s4y Firewall Powerpanel vs. Plesk Firewall

M

mapapo

Registered User
Hallo aus Salzburg,

Habe so einen netten RootDS bei s4y der ganz brav werkelt. Habe versucht mittels Powerpanel die Firewall einzuschalten aber dann klappt mein internes Webmail (weiss noch nicht warum) nicht mehr und FTP (ist ja hinlänglich durchgekaut) auch nicht.

Bei Plesk gibts auch ne Möglichkeit eine Firewall einzuschalten, was ist da der Unterschied zu der Powerpanel-Firewall ??

Wenn ich die Plesk-Firewall einschlaten will kommt die Meldung:
cannot activate firewall configuration
iptables v1.2.11: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)"
Watn dat?


Danke für Input
 
Die erste Frage die sich mir stellt: Warum eine Firewall auf einem Server??
Richtig, weils modern ist, und ja jeder zu Hause auf dem Desktop auch son feines Ding laufen hat...
Dabei handelt es sich doch schon um grundsätzlich verschiedene Situationen.
Wie du selbst bemerkt hast, bietet ein Server Dienste an, wie zb ftp. Mit ner Firewall kannst du diesen Dienst wunderbar blocken, nur wo bleibt da der Sinn?
Also kannst du die Firewall gleich weglassen, wenn du ja eh die Ports deiner laufenden Dienste durchschaltest.
Zu Hause ist das was anderes, da möchte man zb nicht dass sich gewisse Programme zu ihren 'Herstellern' verbinden, oder von Windows geöffnete Ports wie zb Datei und Druckerfreigabe im weiten Web erreichbar sind.

Also konfiguriere deinen Server genau mit den Diensten, die er anbieten soll und schalte den Rest aus, damit keine unnötigen Angriffsflächen geboten werden (und ja man höre und staune, selbst eine Firewall kein zum Angriffspunkt werden)

MfG
 
kannnix said:
Die erste Frage die sich mir stellt: Warum eine Firewall auf einem Server??
Richtig, weils modern ist, und ja jeder zu Hause auf dem Desktop auch son feines Ding laufen hat...
Dabei handelt es sich doch schon um grundsätzlich verschiedene Situationen.
Wie du selbst bemerkt hast, bietet ein Server Dienste an, wie zb ftp. Mit ner Firewall kannst du diesen Dienst wunderbar blocken, nur wo bleibt da der Sinn?
Also kannst du die Firewall gleich weglassen, wenn du ja eh die Ports deiner laufenden Dienste durchschaltest.
Zu Hause ist das was anderes, da möchte man zb nicht dass sich gewisse Programme zu ihren 'Herstellern' verbinden, oder von Windows geöffnete Ports wie zb Datei und Druckerfreigabe im weiten Web erreichbar sind.

Also konfiguriere deinen Server genau mit den Diensten, die er anbieten soll und schalte den Rest aus, damit keine unnötigen Angriffsflächen geboten werden (und ja man höre und staune, selbst eine Firewall kein zum Angriffspunkt werden)

MfG
Click to expand...

Bzgl. den Diensten stimme ich Dir zu. Was aber das Abschalten der FW betrifft muss ich wiedersprechen. Es gibt durchaus Dienste, die lokal laufen, per localhost zugänglich sind und evtl von aussen einer Gefährdung unterworfen sind (z.B. MySQL).

Ergo würde ich analog zu oberem empfehlen, klar Schiff zu machen was die Dienste betrifft, zusätzlich aber eine Firewall zu aktivieren. Wenn man nun zusätzliche Dienste aktivieren will, muss man natürlich (INCOMING) Löchlein in die FW bohren. Wenn nun Port 21 nicht incoming offen ist, geht logischerweise kein FTP!! :rolleyes: Dasselbe mit dem Webmail. Läuft das SSL verschlüsselt? Dann muss halt der SSL Port geöffnet werden...

Ein Stückchen Sicherheit mehr ist immer besser als ein Stückchen weniger.

Gruß
Thunda
 
Hallo!
Thunderbyte said:
Es gibt durchaus Dienste, die lokal laufen, per localhost zugänglich sind und evtl von aussen einer Gefährdung unterworfen sind (z.B. MySQL).
Click to expand...
Hier möchte ich mal ganz dreist wiedersprechen. Wenn mysql nach draußen nicht gebraucht wird, lassen wir ihn auch nur auf 127.0.0.1 lauschen, oder?

mfG
Thorsten
 
Thorsten said:
Hallo!

