Inhalt: Mit der Plesk Firewall lässt sich die Sicherheit Ihres Servers mit Plesk für Linux erhöhen, indem Netzwerkverbindungen zum und/oder vom Server eingeschränkt werden.

In diesem Thema erfahren Sie, wie Sie Firewall-Regeln und -Richtlinien hinzufügen und entfernen können, wie sich eingehende Verbindungen aus bestimmten Ländern blockieren lassen und wie Sie Firewall-Regeln exportieren und importieren können, um die Firewall-Konfiguration auf andere Server zu übertragen.

Vorsicht: Sowohl die Plesk Firewall als auch firewalld sind Tools für die Verwaltung der iptables-Firewall. Wenn beide Tools gleichzeitig verwendet werden, kann es zu Konflikten kommen. Zur Ausführung von Plesk benötigte Ports werden eventuell geschlossen. Wir empfehlen, jeweils nur ein Tool zu verwenden.

Voraussetzungen

Bevor Sie beginnen können, muss die Erweiterung „Firewall“ auf dem Server installiert sein. Wenn dies nicht der Fall ist, installieren Sie die Erweiterung aus dem Katalog der Erweiterungen.

Firewall-Regeln und -Richtlinien verwalten

By default, the Plesk firewall configuration consists of policies and rules:

  • Policies are broad in scope and affect all connections to or from the server, depending on the policy itself. For example, you can use „System policy for incoming traffic“ to completely block all incoming connections to the server.
  • Rules are narrower in scope and govern incoming connections to individual Plesk services, such as SMTP or MySQL/MariaDB.

Rules override policies. For example, if the global policy is to deny all incoming traffic, but a rule allows incoming traffic from a specific IP, the rule takes precedence. You can use this mechanism to tighten or relax the security of the server.

For example, setting up the policies to forbid all connections to and from the server except for a few allowed IP addresses or ports will result in improved security, but some applications may not be able to work due to the network restrictions. Conversely, allowing all connections by default and using rules to block access to individual services or from individual IP addresses will make your server less secure, but will ensure that you do not run into connection issues. Experiment to find the optimal trade-off between usability and security.

image firewall landing page

Für die Verwaltung der Firewall stehen Ihnen zwei Optionen zur Verfügung:

  • Modifying existing policies and rules, including the default ones.
  • Creating and removing custom rules.

Modifying an existing policy or rule:

  1. Melden Sie sich in Plesk an.
  2. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).
  3. Klicken Sie auf die Umschaltfläche „Firewall-Schutz“, sodass sie „Aktiviert“ anzeigt. Wenn der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.
  4. Click the policy or rule you want to modify.
  5. Make the desired changes, click Save, click Apply Changes, and then click Apply.

The changes to the firewall configuration are now in effect.

Creating a custom rule:

  1. Melden Sie sich in Plesk an.
  2. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).
  3. Klicken Sie auf die Umschaltfläche „Firewall-Schutz“, sodass sie „Aktiviert“ anzeigt. Wenn der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.
  4. Klicken Sie auf die Schaltfläche image plus icon.
  5. (Optional) Geben Sie der Regel einen Namen.
  6. Configure the rule. For example, to block all incoming connections to the SSH service from IP address 198.51.100.1 (assuming the default SSH port is being used), set „Match direction“ to „Incoming“, set „Action“ to „Deny“, set „Port“ to „TCP 22“, and then enter „198.51.100.1“ in the „Sources“ field.
  7. Once you have configured the rule, click Save, click Apply Changes, and then click Apply.

The changes to the firewall configuration are now in effect. When creating custom rules, be careful not to block connections to ports used by Plesk services by mistake.

Bemerkung: Wenn Sie Docker-Container verwenden, werden die Docker-Firewallregeln nicht zu den Firewallregeln von Plesk hinzugefügt.

Removing custom rules:

  1. Melden Sie sich in Plesk an.
  2. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).
  3. Klicken Sie auf die Umschaltfläche „Firewall-Schutz“, sodass sie „Aktiviert“ anzeigt. Wenn der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.
  4. Select one or more custom rules you want to remove. Only custom rules can be removed.
  5. Click Remove, click Yes, remove, click Apply Changes, and then click Apply.

