<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Netcup – Serverküche</title><link>https://serverkueche.de/kategorien/netcup/</link><description>Netcup – Neueste Beiträge von Serverküche</description><generator>Hugo</generator><language>de-DE</language><managingEditor>feedback@serverkueche.de (Serverküche)</managingEditor><webMaster>feedback@serverkueche.de (Serverküche)</webMaster><copyright>2026 Serverküche</copyright><lastBuildDate>Fri, 17 Jul 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://serverkueche.de/kategorien/netcup/index.xml" rel="self" type="application/rss+xml"/><item><title>netcup Snapshots &amp; das Server Control Panel (SCP)</title><link>https://serverkueche.de/tutorials/netcup-snapshots-scp/</link><pubDate>Fri, 17 Jul 2026 00:00:00 +0000</pubDate><author>feedback@serverkueche.de (Serverküche)</author><guid>https://serverkueche.de/tutorials/netcup-snapshots-scp/</guid><description>netcup Server Control Panel &amp; Snapshots richtig nutzen: ein Sicherheitsnetz vor riskanten Änderungen – und warum es kein echtes Backup ersetzt.</description><content:encoded><![CDATA[<p>Bevor du etwas Riskantes am Server machst – ein großes Update, eine heikle
Config-Änderung – willst du einen Punkt haben, zu dem du in Minuten zurückkehren
kannst. Genau dafür sind <strong>netcup-Snapshots</strong> da. Dieses Tutorial zeigt dir das
<strong>Server Control Panel (SCP)</strong> und wie du Snapshots richtig einsetzt – und wo ihre
Grenze liegt.</p>
<h2 id="was-bauen-wir">Was bauen wir?</h2>
<p>Du lernst das <strong>netcup Server Control Panel (SCP)</strong> kennen – die Weboberfläche zu
deinem Server – und erstellst dort einen <strong>Snapshot</strong>: einen vollständigen Abzug
deiner Server-Festplatte, zu dem du bei einem Missgeschick in wenigen Minuten
zurückkehrst. Am Ende weißt du, wann ein Snapshot dein Retter ist – und warum er
trotzdem <strong>kein Ersatz für ein echtes Backup</strong> ist.</p>
<h2 id="voraussetzungen">Voraussetzungen</h2>
<ul>
<li>Ein netcup-Server, z. B. dein <a href="/tutorials/erste-schritte-netcup-vps/">erster VPS</a>.</li>
<li>Deine <strong>SCP-Zugangsdaten</strong> – sie stehen in der netcup-Willkommensmail und sind
<strong>andere</strong> als dein SSH-Login.</li>
</ul>
<div class="not-prose my-6 overflow-hidden rounded-xl border border-paprika-200 bg-paprika-50 dark:border-paprika-800 dark:bg-paprika-900/20">
  <div class="flex items-center justify-between border-b border-paprika-200 bg-paprika-100 px-4 py-1.5 text-xs font-semibold uppercase tracking-wide text-paprika-700 dark:border-paprika-800 dark:bg-paprika-900/40 dark:text-paprika-300">
    <span>🍳 Empfehlung</span>
    <span title="Mit * markierte Links sind Affiliate-Links.">Anzeige</span>
  </div>
  <div class="flex flex-col gap-4 p-4 sm:flex-row sm:items-center sm:justify-between">
    <div>
      <p class="text-lg font-bold text-slate-900 dark:text-white">VPS 1000 G12</p>
      <p class="mt-1 text-sm text-slate-600 dark:text-slate-300">4 vCore · 8 GB RAM · 256 GB NVMe</p>
      <p class="mt-1 text-sm font-semibold text-paprika-700 dark:text-paprika-400">ab 10,36 €/Monat</p>
      <p class="mt-2 text-sm text-slate-600 dark:text-slate-400">Alle netcup-Server bringen das SCP inklusive Snapshot-Funktion mit.</p>
    </div>
    <a href="https://www.netcup.com/de/server/vps?ref=44083" rel="sponsored noopener" target="_blank"
