Dringende Hilfe mit Plesk 8.0 und Firewall

Lightslayer

Lightslayer

Registered User
Hi Leute
benötige dringend eure Hilfe!

Habe mich dazu entschlossen, von einem Webhosting-Paket auf einen Server umzusteigen.Beim Server war das Betriebssystem Suse Linux 10.0 und die Serversoftware Plesk 8.0 dabei.

Habe bisher immer mit ServerAdmin24 gearbeitet und die Firewall per SSH und Yast direkt in Suse eingestellt.

Laut dem Hoster soll man das bei Plesk nicht machen, da Plesk von selbst ein Firewall-Modul mitliefert. Modul ist installiert und läuft. Doch nun zu meiner Frage, muss ich irgendetwas an den Standardeinstellungen noch ändern oder nicht. Ein Screen ist beigefügt.

 
Servus Light,

es wird ja gemeinhin gerne diskutiert, ob eine Firewall bei Servern nötig ist oder nicht. Das verkneifen wir uns an dieser Stelle ;)

Erstmal gebe ich an Dich die Fragen zurück, ob du a) alle die dort aufgeführten Dienste nutzt (z.b. PostgreSQL), Du ein Mailpasswortänderungsinterface brauchst (nutzen Deine Kunden das?), oder Du die Verwaltungsoberfläche von Tomcat benötigst?

Mit den nötigen Informationen beantwortest Du Dir schon mal eine Menge Fragen selber. Grundsätzlich solltest Du aber natürlich die Basics bei der Serversicherheit (zu denen es massig HowTos im Netz gibt) durchgehen und schauen, was für Dich Sinn macht und was nicht.
 
marneus said:
Servus Light,

Erstmal gebe ich an Dich die Fragen zurück, ob du a) alle die dort aufgeführten Dienste nutzt (z.b. PostgreSQL), Du ein Mailpasswortänderungsinterface brauchst (nutzen Deine Kunden das?), oder Du die Verwaltungsoberfläche von Tomcat benötigst?
Click to expand...


Benötige eigentlich nur folgende Protokolle:
http
https
sql
pop
smtp
ftp

Tomcat ist bei meinem Paket garnicht dabei und PostgeSQL auch nicht.
Meine große Frage nun, kann ich die Einstellungen eigentlich so lassen.
Firewall ist ja automatisch aktive, oder? und nur die angegeben Protokolle
werden doch durchgelassen, bzw. angesprochen.
 
Natürlich kannst Du das so lassen. Du kannst aber die Ports die Du nicht brauchst, auch gleich sperren (Packetdrop). Über Sinn und Unsinn einen nicht offenen Port durch eine Firewall zu sperren, lässt sich jedoch streiten. Packetfiltering kostet Ressourcen...
 
Lightslayer said:
und nur die angegeben Protokolle
werden doch durchgelassen, bzw. angesprochen.
Click to expand...
Nein alle Ports sind offen
sämtlichen anderen einkommenden Traffic erlauben
Click to expand...
Meine Einstellungen sollten auch bei Dir passen. ggf. kannst Du auch noch DNS und Ping deaktivieren.

Gruß flyingoffice
 

Attachments

  • firewall.gif
    firewall.gif
    82 KB · Views: 527
flyingoffice said:
Nein alle Ports sind offen

Meine Einstellungen sollten auch bei Dir passen. ggf. kannst Du auch noch DNS und Ping deaktivieren.

Gruß flyingoffice
Click to expand...


danke für den Screen, werde nachher mal alles so einstellen!
 
Hi Marneus,
marneus said:
Über Sinn und Unsinn einen nicht offenen Port durch eine Firewall zu sperren, lässt sich jedoch streiten. Packetfiltering kostet Ressourcen...
Click to expand...
na ja, streiten will ich nicht!! Aber, ich empfehle folgende Bücher:

1. Sichere Server mit Linux (Oreilly ISBN:3-89721-139-4)
3897211394
2. Linux Sicherheits-Kochbuch (Oreilly ISBN: 3-89721-364-8)
3897213648
Einen sicheren Server aufzusetzten kostet immer Recoucen, die Firewall allein kostet die wenigsten Recoucen im System. Es lohnt sich immer eine Firewall aufzusetzten! Der Server soll ruhig prüfen.. ob und woher und wie und sowieso :D

Gruß Bernd
 
Last edited by a moderator:
bernd said:
Hi Marneus,

na ja, streiten will ich nicht!! Aber, ich empfehle folgende Bücher:

1. Sichere Server mit Linux (Oreilly ISBN:3-89721-139-4)
2. Linux Sicherheits-Kochbuch (Oreilly ISBN: 3-89721-364-8)

Einen sicheren Server aufzusetzten kostet immer Recoucen, die Firewall allein kostet die wenigsten Recoucen im System. Es lohnt sich immer eine Firewall aufzusetzten! Der Server soll ruhig prüfen.. ob und woher und wie und sowieso :D

Gruß Bernd
Click to expand...

