netcup-Firewall im SCP einrichten (mit stateless-UDP-Kniff)
Die netcup-Firewall als Netzwerk-Schutz vor dem Server einrichten: komponierbare Policy-Templates im SCP – mit dem Kniff für stateless UDP (DNS & NTP).
Inhaltsverzeichnis
netcup bringt eine Firewall schon vor deinem Server mit – im Server Control Panel, noch bevor ein Paket das Betriebssystem erreicht. Richtig gebaut ist sie ein starker Schutzschild. Es gibt dabei aber einen Kniff, an dem viele scheitern: Die netcup-Firewall ist bei UDP zustandslos. Dieses Tutorial zeigt dir eine saubere, wiederverwendbare Firewall – und warum DNS und NTP sonst plötzlich klemmen.
Was bauen wir?
Wir bauen im netcup SCP eine Netzwerk-Firewall aus komponierbaren Policy-Templates: ein Basis-Template (das jeder Server braucht), eins für SSH und eins für Web (HTTP/HTTPS). Diese Bausteine weist du deinem Server nach Bedarf zu – ein Webserver bekommt Basis + SSH + Web, ein Server ohne Website nur Basis + SSH. Am Ende ist eingehend alles gesperrt außer dem, was du bewusst erlaubst.
Ein netcup-spezifisches Detail macht dabei den Unterschied: Bei UDP arbeitet die Firewall zustandslos – weshalb Dienste wie DNS und NTP eine eigene Eingangs-Regel brauchen, sonst klemmen sie plötzlich. Warum das so ist und wie das Basis-Template es löst, zeigt Schritt 2.
Netzwerk-Firewall ≠ Host-Firewall
Voraussetzungen
- Ein netcup-Server, z. B. dein erster VPS.
- Deine SCP-Zugangsdaten (Kundennummer + SCP-Passwort aus der netcup-Willkommensmail – andere als dein SSH-Login).
- Klarheit über deinen SSH-Port: Standard ist
22. Hast du ihn beim SSH-Absichern verlegt, nimm deinen echten Port – sonst sperrst du dich beim Aktivieren aus.
VPS 1000 G12
4 vCore · 8 GB RAM · 256 GB NVMe
ab 10,36 €/Monat
Die Firewall ist bei jedem netcup-Server im SCP inklusive.
Schritt für Schritt
Schritt 1: Firewall Policys im SCP öffnen
Melde dich im Server Control Panel an und öffne oben den Menüpunkt Firewall Policys. Hier legst du wiederverwendbare Regelsätze („Policys") an – unabhängig vom einzelnen Server. Erst später weist du sie zu.
Schritt 2: Das Basis-Template bauen
Klick auf Firewall Policy erstellen, vergib den Namen Serverküche Basis und lege über
Regel hinzufügen diese vier Regeln an – alle EINGEHEND und ACCEPT:
| Beschreibung | Protokoll | Quell-Port (Src) | Ziel-Port (Dst) |
|---|---|---|---|
| DNS-Antworten (stateless) | UDP | 53 | beliebig |
| NTP-Antworten (stateless) | UDP | 123 | beliebig |
| ICMP (Ping/PMTU) | ICMP | – | – |
| ICMPv6 (Neighbor Discovery) | ICMPv6 | – | – |

Zwei Dinge, die hier den Unterschied machen:
- DNS/NTP über den
Src Port, nicht den Ziel-Port. Dein Server fragt DNS/NTP an (ausgehend); die Antwort kommt von Port 53 bzw. 123 zurück. Weil UDP zustandslos ist, brauchst du diese Eingangs-Regel – sonst gibt es keine Namensauflösung und keine Zeitsynchronisation, obwohl „alles andere" zu funktionieren scheint. - ICMPv6 nie vergessen. Ohne Neighbor Discovery bricht IPv6 komplett. ICMP (v4) dazu ist für Ping und die Pfad-MTU-Erkennung sinnvoll. netcups Default-Policy „Ping allow" deckt ICMP zwar schon ab – im Basis-Template steht es bewusst nochmal drin, damit dein Fundament auch dann vollständig bleibt, wenn du die netcup-Defaults einmal entfernst.
Sobald eine Regel da ist, sperrt netcup den Rest automatisch
Nutzt dein Server DHCP?
iface … inet static) – dann ist
hier nichts zu tun. netcups Netz betreibt zwar einen DHCP-Server, aber weil UDP zustandslos
ist, wird die DHCP-Antwort (Quell-Port 67) von der Whitelist verworfen. Ist dein
Server ausnahmsweise per DHCP konfiguriert, ergänze im Basis-Template
EINGEHEND · UDP · ACCEPT · Src 67 (für DHCPv6 zusätzlich Src 547) – sonst verliert er
bei der nächsten Lease-Erneuerung seine IP.Schritt 3: Kleine Bausteine für SSH und Web
Statt eines großen Regel-Monolithen legst du atomare Templates an, die du frei kombinierst. Erstelle nach demselben Muster zwei weitere Policys:
Serverküche SSH– eine Regel: EINGEHEND, TCP, ACCEPT, Ziel-Port 22.Serverküche Web– zwei Regeln: EINGEHEND, TCP, ACCEPT, Ziel-Port 80 und 443.