   class="inline-flex shrink-0 items-center justify-center rounded-lg bg-paprika-600 px-5 py-2.5 font-semibold text-white transition-colors hover:bg-paprika-700">
  Zu netcup →
</a>

  </div>
</div>

<h2 id="schritt-für-schritt">Schritt für Schritt</h2>
<h3 id="schritt-1-im-scp-anmelden-und-den-server-finden">Schritt 1: Im SCP anmelden und den Server finden</h3>
<p>Öffne <a href="https://www.servercontrolpanel.de/">servercontrolpanel.de</a> und melde dich mit
deinen SCP-Zugangsdaten an. Du landest in der Server-Liste; ein Klick auf deinen
Server öffnet die <strong>Übersicht</strong> mit Produkt, Status und Hardware. Oben siehst du die
Reiter, über die du alles steuerst – <strong>Snapshots liegen unter „Medien&quot;</strong>.</p>
<p><figure class="my-6"><img src="/tutorials/netcup-snapshots-scp/netcup-scp-uebersicht_hu_b1642807b6fbeb78.webp" srcset="/tutorials/netcup-snapshots-scp/netcup-scp-uebersicht_hu_a2e5ffe8782fdf0c.webp 480w, /tutorials/netcup-snapshots-scp/netcup-scp-uebersicht_hu_b1642807b6fbeb78.webp 768w, /tutorials/netcup-snapshots-scp/netcup-scp-uebersicht_hu_c3bb05baf7ac701d.webp 1200w, /tutorials/netcup-snapshots-scp/netcup-scp-uebersicht_hu_dba5c508910df679.webp 1920w" sizes="(min-width: 768px) 768px, 100vw"
    width="768" height="432"
    data-full="/tutorials/netcup-snapshots-scp/netcup-scp-uebersicht_hu_4c9059bafd44df3d.webp"
    alt="Die Server-Übersicht im netcup SCP mit den Reitern; Snapshots liegen unter „Medien&quot;" title="Die Server-Übersicht im SCP – die Reiter führen zu allen Funktionen"
    loading="lazy" decoding="async" class="rounded-lg"><figcaption class="mt-2 text-sm text-center text-slate-500 italic">Die Server-Übersicht im SCP – die Reiter führen zu allen Funktionen</figcaption></figure></p>
<div class="not-prose my-6 rounded-lg border-l-4 p-4 border-herb-400 bg-herb-50 dark:border-herb-700 dark:bg-herb-900/20">
  <p class="mb-1 flex items-center gap-2 font-semibold text-slate-900 dark:text-white">
    <span aria-hidden="true">🧑‍🍳</span>Anderer Login als SSH
  </p>
  <div class="prose-kitchen text-sm">Das SCP hat <strong>eigene</strong> Zugangsdaten (Kundennummer + SCP-Passwort), unabhängig von
deinem SSH-Zugang. Bewahre sie im Passwortmanager auf – über das SCP kommst du auch
dann an den Server, wenn SSH klemmt (z. B. über die VNC-Konsole unter „Bildschirm&quot;).</div>
</div>
<h3 id="schritt-2-einen-snapshot-erstellen">Schritt 2: Einen Snapshot erstellen</h3>
<p>Geh auf <strong>Medien → Snapshots</strong>. Unter <strong>Snapshot erstellen</strong> füllst du aus:</p>
<ul>
<li><strong>Name:</strong> benenne ihn nach dem <strong>Warum</strong>, nicht nach dem Datum allein – z. B.
<code>vor-update-2026-08</code>. So weißt du später, wozu er da war.</li>
<li><strong>Beschreibung:</strong> ein Satz Kontext (optional, aber hilfreich).</li>
<li><strong>Festplatte:</strong> in der Regel <code>vda</code> (deine Systemplatte).</li>
<li><strong>Typ:</strong> hier liegt die wichtigste Entscheidung – siehe unten.</li>
</ul>
<p>![Die Snapshot-Maske im SCP mit Name, Beschreibung, Festplatte und Typ](netcup-snapshot-erstellen.png &ldquo;„Snapshot erstellen&rdquo; – Name nach dem Zweck vergeben, Typ bewusst wählen&quot;)</p>
<p><strong>Offline- oder Online-Snapshot?</strong></p>
<ul>
<li><strong>Offline-Snapshot:</strong> Der Server wird für die Aufnahme kurz <strong>heruntergefahren</strong>.