Danke für die Buchtipps und die Bücher sind auch schon bestellt!
Wie schon oben beschrieben, habe ich bisher immer alles direkt in
der Suse Firewall per SSH und Yast eingestellt. Da mir aber mein
Hoster ausdrücklich davon abräht und mein, das man das alles in
Plesk einstellen sollte, wollte ich diesen Ratschlag auch befolgen.
Da ich vorher ServerAdmin 24 benutzt habe, musste ich mich vorher
nie so richtig mit Plesk auseinander setzen, da aber der Server schon
heute Abend notgezwungen Online gehen muss, finde ich sollte man
wenigstens die Firewall richtig eingestellt haben!
 
Hallo,
Wie schon oben beschrieben, habe ich bisher immer alles direkt in
der Suse Firewall per SSH und Yast eingestellt. Da mir aber mein
Hoster ausdrücklich davon abräht und mein, das man das alles in
Plesk einstellen sollte, wollte ich diesen Ratschlag auch befolgen
Click to expand...
dann schalte den Firewall von Plesk aus und nehme den von Linux. Ich weiß nicht warum Dein Hoster davon abrät.
Mag sein das er nur über Plesk seine Firewall eingestellt bekommt :D :D
Also ich stelle das in Linux ein, fertig ist die Laube. Den Plesk-Firewall kannste dann getrost deinstallieren ;)

Viele Grüße
Bernd

Noch ein Tipp, google mal nach AIDE, ein sehr kleines und Recoucensparendes Päckchen für Linux ;)
 
Ob nun Plesk oder YAST ist doch egal. Beide arbeiten mit Iptables. Nehme das, was Dir besser gefällt.

Gruß flyingoffice
 
Das große Problem was ich bei der Suse-Firewall hatte war,
das auf dem Server auch ein Mailserver lief. Hatte Pop, SMTP
und den dienst Mailserver in der Firewall eingestellt. Der Mailserver
lief auch einbandfrei, doch benötigte mab immer 2 Minuten um zum Server
kontakt aufzunehmen, abzufragen ob Mails vorhanden sind und dann
noch diese zu downloaden.

Noch eine Frage, wenn das Firewall-Modul bei Plesk geladen und
eingestellt ist, läuft es dann automatisch oder muss man dieses
irgendwo noch starten. Habe das ganze Plesk-Handbuch danach
durchgeschaut, stand aber nichts drin!
 
Last edited by a moderator:
Lightslayer said:
Der Mailserver lief auch einbandfrei, doch benötigte mab immer 2 Minuten um zum Server kontakt aufzunehmen, abzufragen ob Mails vorhanden sind und dann noch diese zu downloaden.
Click to expand...
Ggf. ein Plesk/Qmail Problem. Siehe Huschies Tipp.
Lightslayer said:
Noch eine Frage, wenn das Firewall-Modul bei Plesk geladen und eingestellt ist, läuft es dann automatisch oder muss man dieses
irgendwo noch starten.
Click to expand...
Wird bei einem Reboot automatisch mitgestartet.

Gruß flyingoffice
 
@flyingoffice, der erste Server läuft mit Suse 9.3 und ServerAdmin24. Habe schon alles ausprobiert, doch egal ziehe mit der HP sowieso nun auf den Server mit Plesk.

Bin jetzt mal kurz was essen und danach wage ich mich an Plesk.
 
So habe die Firewall in Plesk nun eingerichtet. Hänge noch einmal nen
Screenshot bei!

Noch eine Frage, habe das SQL-Protokoll auf alles erlauben gelassen,
da meine ganze Homepage auf PHP und Datenbanken aufbaut und wir
alles per Formulare in unsere SQL-Datenbanken laden. Dementsprechend
muss ich doch auch alle eingehende Verbindungen erlauben oder?

Screenshot:
 
Hi,
nur wenn Du auch von einem anderen Server auf die DB zugreifen willst, dann muss der Port offen sein. Für local kann er zu sein.

Gruß
Bernd
 
super für die schnelle Antwort. Noch ne Frage, alle Ports, die jetzt nicht in
der Firewall aufgeführt sind sind doch auch automatisch gesperrt, sodass nur
die von mir freigegeben Ports offen sind oder?

Zudem muss ich Plesk jetzt rebooten oder übernimmt das Modul automatisch
die Einstellungen?
 
So meine aktuellen Firewall-Einstellungen:



Muss ich irgend etwas noch einstellen, bzw. beachten, oder kann
der Server mit diesen Einstellungen Online gehen?
 
Lightslayer said:
Noch ne Frage, alle Ports, die jetzt nicht in
der Firewall aufgeführt sind sind doch auch automatisch gesperrt, sodass nur
die von mir freigegeben Ports offen sind oder?
Click to expand...
Nein, erst wenn Du die Regel "sämtlichen anderen eingehenden Traffic" auf verbieten setzt.

Ein Neustart ist IMHO nicht erforderlich.

Gruß flyingoffice
 
flyingoffice said:
Nein, erst wenn Du die Regel "sämtlichen anderen eingehenden Traffic" auf verbieten setzt.

Ein Neustart ist IMHO nicht erforderlich.

Gruß flyingoffice
Click to expand...

Problem ist, wie du auf dem Screen siehst, kann ich diese Option nicht
anklicken, dementsprechend kann ich es nicht sperren, wie geht das?
Sry für die Fragen, doch ist mir die Firewall wirklich wichtig!
 
You must log in or register to reply here.
Back
Top