Hier möchte ich mal ganz dreist wiedersprechen. Wenn mysql nach draußen nicht gebraucht wird, lassen wir ihn auch nur auf 127.0.0.1 lauschen, oder?

mfG
Thorsten
Click to expand...

Würdest Du Deine Hand dafür ins Feuer legen, dass MySQL komplett fehlerfrei ist und nicht doch angegriffen werden kann??

Meine Devise: Doppelt gesichert hält besser. Und ein bisschen Paranoia hat noch keinem Admin geschadet.

Thunda
 
Thunderbyte said:
Und ein bisschen Paranoia hat noch keinem Admin geschadet.
Click to expand...
Da will ich einfach mal wiedersprechen, ohne konkrete Beispiele zu nennen. :)
MySQL ist aber ein blödes Beispiel, da es doch relativ ausgereift und verbreitet ist. Eine Sicherheitslücke kann fast nicht der Presse entgehen.

Es gibt genügend für und wider was eine Server-Firewall angeht.
Die Ursprüngliche Frage war aber:
Bei Plesk gibts auch ne Möglichkeit eine Firewall einzuschalten, was ist da der Unterschied zu der Powerpanel-Firewall ??
Click to expand...
Die Firewall im Powerpanel läuft auf dem Host-System und kann jederzeit (selbst bei der schlimmsten mißkonfiguration) immer noch über das Powerpanel verändert werden.
Die Firewall in Plesk läuft direkt auf der virtuellen Maschine. Ein Fehler in der Konfiguration kann dazu führen, daß Du gar nicht mehr auf den Server drauf kannst. Noch nicht einmal mehr ins Plesk.
Vorteil der eignene Firewall ist allerdings, daß Du entsprechende Logfiles bekommst und evtl. Hacker-Angriffe mitverfolgen und analysieren kannst.

huschi.
 
Zum Thema Paranoia:

Huschi said:
Da will ich einfach mal wiedersprechen, ohne konkrete Beispiele zu nennen. :)
Click to expand...

??? Wenn die Sicherheit eines Servers nicht das wichtigste ist, was dann? Ich würde von einem guten Admin erwarten, den Server so sicher wie möglich zu konfigurieren. Dazu gehören Dienste ebenso wie eine Firewall.

Dass Sicherheit auch ein Kostenfaktor sein kann, werden auch diverse Vserverbetreiber, die es mit der Sicherheit nicht so genau nehmen, noch merken. Übertraffic ist da schnell produziert, auch strafrechtliche Konsequenzen sind möglich. Schließlich kann es auch zur Abschaltung eines (V)Servers kommen, da von einem solchen der gehackt wurde, leicht mal ein DDoS ausgehen kann.

Zur Firewall:
falls Du nicht genau weisst, was Du tust, würde ich die externe (S4Y) Firewall nehmen. Denn es haben sich schon genug Leute durch unbedachte Einstellungen ausgesperrt.

Thunda
 
Thunderbyte said:
Wenn die Sicherheit eines Servers nicht das wichtigste ist, was dann?
Click to expand...
Es geht bei 'Paranoia' nicht um Sicherheit, sondern um weit übertriebene Vorsichtsmassnamen.
Wenn z.B. der der in keinem Verhältniss zum Nutzen (in diesem Fall 'angebliche Sicherheit') steht, ist es rausgeschmissenes Geld (respektive Zeit).

Dein Beispiel ist hingegen schlecht gewählt. Denn eine grundsätzliche Absicherung des Servers ist noch keine Paranoia.

huschi.
 
Eine Firewall setze ich schon ein und zwar aus folgendem Grund: Wenn ein Rootkit oder eine Shell oder ein FTP Server installiert wird dann kann der Dienst nicht einfach so lauschen :)
 
Das ist aber ein schlechtes Rootkit, wenn es nicht die benötigte forward Regel in die iptables eintragen kann ;)

MfG
 
martinj said:
Kann es das ohne Root Zugang?
Click to expand...
Man kann aber unter Umständen Root-Zugang erreichen. Und ein RootKit kann man (wie der Name schon sagt) eh erst als root installieren.

huschi.
 
You must log in or register to reply here.
Back
Top