Zum Inhalt springen
Toggle theme
de de
tr tr
en en
ru ru
zh-CN zh-CN
de de
Aktiv
Verpassen Sie nicht unseren 20%-Rabatt für Neukunden! Rabattcode: KAVESNET20 Kopiert
UFW

Was ist UFW und wie nutzt man es? Linux-Firewall-Verwaltung

Ports öffnen/schließen, IP-Whitelist, Rate-Limit und fail2ban-Integration unter Linux mit UFW (Uncomplicated Firewall).

KavesNET-Team 5. Februar 2026 3 Min Lesedauer
UFW-Linux-Firewall

iptables zu komplex? UFW (Uncomplicated Firewall) ist Standard auf Ubuntu/Debian — “iptables mit menschlichem Gesicht”. Wenige Befehle und Ihr Server hat eine funktionierende Firewall mit genau den Ports, die Sie wollen. Diese Anleitung deckt UFW-Grundlagen und praktische Nutzung ab.

Warum ist eine Firewall Pflicht?

Jeder offene Port ist Angriffsfläche. Bei Standard-Linux sind auch nicht laufende Dienste eventuell erreichbar. Eine Firewall erlaubt nur Gewünschtes, lehnt den Rest ab.

UFW-Installation

Ubuntu vorinstalliert. Sonst:

sudo apt update && sudo apt install ufw -y

AlmaLinux/RHEL nutzt firewalld statt UFW.

Grundlagen

sudo ufw status                    # Status
sudo ufw status verbose            # Detailliert
sudo ufw enable                    # Aktivieren
sudo ufw disable                   # Deaktivieren
sudo ufw reset                     # ALLE Regeln zurück

WICHTIG: SSH nicht aussperren!

Vor enable unbedingt SSH erlauben — sonst sperren Sie sich aus!

sudo ufw allow 22/tcp
# oder Custom Port:
sudo ufw allow 2222/tcp

Dann:

sudo ufw enable

Häufige Port-Regeln

# HTTP / HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Mail
sudo ufw allow 25,465,587,993,995/tcp

# FTP
sudo ufw allow 21/tcp
sudo ufw allow 990/tcp

# MySQL (nur von bestimmter IP)
sudo ufw allow from 1.2.3.4 to any port 3306

# Per Servicename
sudo ufw allow ssh
sudo ufw allow http
sudo ufw allow https

IP erlauben / verweigern

sudo ufw allow from 1.2.3.4
sudo ufw allow from 1.2.3.4 to any port 22
sudo ufw allow from 192.168.1.0/24
sudo ufw deny from 5.6.7.8

Port schließen / Regel löschen

sudo ufw status numbered
sudo ufw delete 3

sudo ufw delete allow 80/tcp

Rate-Limit (Brute-Force-Schutz)

UFWs eingebaute Rate-Begrenzung — bannt bei mehr als 6 Verbindungen in 30 Sekunden:

sudo ufw limit 22/tcp

Goldene Regel für SSH — einfache Alternative zu fail2ban.

Cloudflare-only-Modus

Zugriff nur über Cloudflare zulassen:

sudo ufw deny 80/tcp
sudo ufw deny 443/tcp

for ip in $(curl -s https://www.cloudflare.com/ips-v4); do
    sudo ufw allow from $ip to any port 80,443 proto tcp
done

Details im DDoS-Beitrag.

Logging

sudo ufw logging on
sudo ufw logging high
sudo tail -f /var/log/ufw.log

fail2ban-Integration

UFW + fail2ban = doppelte Schicht gegen Brute-Force:

sudo apt install fail2ban -y
sudo systemctl enable --now fail2ban

/etc/fail2ban/jail.local:

[sshd]
enabled = true
port = 22
maxretry = 3
bantime = 3600
banaction = ufw
sudo systemctl restart fail2ban
sudo fail2ban-client status sshd

Häufige Fehler

  • SSH vor enable vergessen: ausgesperrt → KavesNET VNC-Konsole
  • Konflikt mit Plesk: Plesk verwaltet eigene Firewall → entweder Plesk ODER UFW. Siehe Plesk-Beitrag
  • IPv6 ignorieren: IPV6=yes in /etc/default/ufw prüfen
  • Default deny incoming: bei neuen Installationen muss jeder Service explizit erlaubt werden

Quick-Start

Typische Konfig für neuen VDS:

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw limit 22/tcp
sudo ufw enable
sudo ufw status verbose

5 Zeilen sichere Basis-Firewall.

Verwandt: SSH-Verbindung · DDoS-Schutz

Schlagwörter UFW Firewall Linux Sicherheit
Blog

Ähnliche Beiträge

Das könnte Sie auch interessieren.