verwirrteruser
Goto Top

Hetzner Firewall

Hallo zusammen,

da mir der Support am Telefon nicht sonderlich helfen konnte stelle ich die Frage mal hier.
Wir haben für einen Kunden einen Server gemietet bei Hetzner welchen wir nun über die Robot Firewall zusätzlich sichern wollten.
Folgendes Problem.

Stelle ich Regeln ein und lösche die Standardregel (accept all) kommt der Server nicht mehr raus und einige Verbindungen ( Bsp.: HTTP) funktionieren trotz regel nicht mehr.
Ich gebe zu, ich kenne mich mit den statischen Firewalls nicht so gut aus, denn ich bin eine SPI gewöhnt.

Hier also meine bitte: könnte mir jemand bei den Regeln helfen?

Hier mal was ich probiert habe und was raus kommen soll:

SOLL:
Nummer Quelle Ziel Port Quelle Port Ziel Protokoll FLAG
#1 - 0.0.0.0/0 Server 0-65535 25000-30000 TCP/UDP *
#2 - 0.0.0.0/0 Server 0-65535 80 TCP *
#3 - 0.0.0.0/0 Server 0-65535 443 TCP *
#4 - 0.0.0.0/0 Server 0-65535 8443 TCP *
#5 - 0.0.0.0/0 Server 0-65535 20-25 TCP *
#6 - 0.0.0.0/0 0.0.0.0/0 0-65535 1023-65535 TCP ACK

Also folgende Ports müssen frei sein:
25000-30000, 22-25, 80, 443, 8443

Habe bereits alles probiert, die letzte Regel habe ich aufgrund des Supports ausprobiert (Antwortregel).
Allerdings funktioniert scheinbar nur Regel #5 denn SSH, FTP und SFTP funktionieren immer.

Da ich auch 10 Regeln begrenzzt bin ist halt die Frage wie ich damit umgehen kann nun.
Eine Firewall würde ich trotzdem gerne einsetzten und am besten bevor die Pakete den Server erreichen.

Viele Grüße

Content-ID: 381766

Url: https://administrator.de/forum/hetzner-firewall-381766.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

129580
129580 30.07.2018 aktualisiert um 18:55:57 Uhr
Goto Top
Hallo,

bist du so vorgegangen, wie es im Wiki beschrieben ist und hast auch den Rückweg (Antworten) berücksichtigt?
https://wiki.hetzner.de/index.php/Robot_Firewall

Beispiel HTTP:

Quell-IP: keine Angabe
Ziel-IP: keine Angabe
Quell-Port: 1024-65535
Ziel-Port: 80
Protokol: tcp
TCP-Flags: syn

Quell-IP: keine Angabe
Ziel-IP: keine Angabe
Quell-Port: 80
Ziel-Port: 1024-65535
Protokol: tcp
TCP-Flags: syn & ack

Edit:
Sorry hab deine #6 Regel übersehen. Änder mal das Flag Feld bei der #6 Regel zu: syn & ack
Ansonsten müsste das so funktionieren. Hast du die Regeln direkt bearbeitet oder über eine Vorlage?
Wenn über eine Vorlage, hast du diese auch dem Server zugeordnet und aktiv geschaltet?
Ist auf dem Server selbst noch eine Firewall aktiv z.B. iptables?

Bezüglich dem Range: 25000-30000. Warum willst du so viele Ports öffnen?
Abgesehen davon hast du bei der Regel TCP/UDP als Protokoll angegeben. Du müsstest noch ne Regel machen wie #6 nur eben noch mit UDP.

Viele Grüße,
Exception
MrNightfloor
Lösung MrNightfloor 31.07.2018 um 11:10:39 Uhr
Goto Top
Ich benutze zwar die Hetzner Firewall auf meinem Server nicht mehr, aber hier ist ein Screenshot einer alten Konfiguration.

screenshot_20180731-105500~2

Vielleicht hilft dir das ja weiter. Hinter dieser Firewall liefen Webserver, Mailserver mit Spam-Filter, FTP Server, SSH und ein TeamSpeak Server ohne Probleme.

Mit freundlichen Grüßen
MrNightfloor