Beim Betrieb eines Servers sind zumindest grundlegende Sicherheitsmassnahmen essenziell. Eine der wirksamsten Methoden, deinen Server zu schützen, ist eine Firewall.
Hetzner bietet eine integrierte Firewall auf Netzwerkebene, die den Traffic filtert, bevor er den dedizierten Server überhaupt erreicht. Das blockiert unerwünschte Verbindungen und erhöht die Sicherheit.
Da ich auf meinem Server Web-, DNS-, Mail- und SSH-Dienste betreibe, habe ich folgende Firewall-Regeln konfiguriert:
| Name | Source IP | Destination IP | Source port | Destination port | Protocol | TCP flags | Action | |
|---|---|---|---|---|---|---|---|---|
| #1 | SSH | 22 | tcp | accept | ||||
| #2 | DNS TCP | 53 | tcp | accept | ||||
| #3 | DNS UDP | 53 | udp | accept | ||||
| #4 | HTTP | 80 | tcp | accept | ||||
| #5 | HTTPS | 443 | tcp | accept | ||||
| #6 | SMTP | 25 | tcp | accept | ||||
| #7 | SMTP TLS | 587 | tcp | accept | ||||
| #8 | IMAP TLS | 993 | tcp | accept | ||||
| #9 | POP3 TLS | 995 | tcp | accept | ||||
| #10 | Out | 32768-65535 | tcp | ack | accept |
Wichtig: Bevor du diese Firewall-Regeln anwendest, stelle sicher, dass du per SSH auf deinen Server zugreifen kannst. Sonst riskierst du, dich selbst auszusperren!
Warum die letzte Regel wichtig ist #
Die letzte Regel (#10: Outbound) ist entscheidend, denn sie erlaubt deinem Server den Internetzugriff für Aufgaben wie Software-Updates. Ohne sie kann es beim Abrufen externer Ressourcen zu Verbindungsproblemen kommen.
Firewall aktivieren #
Da Hetzners Firewall standardmässig eine Deny-Policy hat, müssen wir nur legitimen Traffic erlauben. Sobald du deinen Zugriff geprüft und die Regeln kontrolliert hast, kannst du die Firewall über Hetzners Web-Interface aktivieren. Änderungen greifen nach etwa 30 Sekunden.
Grenzen der Hetzner Firewall #
Beachte: Hetzner begrenzt die Firewall-Konfiguration derzeit auf 10 Regeln. Die Slots sind also schnell aufgebraucht – plane deine Regeln daher sorgfältig, damit sie in diese Grenzen passen.