Firewall mit ufw unter Linux/Ubuntu einrichten
Mit ufw kontrollierst du in wenigen Befehlen, welche Ports deines Servers von außen erreichbar sind. So richtest du eine sichere Standard-Firewall ein, ohne dich auszusperren.

Mit ufw kontrollierst du in wenigen Befehlen, welche Ports deines Servers von außen erreichbar sind. So richtest du eine sichere Standard-Firewall ein, ohne dich auszusperren.

Eine Firewall entscheidet, welche Ports deines Servers von außen erreichbar sind. Alles, was du nicht brauchst, bleibt dicht. Unter Linux ist ufw (Uncomplicated Firewall) der einfachste Weg dorthin. Diese Anleitung bringt dich in wenigen Befehlen zu einer sinnvollen Standardkonfiguration, ohne dass du dich versehentlich aussperrst.
Eingehend alles sperren, ausgehend erlauben, dann gezielt SSH und deine Webports freigeben und die Firewall aktivieren.
Eine Host-Firewall regelt, welche deiner Dienste überhaupt nach außen sichtbar sind. Läuft etwa eine Datenbank nur lokal, muss ihr Port nicht im Internet offen stehen. Eine knappe Freigabeliste verkleinert die Angriffsfläche deutlich.
Eine Firewall direkt im Panel ist in Vorbereitung. Bis dahin richtest du den Schutz wie hier auf Betriebssystem-Ebene ein. Beides lässt sich später problemlos kombinieren.
Unter Ubuntu ist ufw meist schon vorhanden. Falls nicht, installierst du es schnell:
Die Grundregel jeder guten Firewall: eingehend alles blockieren, ausgehend alles erlauben. Damit ist von außen erst einmal nichts erreichbar, und du gibst gezielt frei, was du brauchst.
Gib unbedingt zuerst SSH frei, sonst sperrst du dich beim Aktivieren aus. Falls doch, kommst du über die VNC-Konsole im Panel wieder rein.
OpenSSH ist ein vordefiniertes Profil für Port 22. Die Ports 80 und 443 brauchst du nur, wenn auf dem Server eine Website oder ein Reverse Proxy läuft. Lass sie weg, wenn du sie nicht nutzt.
Bestätige die Rückfrage mit y. Prüf danach, was offen ist:
Eine neue Freigabe fügst du jederzeit hinzu, zum Beispiel für einen eigenen Dienst auf Port 8080:
Zum Entfernen lässt du dir die Regeln nummeriert anzeigen und löschst die passende Nummer:
Du kannst Ports auf bestimmte Adressen begrenzen. sudo ufw allow from 203.0.113.10 to any port 22 erlaubt SSH nur von einer festen IP. Praktisch, wenn du eine feste Büro- oder Heimadresse hast.
Port 25 für ausgehenden Mailversand ist bei ComputeBox netzseitig gesperrt und lässt sich nicht per ufw öffnen. Auf Anfrage und nach einer kurzen Prüfung schalten wir ihn pro Server frei. Die Ports 465 und 587 für den Mailversand sind offen.
Nach ufw enable keine SSH-Verbindung mehrEin Dienst ist trotz Freigabe nicht erreichbarRocky oder AlmaLinux statt UbuntuJa. ufw aktiviert sich beim Booten automatisch und lädt deine Regeln wieder. Nach einem Reboot musst du nichts erneut freigeben.
Bestehende SSH-Verbindungen bleiben offen. Solange du SSH freigegeben hast, kommst du auch neu wieder rein. Zur Sicherheit gibt es immer die VNC-Konsole im Panel.
Die meisten Dienste nutzen TCP. Gib UDP nur frei, wenn ein Dienst es ausdrücklich braucht, etwa WireGuard oder manche Spieleserver.
VPS auf AMD EPYC mit NVMe-SSD, voller Kontrolle und Hosting in Deutschland.
VPS konfigurieren
sudo apt install -y ufwsudo ufw default deny incoming
sudo ufw default allow outgoingsudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcpsudo ufw enablesudo ufw status verbosesudo ufw allow 8080/tcpsudo ufw status numbered
sudo ufw delete 3