Das garantiert einen <strong>konsistenten</strong> Stand – die richtige Wahl, wenn Datenbanken
laufen, und wenn du dir die kurze Downtime leisten kannst.</li>
<li><strong>Online-Snapshot:</strong> Aufnahme <strong>im laufenden Betrieb</strong>, ohne Downtime. Bequem, aber
bei aktiven Schreibvorgängen (z. B. eine Datenbank mitten im Schreiben) kann der
Abzug <strong>inkonsistent</strong> sein.</li>
</ul>
<p>Ein Klick auf <strong>Erstellen</strong> startet den Vorgang; je nach Datenmenge dauert er ein
paar Minuten. Er läuft im Hintergrund – in der Liste darüber tauchen anschließend
Erstellungsdatum und Typ auf, sobald er fertig ist. Die kurze Downtime eines
Offline-Snapshots legst du am besten in eine ruhige Zeit; danach ist dein
Rückkehrpunkt gesetzt und du kannst die geplante Änderung angehen.</p>
<div class="not-prose my-6 rounded-lg border-l-4 p-4 border-amber-400 bg-amber-50 dark:border-amber-700 dark:bg-amber-900/20">
  <p class="mb-1 flex items-center gap-2 font-semibold text-slate-900 dark:text-white">
    <span aria-hidden="true">⚠️</span>Nur ein Snapshot-Slot
  </p>
  <div class="prose-kitchen text-sm">Ein VPS hat in der Regel <strong>einen</strong> Snapshot-Platz. Erstellst du einen neuen,
<strong>überschreibt</strong> er den vorherigen. Ein Snapshot ist also ein <em>einzelner</em>
Wiederherstellungspunkt, kein Verlauf – für mehrere Versionsstände brauchst du
richtige Backups (Schritt „Wartung&quot;).</div>
</div>
<h3 id="schritt-3-einen-snapshot-zurückspielen">Schritt 3: Einen Snapshot zurückspielen</h3>
<p>Ist etwas schiefgegangen, findest du den Snapshot in der Liste unter <strong>Snapshots</strong>;
in der Spalte <strong>Aktionen</strong> gibt es <strong>Zurückspielen</strong> (Restore).</p>
<div class="not-prose my-6 rounded-lg border-l-4 p-4 border-paprika-400 bg-paprika-50 dark:border-paprika-700 dark:bg-paprika-900/20">
  <p class="mb-1 flex items-center gap-2 font-semibold text-slate-900 dark:text-white">
    <span aria-hidden="true">🔥</span>Zurückspielen überschreibt alles
  </p>
  <div class="prose-kitchen text-sm">Ein Restore setzt die Festplatte <strong>komplett</strong> auf den Snapshot-Stand zurück. <strong>Alles,
was seither passiert ist, geht verloren</strong> – neue Daten, Änderungen, Uploads. Nutze
das nur bewusst im Notfall, nicht als „schnelles Rückgängig&quot;.</div>
</div>
<h3 id="schritt-4-die-weiteren-rettungsanker-im-scp">Schritt 4: Die weiteren Rettungsanker im SCP</h3>
<p>Das SCP hat mehr als Snapshots – gut zu wissen für den Ernstfall:</p>
<ul>
<li><strong>Bildschirm (VNC-Konsole):</strong> direkter Bildschirmzugang zum Server, auch wenn SSH
streikt – der Rettungsanker aus dem <a href="/tutorials/ssh-absichern/">SSH-Tutorial</a>.</li>
<li><strong>Rettungssystem:</strong> bootet den Server in ein Notfall-Linux, um eine kaputte
Installation zu reparieren.</li>
<li><strong>Medien → Images / DVD-Laufwerk:</strong> ein anderes Betriebssystem einspielen.</li>
</ul>
<h2 id="wenn-es-nicht-funktioniert">Wenn es nicht funktioniert</h2>
<p><strong>Symptom:</strong> Der neue Snapshot hat den alten überschrieben.</p>
<p><strong>Ursache &amp; Lösung:</strong> Das ist erwartetes Verhalten – ein VPS hat nur einen
Snapshot-Slot. Wenn du einen bestimmten Stand aufheben willst, spiele ihn zurück oder
sichere die Daten separat, <strong>bevor</strong> du einen neuen Snapshot anlegst.</p>
<p><strong>Symptom:</strong> Nach einem Online-Snapshot-Restore ist die Datenbank beschädigt.</p>
<p><strong>Ursache &amp; Lösung:</strong> Ein Online-Snapshot fängt einen laufenden Schreibvorgang
womöglich mittendrin ein. Für Server mit Datenbank nimm einen <strong>Offline-Snapshot</strong>
oder erstelle vorher einen Datenbank-Dump.</p>
<p><strong>Symptom:</strong> Du kommst nicht ins SCP.</p>
<p><strong>Ursache &amp; Lösung:</strong> Das SCP nutzt <strong>eigene</strong> Zugangsdaten (nicht SSH). Sie stehen
in der Willkommensmail; ein vergessenes SCP-Passwort setzt du im netcup-Kundenkonto
(CCP) zurück.</p>
<h2 id="wartung--backups">Wartung &amp; Backups</h2>
<ul>
<li><strong>Snapshot ≠ Backup – der wichtigste Punkt.</strong> Ein Snapshot liegt bei <strong>netcup</strong>,
unter <strong>deinem</strong> Account, in <strong>einem</strong> Slot und ist als Momentaufnahme gedacht.
