Hetzner Firewall
Hallo zusammen,
da mir der Support am Telefon nicht sonderlich helfen konnte stelle ich die Frage mal hier.
Wir haben für einen Kunden einen Server gemietet bei Hetzner welchen wir nun über die Robot Firewall zusätzlich sichern wollten.
Folgendes Problem.
Stelle ich Regeln ein und lösche die Standardregel (accept all) kommt der Server nicht mehr raus und einige Verbindungen ( Bsp.: HTTP) funktionieren trotz regel nicht mehr.
Ich gebe zu, ich kenne mich mit den statischen Firewalls nicht so gut aus, denn ich bin eine SPI gewöhnt.
Hier also meine bitte: könnte mir jemand bei den Regeln helfen?
Hier mal was ich probiert habe und was raus kommen soll:
SOLL:
Nummer Quelle Ziel Port Quelle Port Ziel Protokoll FLAG
#1 - 0.0.0.0/0 Server 0-65535 25000-30000 TCP/UDP *
#2 - 0.0.0.0/0 Server 0-65535 80 TCP *
#3 - 0.0.0.0/0 Server 0-65535 443 TCP *
#4 - 0.0.0.0/0 Server 0-65535 8443 TCP *
#5 - 0.0.0.0/0 Server 0-65535 20-25 TCP *
#6 - 0.0.0.0/0 0.0.0.0/0 0-65535 1023-65535 TCP ACK
Also folgende Ports müssen frei sein:
25000-30000, 22-25, 80, 443, 8443
Habe bereits alles probiert, die letzte Regel habe ich aufgrund des Supports ausprobiert (Antwortregel).
Allerdings funktioniert scheinbar nur Regel #5 denn SSH, FTP und SFTP funktionieren immer.
Da ich auch 10 Regeln begrenzzt bin ist halt die Frage wie ich damit umgehen kann nun.
Eine Firewall würde ich trotzdem gerne einsetzten und am besten bevor die Pakete den Server erreichen.
Viele Grüße
da mir der Support am Telefon nicht sonderlich helfen konnte stelle ich die Frage mal hier.
Wir haben für einen Kunden einen Server gemietet bei Hetzner welchen wir nun über die Robot Firewall zusätzlich sichern wollten.
Folgendes Problem.
Stelle ich Regeln ein und lösche die Standardregel (accept all) kommt der Server nicht mehr raus und einige Verbindungen ( Bsp.: HTTP) funktionieren trotz regel nicht mehr.
Ich gebe zu, ich kenne mich mit den statischen Firewalls nicht so gut aus, denn ich bin eine SPI gewöhnt.
Hier also meine bitte: könnte mir jemand bei den Regeln helfen?
Hier mal was ich probiert habe und was raus kommen soll:
SOLL:
Nummer Quelle Ziel Port Quelle Port Ziel Protokoll FLAG
#1 - 0.0.0.0/0 Server 0-65535 25000-30000 TCP/UDP *
#2 - 0.0.0.0/0 Server 0-65535 80 TCP *
#3 - 0.0.0.0/0 Server 0-65535 443 TCP *
#4 - 0.0.0.0/0 Server 0-65535 8443 TCP *
#5 - 0.0.0.0/0 Server 0-65535 20-25 TCP *
#6 - 0.0.0.0/0 0.0.0.0/0 0-65535 1023-65535 TCP ACK
Also folgende Ports müssen frei sein:
25000-30000, 22-25, 80, 443, 8443
Habe bereits alles probiert, die letzte Regel habe ich aufgrund des Supports ausprobiert (Antwortregel).
Allerdings funktioniert scheinbar nur Regel #5 denn SSH, FTP und SFTP funktionieren immer.
Da ich auch 10 Regeln begrenzzt bin ist halt die Frage wie ich damit umgehen kann nun.
Eine Firewall würde ich trotzdem gerne einsetzten und am besten bevor die Pakete den Server erreichen.
Viele Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 381766
Url: https://administrator.de/contentid/381766
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
bist du so vorgegangen, wie es im Wiki beschrieben ist und hast auch den Rückweg (Antworten) berücksichtigt?
https://wiki.hetzner.de/index.php/Robot_Firewall
Beispiel HTTP:
Quell-IP: keine Angabe
Ziel-IP: keine Angabe
Quell-Port: 1024-65535
Ziel-Port: 80
Protokol: tcp
TCP-Flags: syn
Quell-IP: keine Angabe
Ziel-IP: keine Angabe
Quell-Port: 80
Ziel-Port: 1024-65535
Protokol: tcp
TCP-Flags: syn & ack
Edit:
Sorry hab deine #6 Regel übersehen. Änder mal das Flag Feld bei der #6 Regel zu: syn & ack
Ansonsten müsste das so funktionieren. Hast du die Regeln direkt bearbeitet oder über eine Vorlage?
Wenn über eine Vorlage, hast du diese auch dem Server zugeordnet und aktiv geschaltet?
Ist auf dem Server selbst noch eine Firewall aktiv z.B. iptables?
Bezüglich dem Range: 25000-30000. Warum willst du so viele Ports öffnen?
Abgesehen davon hast du bei der Regel TCP/UDP als Protokoll angegeben. Du müsstest noch ne Regel machen wie #6 nur eben noch mit UDP.
Viele Grüße,
Exception
bist du so vorgegangen, wie es im Wiki beschrieben ist und hast auch den Rückweg (Antworten) berücksichtigt?
https://wiki.hetzner.de/index.php/Robot_Firewall
Beispiel HTTP:
Quell-IP: keine Angabe
Ziel-IP: keine Angabe
Quell-Port: 1024-65535
Ziel-Port: 80
Protokol: tcp
TCP-Flags: syn
Quell-IP: keine Angabe
Ziel-IP: keine Angabe
Quell-Port: 80
Ziel-Port: 1024-65535
Protokol: tcp
TCP-Flags: syn & ack
Edit:
Sorry hab deine #6 Regel übersehen. Änder mal das Flag Feld bei der #6 Regel zu: syn & ack
Ansonsten müsste das so funktionieren. Hast du die Regeln direkt bearbeitet oder über eine Vorlage?
Wenn über eine Vorlage, hast du diese auch dem Server zugeordnet und aktiv geschaltet?
Ist auf dem Server selbst noch eine Firewall aktiv z.B. iptables?
Bezüglich dem Range: 25000-30000. Warum willst du so viele Ports öffnen?
Abgesehen davon hast du bei der Regel TCP/UDP als Protokoll angegeben. Du müsstest noch ne Regel machen wie #6 nur eben noch mit UDP.
Viele Grüße,
Exception
Ich benutze zwar die Hetzner Firewall auf meinem Server nicht mehr, aber hier ist ein Screenshot einer alten Konfiguration.
Vielleicht hilft dir das ja weiter. Hinter dieser Firewall liefen Webserver, Mailserver mit Spam-Filter, FTP Server, SSH und ein TeamSpeak Server ohne Probleme.
Mit freundlichen Grüßen
MrNightfloor
Vielleicht hilft dir das ja weiter. Hinter dieser Firewall liefen Webserver, Mailserver mit Spam-Filter, FTP Server, SSH und ein TeamSpeak Server ohne Probleme.
Mit freundlichen Grüßen
MrNightfloor