Inhalt: Mit der Plesk Firewall lässt sich die Sicherheit Ihres Servers mit Plesk für Linux erhöhen, indem Netzwerkverbindungen zum und/oder vom Server eingeschränkt werden.

In diesem Thema erfahren Sie, wie Sie Firewall-Regeln und -Richtlinien hinzufügen und entfernen können, wie sich eingehende Verbindungen aus bestimmten Ländern blockieren lassen und wie Sie Firewall-Regeln exportieren und importieren können, um die Firewall-Konfiguration auf andere Server zu übertragen.

Vorsicht: Sowohl die Plesk Firewall als auch firewalld sind Tools für die Verwaltung der iptables-Firewall. Wenn beide Tools gleichzeitig verwendet werden, kann es zu Konflikten kommen. Zur Ausführung von Plesk benötigte Ports werden eventuell geschlossen. Wir empfehlen, jeweils nur ein Tool zu verwenden.

Voraussetzungen

Bevor Sie beginnen können, muss die Erweiterung „Firewall“ auf dem Server installiert sein. Wenn dies nicht der Fall ist, installieren Sie die Erweiterung aus dem Katalog der Erweiterungen.

Firewall-Regeln und -Richtlinien verwalten

Standardmäßig besteht die Konfiguration der Plesk Firewall aus Richtlinien und Regeln. Die Richtlinien sind sehr weitgefächert und betreffen je nach Richtlinie alle Verbindungen zum oder vom Server. Sie können zum Beispiel die Systemrichtlinie für eingehenden Traffic verwenden (zu finden unter Tools & Einstellungen > Firewall), um alle eingehenden Verbindungen zum Server zu blockieren. Regeln sind enger definiert und betreffen eingehende Verbindungen zu einzelnen Plesk Diensten wie SMTP oder MySQL.

Beachten Sie, dass Regeln Vorrang vor Richtlinien haben. Wenn eine allgemeine Richtlinie zum Beispiel den kompletten eingehenden Traffic ablehnt, eine Regel jedoch den eingehenden Traffic für eine bestimmte IP erlaubt, hat die Regel Vorrang. Mit diesem Mechanismus können Sie die Sicherheit des Servers ganz einfach auflockern oder straffen. Wenn Sie zum Beispiel die Richtlinien so einrichten, dass alle Verbindungen zum und vom Server blockiert werden, einige wenige IP-Adressen oder Ports jedoch davon ausgenommen sind, erhöhen Sie die Sicherheit. Einige Anwendungen funktionieren aber möglicherweise nicht aufgrund der Netzwerkeinschränkungen. Wenn Sie im Gegensatz dazu alle Verbindungen standardmäßig zulassen und Regeln zum Blockieren einzelner Dienste oder individueller IP-Adressen einsetzen, ist Ihr Server zwar nicht so sicher, aber Sie vergewissern sich, dass es zu keinen Verbindungsproblemen kommt. Probieren Sie verschiedene Varianten aus, bis Sie eine zufriedenstellende Balance zwischen Nutzbarkeit und Sicherheit gefunden haben.

Für die Verwaltung der Firewall stehen Ihnen zwei Optionen zur Verfügung:

  • Einstellungen der Standardrichtlinien und -regeln ändern
  • Benutzerdefinierte Regeln erstellen

Um die Einstellungen der Standardrichtlinien und -regeln zu ändern, gehen Sie zu Tools & Einstellungen > Firewall (in der Gruppe Sicherheit) und klicken Sie auf Firewallregelverwaltung aktivieren. Bestätigen Sie die Aktivierung der Regelverwaltung, warten Sie, bis die Änderungen angewendet wurden, und klicken Sie anschließend auf Plesk Firewallregeln modifizieren. Klicken Sie auf die Regel oder Richtlinie, die Sie ändern möchten. Sie können über eine Richtlinie festlegen, dass Verbindungen zugelassen oder abgelehnt werden. Über eine Regel können Sie einstellen, dass Verbindungen erlaubt bzw. nicht zugelassen werden oder Verbindungen nur von bestimmten Adressen zugelassen und die restlichen Verbindungen abgelehnt werden. Nachdem Sie alle gewünschten Änderungen durchgeführt haben, klicken Sie auf Änderungen übernehmen, um den neuen Regelsatz zu aktivieren. Klicken Sie auf Änderungen verwerfen, um die Änderungen zurückzusetzen.