Fällt der Account, das Rechenzentrum oder dein Zugang aus, ist er mit weg. Er ist
ein <strong>schnelles Sicherheitsnetz</strong>, kein ausgelagertes Backup.</li>
<li><strong>Snapshot vor jeder riskanten Aktion.</strong> Vor großen Updates, Migrationen oder
heiklen Config-Änderungen: erst Snapshot, dann loslegen. Danach kannst du ihn
ruhig durch den nächsten ersetzen.</li>
<li><strong>Snapshots altern.</strong> Ein Monate alter Snapshot bringt dich auf einen längst
überholten Stand zurück – im Zweifel schlimmer als kein Snapshot. Erneuere ihn
gezielt vor jeder größeren Aktion; ein frischer Rückkehrpunkt ist mehr wert als ein
alter.</li>
<li><strong>Für echte Sicherheit brauchst du beides.</strong> Ergänze den Snapshot um
<strong>verschlüsselte Off-Site-Backups</strong> – wie das geht, zeigt das Tutorial zu
<a href="/tutorials/backups-mit-restic/">Backups mit Restic</a>. Faustregel: Snapshot fürs
schnelle Zurück, Restic fürs „mein Server ist weg&quot;.</li>
</ul>
]]></content:encoded></item><item><title>netcup-Firewall im SCP einrichten (mit stateless-UDP-Kniff)</title><link>https://serverkueche.de/tutorials/netcup-firewall-einrichten/</link><pubDate>Fri, 17 Jul 2026 00:00:00 +0000</pubDate><author>feedback@serverkueche.de (Serverküche)</author><guid>https://serverkueche.de/tutorials/netcup-firewall-einrichten/</guid><description>Die netcup-Firewall als Netzwerk-Schutz vor dem Server einrichten: komponierbare Policy-Templates im SCP – mit dem Kniff für stateless UDP (DNS &amp; NTP).</description><content:encoded><![CDATA[<p>netcup bringt eine <strong>Firewall schon vor deinem Server</strong> mit – im Server Control Panel,
noch bevor ein Paket das Betriebssystem erreicht. Richtig gebaut ist sie ein starker
Schutzschild. Es gibt dabei aber einen Kniff, an dem viele scheitern: Die netcup-Firewall
ist bei <strong>UDP zustandslos</strong>. Dieses Tutorial zeigt dir eine saubere, wiederverwendbare
Firewall – und warum DNS und NTP sonst plötzlich klemmen.</p>
<h2 id="was-bauen-wir">Was bauen wir?</h2>
<p>Wir bauen im <strong>netcup SCP</strong> eine Netzwerk-Firewall aus <strong>komponierbaren Policy-Templates</strong>:
ein <strong>Basis</strong>-Template (das jeder Server braucht), eins für <strong>SSH</strong> und eins für
<strong>Web (HTTP/HTTPS)</strong>. Diese Bausteine weist du deinem Server nach Bedarf zu – ein
Webserver bekommt Basis + SSH + Web, ein Server ohne Website nur Basis + SSH. Am Ende ist
eingehend alles gesperrt außer dem, was du bewusst erlaubst.</p>
<p>Ein netcup-spezifisches Detail macht dabei den Unterschied: Bei <strong>UDP arbeitet die Firewall
zustandslos</strong> – weshalb Dienste wie DNS und NTP eine eigene Eingangs-Regel brauchen, sonst
klemmen sie plötzlich. Warum das so ist und wie das Basis-Template es löst, zeigt Schritt 2.</p>
<div class="not-prose my-6 rounded-lg border-l-4 p-4 border-sky-300 bg-sky-50 dark:border-sky-800 dark:bg-sky-900/20">
  <p class="mb-1 flex items-center gap-2 font-semibold text-slate-900 dark:text-white">
    <span aria-hidden="true">ℹ️</span>Netzwerk-Firewall ≠ Host-Firewall
  </p>
  <div class="prose-kitchen text-sm">Die netcup-Firewall arbeitet im <strong>Netzwerk vor dem Server</strong> und ersetzt <strong>nicht</strong> die
Firewall auf dem Server selbst (<a href="/tutorials/firewall-ufw-einrichten/">UFW</a>). Beide
zusammen sind „Defense in Depth&quot;: Fällt eine Schicht aus oder ist falsch konfiguriert,
greift die andere. Richte ruhig beide ein.</div>
</div>
<h2 id="voraussetzungen">Voraussetzungen</h2>
<ul>
<li>Ein netcup-Server, z. B. dein <a href="/tutorials/erste-schritte-netcup-vps/">erster VPS</a>.</li>
<li>Deine <strong>SCP-Zugangsdaten</strong> (Kundennummer + SCP-Passwort aus der netcup-Willkommensmail –
andere als dein SSH-Login).</li>
<li>Klarheit über deinen <strong>SSH-Port</strong>: Standard ist <code>22</code>. Hast du ihn beim
<a href="/tutorials/ssh-absichern/">SSH-Absichern</a> verlegt, nimm deinen echten Port – sonst
sperrst du dich beim Aktivieren aus.</li>
</ul>
