Firewall gesucht auf Root Server

  • Nabend allerseits,

    ich habe gerade einen RS 1000 G9.5 erstanden und suche im Customer Control Panel verzweifelt nach den Firewall Einstellungen.

    Der Server ist eigentlich "nur" als Mailcow Server gedacht. Falls ich eine Firewall zusätzlich installieren muß, ist das ratsam auf dem gleichen Server?

    Oder sollte ich dann eher ein kleineres Paket mit VPS Server und integrierter Firewall nehmen?

    Jetzt schon Danke für die Antwort

  • Eine externe/integrierte Firewall gibt es nicht mehr bei netcup, auch nicht bei den VPS.

    Das was in der wiki dazu steht ist veraltet und bezieht sich auf das alte VCP (Gibt es das überhaupt noch? Für ganz ganz alte Bestandserver?)

    Du bist komplett selbst verantwortlich für die Absicherung der Server.

  • Es gibt hier keine integrierte Firewall. Am besten du arbeitest mit iptables auf demselben Host (ufw als cli für Anfänger) oder du bastelst mit einem zweiten VPS und entsprechendem VLAN mittels pfsense oder ähnlichem dir deine Firewall.

  • Na super... Dann wird aus einem Server gleich noch ein zweiter oder ich kann mir Anleitungen suchen was iptabels sind und wie ich die einstellen kann :cursing:

    Da schaut man sich vorher die FAQ schon an und dann sind die veraltet.

    Aber trotzdem Danke für die Antworten

  • Welches FAQ meinst du?


    Wenn du unzufrieden bist kannst du auch die Zufriedenheitsgarantie nutzen und den Server retournieren.

    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!

  • Fairerweise muss man sagen, dass hier schon seit längerer Zeit direkt oben ein entsprechender Hinweis steht:

    pasted-from-clipboard.png

    In der Angebotsbeschreibung aktueller KVM-basierter Produkte finden sich allenfalls Verweise auf CCP/SCP.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Gefällt mir 2
  • Da steht oben allerdings auch ein Hinweis:

    Zitat

    Hinweis: Diese Anleitung ist ausschließlich für vServer basierend auf Linux-VServer gültig.

    KVMLinux-VServer


    Edit: Ups, da war ich zu langsam.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()

    Gefällt mir 2
  • Wo man aber hinzufügen muss, dass Mailcow darauf hinweist, dass Wrapper problematisch sein können, wenn man sie nicht korrekt konfiguriert.



    Aber mal abgesehen davon finde ich fraglich, ob die notwendigen Kentnisse zur Absicherung eines Servers mit direkter Anbindung an das Internet vorhanden sind, wenn sich auf die externe bzw. automatisch konfigurierte Firewall eines Hostingproviders verlassen wird. Ich empfehle da etwas zu recherchieren, da noch andere Aspekte relevant sind.

  • Du kannst dir z.B. eine PfSense Firewall auf einen zweiten kleinen Server installieren und beide mit einem VLAN verbinden.

    So kannst du einrichten, dass Traffic an deinen Mailserver erst durch die Firewall hindurch muss.


    Benefit:

    Du kannst z.B. mittels Suricata traffic analysieren und blockieren.

    Du kannst mit PfBlocker z.B. als böse gelistete IPs blockieren.

    Du kannst bequem VPNs aufsetzen, um einen nicht öffentlichen SSH Zugang auf deinen Mailserver zu haben.


    Das ist aber eine Lösung, die deutlich mehr Einarbeitung erfordert.

    Du kannst natürlich auch eine IPS Lösung nativ installieren. Suricata kann man auf den meisten Systemen betreiben, also zusätzlich zur rudimentären Firewall wie ufw.

  • Ich persönlich habe mich nie explizit mit iptables und dem Regelwerk beschäftigt sondern immer nur den Aufsatz ufw genutzt. Bis jetzt bin ich damit ganz gut gefahren.

    Ich auch, man kann damit genug machen für den privaten Gebrauch zumindest. Hatte nie das Bedürfnis iptables direkt zu nutzen, wenn es mit ufw "einfacher" geht.

  • Ich auch, man kann damit genug machen für den privaten Gebrauch zumindest. Hatte nie das Bedürfnis iptables direkt zu nutzen, wenn es mit ufw "einfacher" geht.

    Hm, ich kann es irgendwie nicht nachvollziehen, was an der iptables / nftables Syntax sooo komplex und schwierig sein soll. Klar, man muss sich damit beschäftigen. Das muss man aber auch mit jedem anderen Tool ebenso. Die ganzen Parameter kann man sich easy merken, wenn man versteht wie eine Firewall funktioniert. Meiner Meinung nach sind iptables / nftables sogar einfacher zum bedienen als ein Wrapper Tool wie UFW, weil man sich unter anderem viel Tipparbeit sparen kann.

  • Hm, ich kann es irgendwie nicht nachvollziehen, was an der iptables / nftables Syntax sooo komplex und schwierig sein soll. Klar, man muss sich damit beschäftigen. Das muss man aber auch mit jedem anderen Tool ebenso. Die ganzen Parameter kann man sich easy merken, wenn man versteht wie eine Firewall funktioniert. Meiner Meinung nach sind iptables / nftables sogar einfacher zum bedienen als ein Wrapper Tool wie UFW, weil man sich unter anderem viel Tipparbeit sparen kann.

    Ich denke, das kommt auch viel auf die eigene "Art" des Denkens drauf an, jeder verarbeitet Dinge anders - ich tu' mir mit UFW viel leichter. Am Ende des Tages ist es aber auch egal, so lange man zum Ziel kommt und alles dicht ist :)

  • `nftables` finde ich persönlich auch recht schick vom Syntax her - wohl weil es mich stellenweise an die geliebte `pf` (auf OpenBSD) erinnert. Beim legacy netfilter bzw. `iptables` habe ich aber meist `firewalld` bevorzugt.

  • Wenn ich mal von ufw weggehe, dann wäre meine Wahl wohl auch gleich nftables.

    Wenn man neu beginnt, sollte man es eigentlich eh nicht anders mehr verwenden. iptables hat streng genommen ausgedient.


    Ich habe mich aber noch immer nicht dazu durchgerungen, endlich ausschließlich nft zu verwenden. X/


    Man ist halt faul und nutzt die alten Scripts gerne weiter…

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Einmal editiert, zuletzt von KB19 ()