The changes to the firewall configuration are now in effect.

Ländersperre

Mit der Plesk Firewall können Sie den Zugriff von oder auf IP-Adressen blockieren, die einem bestimmten Land zugeordnet werden.

Zugriff aus einem bestimmten Land sperren:

  1. Melden Sie sich in Plesk an.
  2. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).
  3. Klicken Sie auf die Umschaltfläche „Firewall-Schutz“, sodass sie „Aktiviert“ anzeigt. Wenn der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.
  4. Klicken Sie auf die Schaltfläche image plus icon.
  5. (Optional) Geben Sie der Regel einen Namen.
  6. Wählen Sie unter „Aktion“ die Option „Verweigern“ aus.
  7. Geben Sie unter „Quellen“ den ISO 3166-Code des zu blockierenden Landes bestehend aus zwei Buchstaben ein. Wenn Sie zum Beispiel alle eingehenden Verbindungen aus Afghanistan blockieren möchten, geben Sie AF ein.
  8. (Optional) Klicken Sie auf „Add one more“ (Weiteres hinzufügen) und wiederholen Sie den zuvor beschriebenen Schritt, um ein weiteres Land zu blockieren. Sie können so viele Länder blockieren, wie Sie möchten.
  9. Klicken Sie auf Speichern, nachdem Sie alle Länder hinzugefügt haben, die Sie blockieren möchten.
  10. Klicken Sie auf Änderungen übernehmen und dann auf Übernehmen.

Nachdem die Firewall-Konfiguration angewendet wurde, werden alle aus den blockierten Ländern auf Ihren Server eingehenden Verbindungen verweigert.

Standardmäßig verwendet Plesk die kostenlose Datenbank „IP to Country Lite“ von DB-IP. Sie können stattdessen eine kostenlose oder kostenpflichtige Datenbank von MaxMind verwenden. Dazu müssen Sie eine kostenlose oder kostenpflichtige Lizenz von MaxMind erwerben und einen Lizenzschlüssel abrufen.

Zur kostenpflichtigen GeoIP2-Datenbank wechseln:

  1. Fügen Sie die folgenden Zeilen in der Datei panel.ini hinzu:

    [ext-firewall]
    geoipDataSource = maxmind-lite
    

    Damit wird die kostenlose GeoLite2-Datenbank verwendet.

    [ext-firewall]
    geoipDataSource = maxmind
    

    Damit wird die kostenpflichtige GeoIP2-Datenbank verwendet.

  2. Melden Sie sich über SSH im Server an und führen Sie dann den folgenden Befehl aus:

    LICENSE_KEY=<enter your license key here> plesk sbin modules/firewall/ipsets --configure --data-source maxmind-lite --force
    

    oder

    LICENSE_KEY=<enter your license key here> plesk sbin modules/firewall/ipsets --configure --data-source maxmind --force
    

    Damit wird jeweils die kostenlose oder die kostenpflichtige Datenbank von MaxMind verwendet.

    Bemerkung: Auf den Befehl wird möglicherweise die Fehlermeldung Set cannot be destroyed zurückgegeben. Diese Warnung kann ignoriert werden.

  3. Melden Sie sich in Plesk an.

  4. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).

  5. Klicken Sie auf Änderungen übernehmen und dann auf Übernehmen.

    Bemerkung: Falls die Schaltfläche Änderungen übernehmen nicht angezeigt wird, erstellen Sie eine neue Firewall-Regel, mit der das Übernehmen von Änderungen ausgelöst wird. Sie können die Regel dann wieder entfernen.

Nachdem die Firewall-Konfiguration angewendet wurde, wird die GeoIP2-Datenbank anstelle von GeoLite2 verwendet.

Wenn Sie wieder zur kostenlosen Datenbank von DB-IP wechseln möchten, entfernen Sie die Zeile geoipDataSource = maxmind-lite oder geoipDataSource = maxmind aus der Datei panel.ini. Wenden Sie die Firewall-Konfiguration dann erneut an.