<div class="not-prose my-6 overflow-hidden rounded-xl border border-paprika-200 bg-paprika-50 dark:border-paprika-800 dark:bg-paprika-900/20">
  <div class="flex items-center justify-between border-b border-paprika-200 bg-paprika-100 px-4 py-1.5 text-xs font-semibold uppercase tracking-wide text-paprika-700 dark:border-paprika-800 dark:bg-paprika-900/40 dark:text-paprika-300">
    <span>🍳 Empfehlung</span>
    <span title="Mit * markierte Links sind Affiliate-Links.">Anzeige</span>
  </div>
  <div class="flex flex-col gap-4 p-4 sm:flex-row sm:items-center sm:justify-between">
    <div>
      <p class="text-lg font-bold text-slate-900 dark:text-white">VPS 1000 G12</p>
      <p class="mt-1 text-sm text-slate-600 dark:text-slate-300">4 vCore · 8 GB RAM · 256 GB NVMe</p>
      <p class="mt-1 text-sm font-semibold text-paprika-700 dark:text-paprika-400">ab 10,36 €/Monat</p>
      <p class="mt-2 text-sm text-slate-600 dark:text-slate-400">Die Firewall ist bei jedem netcup-Server im SCP inklusive.</p>
    </div>
    <a href="https://www.netcup.com/de/server/vps?ref=44083" rel="sponsored noopener" target="_blank"
   class="inline-flex shrink-0 items-center justify-center rounded-lg bg-paprika-600 px-5 py-2.5 font-semibold text-white transition-colors hover:bg-paprika-700">
  Zu netcup →
</a>

  </div>
</div>

<h2 id="schritt-für-schritt">Schritt für Schritt</h2>
<h3 id="schritt-1-firewall-policys-im-scp-öffnen">Schritt 1: Firewall Policys im SCP öffnen</h3>
<p>Melde dich im <a href="https://www.servercontrolpanel.de/">Server Control Panel</a> an und öffne oben
den Menüpunkt <strong>Firewall Policys</strong>. Hier legst du wiederverwendbare Regelsätze („Policys&quot;)
an – unabhängig vom einzelnen Server. Erst später weist du sie zu.</p>
<h3 id="schritt-2-das-basis-template-bauen">Schritt 2: Das Basis-Template bauen</h3>
<p>Klick auf <strong>Firewall Policy erstellen</strong>, vergib den Namen <code>Serverküche Basis</code> und lege über
<strong>Regel hinzufügen</strong> diese vier Regeln an – alle <strong>EINGEHEND</strong> und <strong>ACCEPT</strong>:</p>
<table>
	<thead>
			<tr>
					<th>Beschreibung</th>
					<th>Protokoll</th>
					<th>Quell-Port (Src)</th>
					<th>Ziel-Port (Dst)</th>
			</tr>
	</thead>
	<tbody>
			<tr>
					<td>DNS-Antworten (stateless)</td>
					<td>UDP</td>
					<td><strong>53</strong></td>
					<td>beliebig</td>
			</tr>
			<tr>
					<td>NTP-Antworten (stateless)</td>
					<td>UDP</td>
					<td><strong>123</strong></td>
					<td>beliebig</td>
			</tr>
			<tr>
					<td>ICMP (Ping/PMTU)</td>
					<td>ICMP</td>
					<td>–</td>
					<td>–</td>
			</tr>
			<tr>
					<td>ICMPv6 (Neighbor Discovery)</td>
					<td>ICMPv6</td>
					<td>–</td>
					<td>–</td>
			</tr>
	</tbody>
</table>
<p><figure class="my-6"><img src="/tutorials/netcup-firewall-einrichten/netcup-fw-basis-regeln_hu_ce5a1ad1ef03dd97.webp" srcset="/tutorials/netcup-firewall-einrichten/netcup-fw-basis-regeln_hu_2b045b5967caf168.webp 480w, /tutorials/netcup-firewall-einrichten/netcup-fw-basis-regeln_hu_ce5a1ad1ef03dd97.webp 768w, /tutorials/netcup-firewall-einrichten/netcup-fw-basis-regeln_hu_35ed128ba5916ce8.webp 1200w, /tutorials/netcup-firewall-einrichten/netcup-fw-basis-regeln_hu_b2a5dd50447478e1.webp 1920w" sizes="(min-width: 768px) 768px, 100vw"
    width="768" height="432"
    data-full="/tutorials/netcup-firewall-einrichten/netcup-fw-basis-regeln_hu_a9bfd715ff3e372.webp"
    alt="Das Basis-Template im netcup SCP mit vier eingehenden ACCEPT-Regeln: DNS und NTP über den Quell-Port, dazu ICMP und ICMPv6" title="Das Basis-Template: DNS/NTP-Antworten kommen über den Quell-Port 53/123 herein"
    loading="lazy" decoding="async" class="rounded-lg"><figcaption class="mt-2 text-sm text-center text-slate-500 italic">Das Basis-Template: DNS/NTP-Antworten kommen über den Quell-Port 53/123 herein</figcaption></figure></p>
<p>Zwei Dinge, die hier den Unterschied machen:</p>
<ul>
<li><strong>DNS/NTP über den <code>Src Port</code>, nicht den Ziel-Port.</strong> Dein Server <em>fragt</em> DNS/NTP an
