Skip to content

Firewall

Konfiguracja firewall

Firewall w Hetzner zapewnia blokadę ruchu z zewnątrz Internetu oraz wewnątrz infrastruktury serwerowni. Dzięki temu nie ma potrzeby instalowania dodatkowych narzędzi firewall na serwerze (np. ufw, iptables, nftables).

Założenia konfiguracyjne:

  • Reguły ustawiane są w panelu Hetzner dla serwera (lub grupy serwerów)
  • Reguły przychodzące definiujemy jawnie (whitelist)
  • Ruch wychodzący pozostaje domyślny (brak dodatkowych reguł)

Konfiguracja reguł przychodzących (Inbound)

Dodajemy regułę dla SSH:

Any IPv4 / Any IPv6 → TCP 22

Opcjonalnie dostęp SSH możemy ograniczyć do:

  • pojedynczego adresu IP (np. adres administratora)
  • określonej podsieci / grupy adresów IP (CIDR)

Przykład ograniczenia dostępu do sieci wewnętrznej dla określone podsieci:

31.182.0.0/16 → TCP 22

Dodajemy reguły dla HTTP i HTTPS:

Any IPv4 / Any IPv6 → TCP 80, 443

Dodajemy regułę dla ICMP (ping):

Any IPv4 / Any IPv6 → ICMP

Konfiguracja reguł wychodzących (Outbound)

Nie dodajemy reguł. Pozostawiamy domyślne ustawienia (ruch wychodzący dozwolony).

Testowanie firewall po instalacji aplikacji

Sprawdzamy, czy port jest nasłuchiwany na serwerze:

sudo ss -tulpn | grep 9443

Wykonujemy test połączenia z komputera lokalnego w Windows PowerShell:

Test-NetConnection 138.199.151.222 -Port 9443

Uwagi utrzymaniowe

  • Otwieramy wyłącznie porty, które są faktycznie używane
  • Dla usług administracyjnych (np. SSH) rozważamy ograniczenie źródeł do zaufanych adresów IP
  • Po wdrożeniu nowej usługi weryfikujemy nasłuch na hoście oraz dostępność z zewnątrz