image 75005

Um eine benutzerdefinierte Regel hinzuzufügen, aktivieren Sie die Verwaltung von Firewallregeln wie oben beschrieben und klicken Sie auf Benutzerdefinierte Regel hinzufügen. Benutzerdefinierte Regeln sind flexibler als Standardregeln und können so konfiguriert werden, dass eingehende, ausgehende oder weiterleitende Verbindungen zu bzw. von bestimmten Ports oder IP-Adressen zugelassen oder abgelehnt werden. Nachdem Sie eine oder mehrere benutzerdefinierte Regeln hinzugefügt haben, klicken Sie auf Änderungen übernehmen, um die Regeln zum Regelsatz hinzuzufügen. Klicken Sie auf Änderungen verwerfen, um die Änderungen zurückzusetzen. Wenn Sie zu einem späteren Zeitpunkt eine oder mehrere benutzerdefinierte Regeln entfernen möchten, wählen Sie die entsprechenden Kontrollkästchen aus, klicken Sie auf Löschen, bestätigen Sie den Löschvorgang und klicken Sie anschließend auf Änderungen übernehmen, um die ausgewählten Regeln aus dem Regelsatz zu entfernen.

Wenn Sie benutzerdefinierte Regeln erstellen, vergewissern Sie sich, keine Verbindungen zu von Plesk Diensten verwendeten Ports irrtümlich zu blockieren.

Bemerkung: Wenn Sie Docker-Container verwenden, werden die Docker-Firewallregeln nicht zu den Firewallregeln von Plesk hinzugefügt.

Ländersperre

Mit der Plesk Firewall können Sie den Zugriff von oder auf IP-Adressen blockieren, die einem bestimmten Land zugeordnet werden.

Zugriff aus einem bestimmten Land sperren

  1. Melden Sie sich in Plesk an.
  2. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).
  3. Klicken Sie auf die Umschaltfläche „Firewall-Schutz“, sodass sie „Aktiviert“ anzeigt. Wenn der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.
  4. Klicken Sie auf die Schaltfläche plus icon.
  5. (Optional) Geben Sie der Regel einen Namen.
  6. Wählen Sie unter „Aktion“ die Option „Verweigern“ aus.
  7. Geben Sie unter „Quellen“ den ISO 3166-Code des zu blockierenden Landes bestehend aus zwei Buchstaben ein. Wenn Sie zum Beispiel alle eingehenden Verbindungen aus Afghanistan blockieren möchten, geben Sie AF ein.
  8. (Optional) Klicken Sie auf „Add one more“ (Weiteres hinzufügen) und wiederholen Sie den zuvor beschriebenen Schritt, um ein weiteres Land zu blockieren. Sie können so viele Länder blockieren, wie Sie möchten.
  9. Klicken Sie auf Speichern, nachdem Sie alle Länder hinzugefügt haben, die Sie blockieren möchten.
  10. Klicken Sie auf Änderungen übernehmen und dann auf Übernehmen.

Nachdem die Firewall-Konfiguration angewendet wurde, werden alle aus den blockierten Ländern auf Ihren Server eingehenden Verbindungen verweigert.

Standardmäßig verwendet Plesk die kostenlose Datenbank „IP to Country Lite“ von DB-IP. Sie können stattdessen eine kostenlose oder kostenpflichtige Datenbank von MaxMind verwenden. Dazu müssen Sie eine kostenlose oder kostenpflichtige Lizenz von MaxMind erwerben und einen Lizenzschlüssel abrufen.

Zur kostenpflichtigen GeoIP2-Datenbank wechseln

  1. Fügen Sie die folgenden Zeilen in der Datei panel.ini hinzu:

    [ext-firewall]
    geoipDataSource = maxmind-lite
    

    Damit wird die kostenlose GeoLite2-Datenbank verwendet.

    [ext-firewall]
    geoipDataSource = maxmind
    

    Damit wird die kostenpflichtige GeoIP2-Datenbank verwendet.

  2. Melden Sie sich über SSH im Server an und führen Sie dann den folgenden Befehl aus:

    LICENSE_KEY=<enter your license key here> plesk sbin modules/firewall/ipsets --configure --data-source maxmind-lite --force
    

    oder

    LICENSE_KEY=<enter your license key here> plesk sbin modules/firewall/ipsets --configure --data-source maxmind --force
    

    Damit wird jeweils die kostenlose oder die kostenpflichtige Datenbank von MaxMind verwendet.

    Bemerkung: Auf den Befehl wird möglicherweise die Fehlermeldung Set cannot be destroyed zurückgegeben. Diese Warnung kann ignoriert werden.

  3. Melden Sie sich in Plesk an.

  4. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).