Der Gewinn: Die Basis-Regeln stehen nur einmal da, nicht in jeder Policy dupliziert. Kommt später ein Dienst dazu (z. B. ein Mailserver oder WireGuard), baust du dafür ein weiteres kleines Template und steckst es dazu – ohne die bestehenden anzufassen.
Schritt 4: Templates dem Server zuweisen
Wechsle zu Server → deinen Server → Reiter „Firewall" und klick auf Firewall Policys
editieren. Schieb aus Verfügbare Firewall Policys die passenden nach Ausgewählte:
für einen Webserver Serverküche Basis + Serverküche SSH + Serverküche Web.

Bestätige mit Übernehmen und dann Speichern. Prüfe, dass der Schalter „Firewall aktiv" eingeschaltet ist. Die zugewiesenen Regeln erscheinen jetzt in der Liste – zusammen mit netcups Default-Policys (dazu unten mehr).

Nicht aussperren
Wenn es nicht funktioniert
Symptom: Nach dem Aktivieren geht keine Namensauflösung mehr (apt update hängt,
ping domain.de scheitert, aber ping 1.1.1.1 geht).
Ursache & Lösung: Die DNS-Antworten werden geblockt. Prüfe im Basis-Template die Regel EINGEHEND UDP ACCEPT, Src-Port 53. Wichtig: Quell-Port, nicht Ziel-Port.
Symptom: Die Uhr driftet, oder TLS-Zertifikate werden wegen falscher Zeit abgelehnt.
Ursache & Lösung: Die NTP-Antworten fehlen. Ergänze EINGEHEND UDP ACCEPT, Src-Port 123.
Symptom: IPv6 funktioniert nicht mehr (v4 schon).
Ursache & Lösung: Es fehlt die ICMPv6-Regel. Ohne Neighbor Discovery kann der Server über IPv6 nicht einmal seinen Nachbarn (Router) finden.
Symptom: Du kommst nach dem Aktivieren nicht mehr per SSH rein.
Ursache & Lösung: Die SSH-Regel fehlt oder nennt den falschen Port. Über die VNC-Konsole (SCP → Bildschirm) kommst du trotzdem auf den Server; korrigiere die Policy und speichere neu. Genau dagegen hilft die „zweite Sitzung offen lassen"-Regel oben.
Symptom: Der Server kann keine E-Mails versenden (Port 25 raus geht nicht).
Ursache & Lösung: Das ist kein Fehler deiner Policy, sondern netcups Default-Policy „netcup Mail block" – sie sperrt ausgehendes SMTP (Port 25/465/587) als Spam-Schutz. Für einen echten Mailversand musst du dieses netcup-Template am Server deaktivieren.
Symptom: Der Server läuft zunächst normal und ist nach ein bis zwei Wochen plötzlich offline.
Ursache & Lösung: Nutzt der Server DHCP, wird die Lease-Erneuerung von der Whitelist
geblockt – die DHCP-Antwort kommt von UDP-Quell-Port 67, den keine Regel erlaubt, und
UDP ist zustandslos. Ergänze EINGEHEND · UDP · ACCEPT · Src 67 im Basis-Template.
Statisch konfigurierte netcup-VPS (der Standard) sind davon nicht betroffen.
Wartung & Backups
- Nach jeder Änderung den Zugang testen. Firewall-Regeln sind der klassische Weg, sich selbst auszusperren. Zweite Sitzung offen halten, neue Verbindung prüfen, erst dann fertig.
- Neue Dienste = neues Template. Brauchst du später einen weiteren Port (Game-Server, WireGuard-VPN über UDP, Datenbank), leg ein kleines eigenes Template an und weise es zusätzlich zu. Die bestehenden Bausteine bleiben unberührt.
- Reihenfolge beachten. netcup wertet die Regeln von oben nach unten aus; die erste zutreffende Regel greift. Bei reinen ACCEPT-Regeln ist das egal – sobald du aber eigene DROP-Regeln einsetzt, achte auf die Reihenfolge relativ zu den ACCEPTs.
- netcups Default-Policys kennen. „netcup Mail block" (ausgehendes SMTP auf Port 25/465/587 gesperrt) und „netcup Ping allow" sind vorgegeben. Über Default Policys wiederherstellen kommst du im Notfall auf einen bekannten, funktionierenden Grundzustand zurück, falls du dich mit eigenen Regeln ausgesperrt hast – zusammen mit der VNC-Konsole dein zweites Sicherheitsnetz.
Feedback per E-Mail: feedback@serverkueche.de
Das könnte dir auch schmecken

netcup Snapshots & das Server Control Panel (SCP)
netcup Server Control Panel & Snapshots richtig nutzen: ein Sicherheitsnetz vor riskanten Änderungen – und warum es kein …

Eine Domain mit dem Server verbinden (DNS-Grundlagen)
A- und AAAA-Records, TTL und Propagation verständlich erklärt: So zeigt deine eigene Domain auf deinen Server – die …

Firewall mit UFW einrichten
Mit UFW in wenigen Minuten eine Host-Firewall aufsetzen: alles blocken außer SSH, HTTP und HTTPS – ohne dich dabei …