(ausgehend); die <strong>Antwort</strong> kommt von Port 53 bzw. 123 zurück. Weil UDP zustandslos ist,
brauchst du diese Eingangs-Regel – sonst gibt es keine Namensauflösung und keine
Zeitsynchronisation, obwohl „alles andere&quot; zu funktionieren scheint.</li>
<li><strong>ICMPv6 nie vergessen.</strong> Ohne Neighbor Discovery bricht IPv6 komplett. ICMP (v4) dazu
ist für Ping und die Pfad-MTU-Erkennung sinnvoll. netcups Default-Policy „Ping allow&quot;
deckt ICMP zwar schon ab – im Basis-Template steht es bewusst nochmal drin, damit dein
Fundament auch dann vollständig bleibt, wenn du die netcup-Defaults einmal entfernst.</li>
</ul>
<div class="not-prose my-6 rounded-lg border-l-4 p-4 border-sky-300 bg-sky-50 dark:border-sky-800 dark:bg-sky-900/20">
  <p class="mb-1 flex items-center gap-2 font-semibold text-slate-900 dark:text-white">
    <span aria-hidden="true">ℹ️</span>Sobald eine Regel da ist, sperrt netcup den Rest automatisch
  </p>
  <div class="prose-kitchen text-sm">Ein abschließendes „alles sperren&quot; musst du <strong>nicht</strong> anlegen. <strong>Ohne</strong> zugewiesene Policy
ist eingehend alles erlaubt. <strong>Sobald du dem Server aber mindestens eine eigene Policy
zuweist, schaltet netcup den Default auf „block all&quot;</strong> – ab dann ist eingehend alles
gesperrt, was keine deiner Regeln ausdrücklich erlaubt. Die Whitelist entsteht also von
selbst; ausgehend bleibt offen.</div>
</div>
<div class="not-prose my-6 rounded-lg border-l-4 p-4 border-herb-400 bg-herb-50 dark:border-herb-700 dark:bg-herb-900/20">
  <p class="mb-1 flex items-center gap-2 font-semibold text-slate-900 dark:text-white">
    <span aria-hidden="true">🧑‍🍳</span>Nutzt dein Server DHCP?
  </p>
  <div class="prose-kitchen text-sm">netcup-VPS sind in der Regel <strong>statisch</strong> konfiguriert (<code>iface … inet static</code>) – dann ist
hier nichts zu tun. netcups Netz betreibt zwar einen DHCP-Server, aber weil UDP zustandslos
ist, wird die DHCP-<strong>Antwort</strong> (Quell-Port <strong>67</strong>) von der Whitelist verworfen. Ist dein
Server ausnahmsweise per DHCP konfiguriert, ergänze im Basis-Template
<code>EINGEHEND · UDP · ACCEPT · Src 67</code> (für DHCPv6 zusätzlich <code>Src 547</code>) – sonst verliert er
bei der nächsten Lease-Erneuerung seine IP.</div>
</div>
<h3 id="schritt-3-kleine-bausteine-für-ssh-und-web">Schritt 3: Kleine Bausteine für SSH und Web</h3>
<p>Statt eines großen Regel-Monolithen legst du <strong>atomare Templates</strong> an, die du frei
kombinierst. Erstelle nach demselben Muster zwei weitere Policys:</p>
<ul>
<li><strong><code>Serverküche SSH</code></strong> – eine Regel: EINGEHEND, TCP, ACCEPT, Ziel-Port <strong>22</strong>.</li>
<li><strong><code>Serverküche Web</code></strong> – zwei Regeln: EINGEHEND, TCP, ACCEPT, Ziel-Port <strong>80</strong> und <strong>443</strong>.</li>
</ul>
<p><figure class="my-6"><img src="/tutorials/netcup-firewall-einrichten/netcup-fw-policys_hu_68a58a62e79cf7eb.webp" srcset="/tutorials/netcup-firewall-einrichten/netcup-fw-policys_hu_6226a2d0082b8588.webp 480w, /tutorials/netcup-firewall-einrichten/netcup-fw-policys_hu_68a58a62e79cf7eb.webp 768w, /tutorials/netcup-firewall-einrichten/netcup-fw-policys_hu_d33e382db48b4542.webp 1200w, /tutorials/netcup-firewall-einrichten/netcup-fw-policys_hu_5a1d7aa397c7bbb0.webp 1920w" sizes="(min-width: 768px) 768px, 100vw"
    width="768" height="432"
    data-full="/tutorials/netcup-firewall-einrichten/netcup-fw-policys_hu_526d2c6829ec59e7.webp"
    alt="Die drei komponierbaren Firewall-Templates in der netcup-SCP-Übersicht: Basis, SSH und Web" title="Drei kleine, wiederverwendbare Bausteine statt eines Monolithen"
    loading="lazy" decoding="async" class="rounded-lg"><figcaption class="mt-2 text-sm text-center text-slate-500 italic">Drei kleine, wiederverwendbare Bausteine statt eines Monolithen</figcaption></figure></p>
<p>Der Gewinn: Die Basis-Regeln stehen nur <strong>einmal</strong> da, nicht in jeder Policy dupliziert.