  5. Klicken Sie auf Änderungen übernehmen und dann auf Übernehmen.

    Bemerkung: Falls die Schaltfläche Änderungen übernehmen nicht angezeigt wird, erstellen Sie eine neue Firewall-Regel, mit der das Übernehmen von Änderungen ausgelöst wird. Sie können die Regel dann wieder entfernen.

Nachdem die Firewall-Konfiguration angewendet wurde, wird die GeoIP2-Datenbank anstelle von GeoLite2 verwendet.

Wenn Sie wieder zur kostenlosen Datenbank von DB-IP wechseln möchten, entfernen Sie die Zeile geoipDataSource = maxmind-lite oder geoipDataSource = maxmind aus der Datei panel.ini. Wenden Sie die Firewall-Konfiguration dann erneut an.

Firewall-Konfiguration importieren und exportieren

Eventuell möchten Sie die Firewall-Konfiguration eines Servers mit Plesk für Linux auf anderen Servern duplizieren. Exportieren Sie dazu einfach die Firewall-Konfiguration in eine Datei und importieren Sie sie dann auf jedem der Server mit Plesk für Linux. Sie können die Firewall-Konfiguration sowohl über die grafische Oberfläche als auch über die Befehlszeile importieren und exportieren.

Firewall-Konfiguration über die grafische Benutzeroberfläche exportieren

  1. Melden Sie sich auf dem Server in Plesk an, dessen Firewall-Konfiguration Sie kopieren möchten.
  2. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).
  3. Klicken Sie auf Exportieren.

Die Firewall-Konfiguration wird im Format .json gespeichert. Sie finden die Datei im Download-Ordner Ihres Browsers.

Firewall-Konfiguration über die grafische Benutzeroberfläche importieren

  1. Melden Sie sich auf dem Server in Plesk an, auf den Sie die Firewall-Konfiguration eines anderen Servers kopieren möchten.
  2. Gehen Sie zu Tools & Einstellungen > Firewall (unter „Sicherheit“).
  3. Klicken Sie auf die Schaltfläche „Firewall-Schutz“, sodass sie „Aktiviert“ anzeigt. Klicken Sie dann auf Übernehmen. Wenn der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.
  4. Klicken Sie auf Importieren und suchen Sie dann die .json-Datei, die Sie auf dem Server exportiert haben, dessen Firewall-Konfiguration Sie kopieren möchten.

Die Firewall-Konfiguration aus der Datei wird übernommen.

Firewall-Konfiguration über die Befehlszeilenschnittstelle exportieren

  1. Melden Sie sich via SSH auf dem Server in Plesk an, dessen Firewall-Konfiguration Sie kopieren möchten.

  2. Führen Sie den folgenden Befehl aus, um die Firewall-Konfiguration zu exportieren:

    plesk ext firewall --export > rules.json

    Sie können der Datei einen beliebigen Namen geben. „rules.json“ ist nur ein Beispiel.

Die Firewall-Konfiguration wird in die angegebene Datei gespeichert.

Firewall-Konfiguration über die Befehlszeilenschnittstelle importieren

  1. Melden Sie sich via SSH auf einem Server an, auf den Sie die Firewall-Konfiguration eines anderen Servers kopieren möchten. Sie müssen zwei separate SSH-Sitzungen öffnen, um die Firewall-Konfiguration zu importieren.

  2. Führen Sie in der ersten SSH-Sitzung den folgenden Befehl aus, um den Firewall-Schutz zu aktivieren. Wenn der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.

    plesk ext firewall --enable

  3. Führen Sie in der zweiten SSH-Sitzung den folgenden Befehl aus, um den Firewall-Schutz zu überprüfen. Falls der Firewall-Schutz bereits aktiviert ist, überspringen Sie diesen Schritt.

    plesk ext firewall --confirm

  4. Führen Sie in der ersten SSH-Sitzung den folgenden Befehl aus, um die Firewall-Konfiguration zu importieren und anzuwenden:

    plesk ext firewall --import -zopfig <the file's URL or local path> && plesk ext firewall --apply

    Zum Beispiel

    plesk ext firewall --import -config https://example.com/rules.json && plesk ext firewall --apply

    oder

    plesk ext firewall --import -config /tmp/rules.json && plesk ext firewall --apply

  5. Führen Sie in der zweiten SSH-Sitzung den folgenden Befehl aus, um die importierte Firewall-Konfiguration zu überprüfen.

    plesk ext firewall --confirm

Die Firewall-Konfiguration aus der Datei wird auf dem Server übernommen.