Firewall-Konfiguration importieren und exportieren

Eventuell möchten Sie die Firewall-Konfiguration eines Servers mit Plesk für Linux auf anderen Servern duplizieren. Exportieren Sie dazu einfach die Firewall-Konfiguration in eine Datei und importieren Sie sie dann auf jedem der Server mit Plesk für Linux. Sie können die Firewall-Konfiguration sowohl über die grafische Oberfläche als auch über die Befehlszeile importieren und exportieren.

Firewall-Konfiguration über die grafische Benutzeroberfläche exportieren:

  1. Melden Sie sich auf dem Server in Plesk an, dessen Firewall-Konfiguration Sie kopieren möchten.
  2. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).
  3. Klicken Sie auf die Schaltfläche „Firewall-Schutz“, sodass sie „Aktiviert“ anzeigt. Klicken Sie dann auf Übernehmen. Wenn der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.
  4. Klicken Sie auf Exportieren.

Die Firewall-Konfiguration wird im Format .json gespeichert. Sie finden die Datei im Download-Ordner Ihres Browsers.

Firewall-Konfiguration über die grafische Benutzeroberfläche importieren:

  1. Melden Sie sich auf dem Server in Plesk an, auf den Sie die Firewall-Konfiguration eines anderen Servers kopieren möchten.
  2. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).
  3. Klicken Sie auf die Schaltfläche „Firewall-Schutz“, sodass sie „Aktiviert“ anzeigt. Klicken Sie dann auf Übernehmen. Wenn der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.
  4. Klicken Sie auf Importieren und suchen Sie dann die .json-Datei, die Sie auf dem Server exportiert haben, dessen Firewall-Konfiguration Sie kopieren möchten.

Die Firewall-Konfiguration aus der Datei wird übernommen.

Firewall-Konfiguration über die Befehlszeilenschnittstelle exportieren:

  1. Melden Sie sich via SSH auf dem Server in Plesk an, dessen Firewall-Konfiguration Sie kopieren möchten.

  2. Führen Sie den folgenden Befehl aus, um die Firewall-Konfiguration zu exportieren:

    plesk ext firewall --export > rules.json

    Sie können der Datei einen beliebigen Namen geben. „rules.json“ ist nur ein Beispiel.

Die Firewall-Konfiguration wird in die angegebene Datei gespeichert.

Firewall-Konfiguration über die Befehlszeilenschnittstelle importieren:

  1. Melden Sie sich via SSH auf einem Server an, auf den Sie die Firewall-Konfiguration eines anderen Servers kopieren möchten. Sie müssen zwei separate SSH-Sitzungen öffnen, um die Firewall-Konfiguration zu importieren.

  2. Führen Sie in der ersten SSH-Sitzung den folgenden Befehl aus, um den Firewall-Schutz zu aktivieren. Wenn der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.

    plesk ext firewall --enable

  3. Führen Sie in der zweiten SSH-Sitzung den folgenden Befehl aus, um den Firewall-Schutz zu überprüfen. Falls der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.

    plesk ext firewall --confirm

  4. Führen Sie in der ersten SSH-Sitzung den folgenden Befehl aus, um die Firewall-Konfiguration zu importieren und anzuwenden:

    plesk ext firewall --import -zopfig <the file's URL or local path> && plesk ext firewall --apply

    Zum Beispiel

    plesk ext firewall --import -config https://example.com/rules.json && plesk ext firewall --apply

    oder

    plesk ext firewall --import -config /tmp/rules.json && plesk ext firewall --apply

  5. Verify that you can connect to the server via SSH after applying the new firewall configuration. If you can, in the second SSH session, run the following command to confirm the imported firewall configuration.

    plesk ext firewall --confirm

    Bemerkung: If you do not confirm the imported firewall configuration within 60 seconds of running the plesk ext firewall --apply command, the changes you made will be rolled back automatically, and the previous firewall configuration will be restored.

Die Firewall-Konfiguration aus der Datei wird auf dem Server übernommen.