Kommt später ein Dienst dazu (z. B. ein Mailserver oder WireGuard), baust du dafür ein
weiteres kleines Template und steckst es dazu – ohne die bestehenden anzufassen.</p>
<h3 id="schritt-4-templates-dem-server-zuweisen">Schritt 4: Templates dem Server zuweisen</h3>
<p>Wechsle zu <strong>Server → deinen Server → Reiter „Firewall&quot;</strong> und klick auf <strong>Firewall Policys
editieren</strong>. Schieb aus <strong>Verfügbare Firewall Policys</strong> die passenden nach <strong>Ausgewählte</strong>:
für einen Webserver <code>Serverküche Basis</code> + <code>Serverküche SSH</code> + <code>Serverküche Web</code>.</p>
<p><figure class="my-6"><img src="/tutorials/netcup-firewall-einrichten/netcup-fw-zuweisen_hu_d4a583142ca9fc6a.webp" srcset="/tutorials/netcup-firewall-einrichten/netcup-fw-zuweisen_hu_ed780878fc8ca3a0.webp 480w, /tutorials/netcup-firewall-einrichten/netcup-fw-zuweisen_hu_d4a583142ca9fc6a.webp 768w, /tutorials/netcup-firewall-einrichten/netcup-fw-zuweisen_hu_e4fdda1a1d671eb9.webp 1200w, /tutorials/netcup-firewall-einrichten/netcup-fw-zuweisen_hu_b600d8c88e74d5e4.webp 1920w" sizes="(min-width: 768px) 768px, 100vw"
    width="768" height="432"
    data-full="/tutorials/netcup-firewall-einrichten/netcup-fw-zuweisen_hu_164078baa966f345.webp"
    alt="Der Zuweisungs-Dialog im netcup SCP: links die verfügbaren Templates, rechts die für diesen Server ausgewählten" title="Zuweisen = zusammenstecken: Basis &#43; SSH &#43; Web auf einen Webserver"
    loading="lazy" decoding="async" class="rounded-lg"><figcaption class="mt-2 text-sm text-center text-slate-500 italic">Zuweisen = zusammenstecken: Basis &#43; SSH &#43; Web auf einen Webserver</figcaption></figure></p>
<p>Bestätige mit <strong>Übernehmen</strong> und dann <strong>Speichern</strong>. Prüfe, dass der Schalter <strong>„Firewall
aktiv&quot;</strong> eingeschaltet ist. Die zugewiesenen Regeln erscheinen jetzt in der Liste –
zusammen mit netcups <strong>Default-Policys</strong> (dazu unten mehr).</p>
<p><figure class="my-6"><img src="/tutorials/netcup-firewall-einrichten/netcup-fw-server_hu_649eca4ce2a02761.webp" srcset="/tutorials/netcup-firewall-einrichten/netcup-fw-server_hu_b2c43f56e34f4142.webp 480w, /tutorials/netcup-firewall-einrichten/netcup-fw-server_hu_649eca4ce2a02761.webp 768w, /tutorials/netcup-firewall-einrichten/netcup-fw-server_hu_b733c1f040996465.webp 1200w, /tutorials/netcup-firewall-einrichten/netcup-fw-server_hu_235df9cff5707f4e.webp 1920w" sizes="(min-width: 768px) 768px, 100vw"
    width="768" height="432"
    data-full="/tutorials/netcup-firewall-einrichten/netcup-fw-server_hu_eebc56ac5719503a.webp"
    alt="Der Firewall-Reiter des Servers mit aktiver Firewall und den zugewiesenen Regeln" title="Firewall aktiv – Regeln werden von oben nach unten ausgewertet, erste Übereinstimmung greift"
    loading="lazy" decoding="async" class="rounded-lg"><figcaption class="mt-2 text-sm text-center text-slate-500 italic">Firewall aktiv – Regeln werden von oben nach unten ausgewertet, erste Übereinstimmung greift</figcaption></figure></p>
<div class="not-prose my-6 rounded-lg border-l-4 p-4 border-amber-400 bg-amber-50 dark:border-amber-700 dark:bg-amber-900/20">
  <p class="mb-1 flex items-center gap-2 font-semibold text-slate-900 dark:text-white">
    <span aria-hidden="true">⚠️</span>Nicht aussperren
  </p>
  <div class="prose-kitchen text-sm">Aktiviere die Firewall nur, wenn die <strong>SSH-Regel</strong> (Port 22 bzw. dein echter Port) drin
ist. Lass während der Umstellung eine <strong>zweite SSH-Sitzung offen</strong> und öffne parallel eine
neue Verbindung, um den Zugang zu testen – erst wenn die klappt, die alte Sitzung
