Startseite

Absichern eines vServers per "Firewall"

Man kann über das Absichern eines vServers per "Firewall" geteilter Meinung sein. Einiges dazu finden Sie z.B. in diesem Foren-Thread.

Ob sich Ihr vServer für die dort geschilderte Absicherung eignet, müssen Sie selbst feststellen. Bedenken Sie aber, dass Sie sich bei einer unbedachten iptables-Regel selbst den Boden unter den Füßen wegziehen können, also keine Verbindung zu Ihrem vServer mehr möglich ist. Deshalb ist hier größte Vorsicht und / oder Bedachtsamkeit erforderlich.

Bedenken Sie folgende Aussage in dem o.a. Foren-Beitrag: Das o.g. Skript erkennt bei angegebenem Netzwerk-Interface die eigene IP automatisch, und erlaubt rudimentären Zugriff auf den eigenen Host (SSH, WWW, WWW mit SSL, SMTP, POP3, POP mit SSL, ICMP), und schränkt ausgehende Verbindungen ebenfalls auf die wichtigsten Dienste (SMTP, DNS, WWW, SSH, ICMP).

Falls Sie also zusätzliche Dienste brauchen, müssen Sie das Skript in jedem Fall anpassen!

Aber nun erst mal weiter...

Geben Sie in einem Konsole-Fenster Ihres vServers den Befehl

# ipconfig

nein.

Die Ausgabe könnte z.B. so aussehen:

lo        ...
venet0    Protokoll:UNSPEC  Hardware Adresse 
          00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet Adresse:127.0.0.1  P-z-P:127.0.0.1  Bcast:0.0.0.0 
          Maske:255.255.255.255
venet0:0  Protokoll:UNSPEC  Hardware Adresse
          00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet Adresse:XXX.YYY.ZZZ.XYZ  P-z-P:XYZ.ZZZ.XXX.YYY     
          Bcast:0.0.0.0  Maske:255.255.255.255
...


Dann ("inet Adresse" von "venet0:0" enthält Ihre IP, über die Sie im Internet erreichbar sind) sollten Sie das Skript des o.a. Foren-Beitrag unverändert übernehmen können. Ansonsten müssen Sie den Inhalt der Skript-Variablen


EXT_IF="venet0:0"

entsprechend Ihrer Gegebenheiten anpassen.

P.S. Security by obscurity durch Portverlagerung wird imho von Sicherheitsexperten als überflüssig, wenn nicht sogar kontraproduktiv angesehn, da Dienste, die nicht auf ihrem Standard-Port lauschen, gerade erst das Interesse der "Szene" wecken.