Firewall-Verwaltung¶
enconf nutzt nftables als Firewall-Backend und fail2ban für automatische IP-Sperrung bei Brute-Force-Angriffen.
Übersicht¶
Die Firewall-Verwaltung zeigt den aktuellen Status und alle konfigurierten Regeln.
Firewall-Status¶
| Feld | Beschreibung |
|---|---|
| Status | Aktiv oder Inaktiv |
| Backend | nftables |
Firewall deaktiviert
Wenn die Firewall deaktiviert ist, sind alle Ports des Servers offen zugänglich. Aktivieren Sie die Firewall für den Produktionsbetrieb.
Server-Auswahl¶
Bei Multi-Server-Konfigurationen wählen Sie über den Server-Selektor am oberen Rand, für welchen Server Sie die Firewall verwalten möchten.
Firewall-Regeln¶
Die Regeltabelle zeigt alle aktiven nftables-Regeln:
| Spalte | Beschreibung |
|---|---|
| Chain | input oder output |
| Protokoll | TCP oder UDP |
| Port | Ziel-Port |
| Quelle | Quell-IP oder -Netzwerk (leer = alle) |
| Aktion | accept oder drop |
| Kommentar | Beschreibung der Regel |
| Geschützt | Systemkritische Regeln (nicht löschbar) |
Geschützte Regeln¶
Bestimmte Regeln sind als geschützt markiert und können nicht gelöscht werden:
- SSH (Port 22)
- HTTP (Port 80)
- HTTPS (Port 443)
- DNS (Port 53)
- SMTP (Port 25, 465, 587)
- IMAP (Port 143, 993)
- POP3 (Port 110, 995)
- FTP (Port 21)
- Panel-API (Port konfigurierbar)
- Agent (Port 50000)
Geschützte Regeln
Diese Regeln sind für den Betrieb des Panels und der verwalteten Dienste erforderlich. Das Löschen würde den Zugang zum Server unterbinden.
Regel erstellen¶
- Klicken Sie auf Regel erstellen
- Füllen Sie das Formular aus:
| Feld | Pflicht | Beschreibung |
|---|---|---|
| Chain | Ja | input (eingehend) oder output (ausgehend) |
| Protokoll | Ja | tcp oder udp |
| Port | Ja | Ziel-Port-Nummer |
| Quell-IP | Nein | Quell-IP oder CIDR-Netzwerk (leer = alle) |
| Aktion | Ja | accept (erlauben) oder drop (blockieren) |
| Kommentar | Nein | Beschreibung der Regel |
- Klicken Sie auf Erstellen
Beispiele¶
SSH auf bestimmte IP beschränken¶
| Feld | Wert |
|---|---|
| Chain | input |
| Protokoll | tcp |
| Port | 22 |
| Quell-IP | 203.0.113.10 |
| Aktion | accept |
Ausgehenden SMTP blockieren¶
| Feld | Wert |
|---|---|
| Chain | output |
| Protokoll | tcp |
| Port | 25 |
| Quell-IP | (leer) |
| Aktion | drop |
Reihenfolge
Regeln werden in der Reihenfolge ihrer Erstellung abgearbeitet. Spezifischere Regeln sollten vor allgemeineren stehen.
Regel löschen¶
- Klicken Sie auf das Löschen-Symbol in der Aktionsspalte
- Bestätigen Sie die Löschung
Vorsicht beim Löschen
Das Löschen einer accept-Regel kann dazu führen, dass der betreffende Port blockiert wird, falls eine Default-Drop-Policy aktiv ist.
Firewall aktivieren / deaktivieren¶
- Nutzen Sie den Schalter am oberen Rand der Seite
- Nach Deaktivierung sind alle Ports offen
- Nach Aktivierung gelten alle konfigurierten Regeln
fail2ban¶
fail2ban überwacht Logdateien und sperrt automatisch IP-Adressen nach wiederholten fehlgeschlagenen Anmeldeversuchen.
Status anzeigen¶
Die fail2ban-Informationen werden unter System > fail2ban angezeigt:
| Information | Beschreibung |
|---|---|
| Jail | Name des Überwachungsjails (z. B. sshd, postfix) |
| Gesperrt gesamt | Gesamtzahl der Sperrungen |
| Aktuell gesperrt | Liste der derzeit gesperrten IP-Adressen |
IP-Adresse entsperren¶
- Navigieren Sie zu System > fail2ban
- Wählen Sie das betreffende Jail
- Klicken Sie auf Entsperren neben der IP-Adresse
Überwachte Dienste¶
fail2ban überwacht standardmäßig:
- SSH — Fehlgeschlagene SSH-Logins
- Postfix — Fehlgeschlagene SMTP-Authentifizierungen
- Dovecot — Fehlgeschlagene IMAP/POP3-Logins
- ProFTPD — Fehlgeschlagene FTP-Logins
- Panel — Fehlgeschlagene Panel-Logins
IP-Adressen blockieren¶
Um eine IP-Adresse manuell zu blockieren:
- Erstellen Sie eine neue Firewall-Regel
- Setzen Sie die Quell-IP auf die zu sperrende Adresse
- Wählen Sie Aktion
drop
Für dauerhafte IP-Sperren nutzen Sie die Firewall-Regeln. Für temporäre Sperren nutzen Sie fail2ban.