schließen. Kommst du gar nicht mehr rein, hilft die VNC-Konsole unter <strong>Bildschirm</strong> im SCP.</div>
</div>
<h2 id="wenn-es-nicht-funktioniert">Wenn es nicht funktioniert</h2>
<p><strong>Symptom:</strong> Nach dem Aktivieren geht keine Namensauflösung mehr (<code>apt update</code> hängt,
<code>ping domain.de</code> scheitert, aber <code>ping 1.1.1.1</code> geht).</p>
<p><strong>Ursache &amp; Lösung:</strong> Die DNS-<strong>Antworten</strong> werden geblockt. Prüfe im Basis-Template die
Regel <em>EINGEHEND UDP ACCEPT, Src-Port 53</em>. Wichtig: <strong>Quell</strong>-Port, nicht Ziel-Port.</p>
<p><strong>Symptom:</strong> Die Uhr driftet, oder TLS-Zertifikate werden wegen falscher Zeit abgelehnt.</p>
<p><strong>Ursache &amp; Lösung:</strong> Die NTP-Antworten fehlen. Ergänze <em>EINGEHEND UDP ACCEPT, Src-Port 123</em>.</p>
<p><strong>Symptom:</strong> IPv6 funktioniert nicht mehr (v4 schon).</p>
<p><strong>Ursache &amp; Lösung:</strong> Es fehlt die <strong>ICMPv6</strong>-Regel. Ohne Neighbor Discovery kann der
Server über IPv6 nicht einmal seinen Nachbarn (Router) finden.</p>
<p><strong>Symptom:</strong> Du kommst nach dem Aktivieren nicht mehr per SSH rein.</p>
<p><strong>Ursache &amp; Lösung:</strong> Die SSH-Regel fehlt oder nennt den falschen Port. Über die
<strong>VNC-Konsole</strong> (SCP → Bildschirm) kommst du trotzdem auf den Server; korrigiere die Policy
und speichere neu. Genau dagegen hilft die „zweite Sitzung offen lassen&quot;-Regel oben.</p>
<p><strong>Symptom:</strong> Der Server kann keine E-Mails versenden (Port 25 raus geht nicht).</p>
<p><strong>Ursache &amp; Lösung:</strong> Das ist <strong>kein</strong> Fehler deiner Policy, sondern netcups
<strong>Default-Policy „netcup Mail block&quot;</strong> – sie sperrt ausgehendes SMTP (Port 25/465/587) als
Spam-Schutz. Für einen echten Mailversand musst du dieses netcup-Template am Server deaktivieren.</p>
<p><strong>Symptom:</strong> Der Server läuft zunächst normal und ist nach ein bis zwei Wochen plötzlich
offline.</p>
<p><strong>Ursache &amp; Lösung:</strong> Nutzt der Server DHCP, wird die <strong>Lease-Erneuerung</strong> von der Whitelist
geblockt – die DHCP-Antwort kommt von UDP-Quell-Port <strong>67</strong>, den keine Regel erlaubt, und
UDP ist zustandslos. Ergänze <code>EINGEHEND · UDP · ACCEPT · Src 67</code> im Basis-Template.
Statisch konfigurierte netcup-VPS (der Standard) sind davon nicht betroffen.</p>
<h2 id="wartung--backups">Wartung &amp; Backups</h2>
<ul>
<li><strong>Nach jeder Änderung den Zugang testen.</strong> Firewall-Regeln sind der klassische Weg, sich
selbst auszusperren. Zweite Sitzung offen halten, neue Verbindung prüfen, erst dann fertig.</li>
<li><strong>Neue Dienste = neues Template.</strong> Brauchst du später einen weiteren Port (Game-Server,
WireGuard-VPN über UDP, Datenbank), leg ein kleines eigenes Template an und weise es
zusätzlich zu. Die bestehenden Bausteine bleiben unberührt.</li>
<li><strong>Reihenfolge beachten.</strong> netcup wertet die Regeln <strong>von oben nach unten</strong> aus; die
<strong>erste</strong> zutreffende Regel greift. Bei reinen ACCEPT-Regeln ist das egal – sobald du aber
eigene DROP-Regeln einsetzt, achte auf die Reihenfolge relativ zu den ACCEPTs.</li>
<li><strong>netcups Default-Policys kennen.</strong> „netcup Mail block&quot; (ausgehendes SMTP auf Port
25/465/587 gesperrt) und „netcup Ping allow&quot; sind vorgegeben. Über <strong>Default Policys
wiederherstellen</strong> kommst du im Notfall auf einen bekannten, funktionierenden
Grundzustand zurück, falls du dich mit eigenen Regeln ausgesperrt hast – zusammen mit
der VNC-Konsole dein zweites Sicherheitsnetz.</li>
</ul>
]]></content:encoded></item></channel></rss>