurde zwischenzeitlich OpenVCP durch das netcup eigene VCP und später durch das SCP abgelöst. Im Code des SCP dürfte das Firewall-Feature zwar (wie im VCP) auch noch schlummern, aber eben nur für Linux-VServer und nicht KVM.


    Siehe auch:

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • ist das nicht ein Widerspruch in sich?

    wozu mit einem Klick Ports freigeben, wenn sie deaktiviert ist?

    gerade bei unwissenden Kunden müsste sie eigenlich aktiviert sein, meinst nicht?

    Sollte Sie, ja.

    Allerdings werden das wahrscheinlich auch genau die Kunden sein die dann unendliche Mengen an Tickets generieren weil sie nicht wissen was zu tun ist.

    Im Idealfall steht das Idiotensicher irgendwo perfekt erklärt.
    Dann könnte und sollte man die Firewall auch standardmäßig aktivieren und der Kunde kann sie bei Bedarf deaktivieren.

  • Ich bin zwar nicht von netcup, aber das kann ich Dir beantworten: Die Antwort war wahrscheinlich auf die vorherige Virtualisierungslösung bezogen. Vor KVM wurde Linux-VServer eingesetzt inkl. OpenVCP als Control Panel. An der Entwicklung von Letzterem war die netcup GmbH (bzw. [netcup] Oli W.) ebenfalls beteiligt. Dort gab es (nach einmaliger Freischaltung durch den Support) ein Firewallmodul, das eben diese Funktion bereitstellte. Bei OpenVCP war diese Firewall fast schon ein zwingendes Feature, da man im vServer z.B. kein iptables ausführen konnte. Durch den geteilten Kernel konnte man keine Kernelmodule laden.


    Das Firewall-Feature in OpenVCP hatte zwar auch seine Macken, vor allem bei vielen Regeln, aber man konnte damit einzelne Ports freigeben/sperren und die Default-Policy setzen. Da es sich dabei um eine Containervirtualisierung handelte, ist das mit einer Vollvirtualisierung wie KVM natürlich nicht zu vergleichen und technisch komplett unterschiedlich. Außerdem wurde zwischenzeitlich OpenVCP durch das netcup eigene VCP und später durch das SCP abgelöst. Im Code des SCP dürfte das Firewall-Feature zwar (wie im VCP) auch noch schlummern, aber eben nur für Linux-VServer und nicht KVM.


    Siehe auch:

    Verstehe. Danke für die Erklärung.

    Also war es früher praktisch technisch erforderlich und auf dem Weg in die Neuzeit ist diese Restriktion irgendwann weggefallen und man konnte dem Kunden das Feature verkaufen dass er die Firewall jetzt direkt selbst konfigurieren kann.

    Und keiner hat drangedacht die externe Firewall bewusst zu behalten und DAS dann als Feature zu verkaufen:rolleyes:

  • […] und man konnte dem Kunden das Feature verkaufen dass er die Firewall jetzt direkt selbst konfigurieren kann.

    Eine eigene Firewall ist allerdings auch wesentlich detaillierter konfigurierbar als ein paar einzelne Regeln in einem Control Panel. Egal ob mit oder ohne VLAN :)

    Und keiner hat drangedacht die externe Firewall bewusst zu behalten und DAS dann als Feature zu verkaufen:rolleyes:

    Behalten klingt an dieser Stelle so einfach. Das wäre meiner Einschätzung nach eher eine Neuentwicklung gewesen. Bis auf das Frontend im VCP/SCP hätte man nichts direkt weiterverwenden können. Vor etwas mehr als 8 Jahren (als KVM bei netcup eingeführt wurde) hatte man bestimmt andere Prioritäten. Ob es so etwas bei der Konkurrenz zu dieser Zeit überhaupt schon gab weiß ich nicht.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)