.svg)
.svg)
Gilt für: LifeinCloud Cloud VPS (Ubuntu/Debian mit UFW oder nftables, CentOS/AlmaLinux/RHEL mit firewalld)
• Beliebige App/Ports (SSH, HTTP/HTTPS, Datenbanken, Gameserver usw.)
So prüfen Sie, welche Ports offen sind – und wo sie gefiltert werden
Auf einem LifeinCloud VPS gibt es in der Regel zwei Ebenen der Netzwerkfilterung:
- Cloud-Firewall (Kontrollpanel) — sitzt vor Ihrem VPS. Wenn ein Port hier blockiert ist, erreicht der Datenverkehr Ihr Betriebssystem nicht.
- OS-Firewall — innerhalb Ihres VPS (UFW/iptables/nftables oder firewalld), die Pakete filtert, die den Server doch erreichen.
Wichtig: Die Cloud-Firewall im LifeinCloud-Kontrollpanel ist für jede neue Bereitstellung standardmäßig DEAKTIVIERT. Solange Sie sie nicht aktivieren und Regeln hinzufügen, blockiert sie keine Ports.
- Schnell-Checkliste (kopieren & ausführen)
- Open vs Closed vs Filtered
- Schritt 1 — Cloud-Firewall prüfen
- Schritt 2 — Laufende Dienste im VPS prüfen
- Schritt 3 — Firewall-Regeln im Betriebssystem prüfen
- Schritt 4 — Von außen testen (Sicht der Welt)
- Schritt 5 — Lokal/im VPS testen
- Ergebnisse richtig lesen & Ebene bestimmen
- Häufige Beispiele (SSH, Web, Datenbanken, Spieleports)
- Hinweise zum UDP-Test
- Fehlerbehebungstabelle
- Sicherheits-Best Practices
- Anhang: Nützliche Befehle
Schnell-Checkliste (kopieren & ausführen)
- Stellen Sie sicher, dass die Cloud-Firewall deaktiviert ist (Standard) oder – falls aktiviert – den getesteten Port/die IP erlaubt.
- Im VPS prüfen, ob der Dienst lauscht:
sudo ss -tulpen | grep -E ':22|:80|:443|:3306|:5432|:25565' || sudo ss -tulpen - Die OS-Firewall prüfen:
- Ubuntu/Debian (UFW):
sudo ufw status verbose - RHEL/CentOS/AlmaLinux (firewalld):
sudo firewall-cmd --get-active-zones sudo firewall-cmd --list-all - Raw iptables/nftables (falls zutreffend):
sudo iptables -L -n -v sudo nft list ruleset
- Ubuntu/Debian (UFW):
- Von Ihrem lokalen Rechner oder einem anderen Server Ports scannen:
# Gängige TCP-Ports nmap -Pn -p 22,80,443 YOUR_VPS_IP - Falls nötig, schnellen TCP-Verbindungstest durchführen:
# Linux/macOS nc -vz YOUR_VPS_IP 22 nc -vz YOUR_VPS_IP 443
Open vs Closed vs Filtered
- Open (offen) — ein Prozess lauscht und die Firewall erlaubt es. Scans zeigen open.
- Closed (geschlossen) — kein Prozess lauscht, aber Host/Netzwerk antwortet. Scans zeigen closed.
- Filtered (gefiltert) — eine Firewall verwirft die Anfrage (keine Antwort). Oft durch Cloud-Firewall oder OS-Firewall verursacht.
Schritt 1 — Cloud-Firewall prüfen (Kontrollpanel)
Im LifeinCloud-Kontrollpanel unter Networking → Firewall Ihres VPS prüfen:
- Standard: Cloud-Firewall ist bei neuen Servern deaktiviert. Hier wird nichts blockiert, bis Sie sie aktivieren.
- Wenn aktiviert, müssen Sie Eingangsregeln für benötigte Ports hinzufügen (z. B. 22, 80, 443) und möglichst nach Quell-IPs einschränken.
Schritt 2 — Laufende Dienste im VPS prüfen
Mit ss (oder netstat) prüfen, ob Ihre Anwendung lauscht und auf der erwarteten Schnittstelle (0.0.0.0/:: für alle oder spezifische IP).
sudo ss -tulpen
# Wichtige Spalten:
# Local Address:Port → welcher Port und Interface (0.0.0.0 = alle IPv4, [::] = alle IPv6)
# Process/PID → welcher Dienst gebunden ist (z. B. sshd, nginx, java, docker-proxy)Wenn Sie nur 127.0.0.1:PORT sehen, lauscht der Dienst nur lokal und ist extern nicht erreichbar, bis Sie ihn für das öffentliche Interface konfigurieren.
Schritt 3 — Firewall-Regeln im Betriebssystem prüfen
Ubuntu/Debian mit UFW
sudo ufw status verbose
# Typische Ports erlauben (Beispiele)
sudo ufw allow 22/tcp
sudo ufw allow 80,443/tcp
sudo ufw allow 25565/tcp # Minecraft Beispiel
sudo ufw reloadRHEL/CentOS/AlmaLinux mit firewalld
sudo firewall-cmd --state
sudo firewall-cmd --get-active-zones
sudo firewall-cmd --list-all
# Typische Dienste/Ports erlauben (permanent + sofort)
sudo firewall-cmd --add-service=ssh --permanent
sudo firewall-cmd --add-service=http --permanent
sudo firewall-cmd --add-service=https --permanent
sudo firewall-cmd --add-port=25565/tcp --permanent
sudo firewall-cmd --reloadRaw iptables/nftables (direkt genutzt)
# iptables (Legacy-Ansicht)
sudo iptables -L -n -v
# nftables (modern)
sudo nft list rulesetSchritt 4 — Von außen testen (Sicht der Welt)
Von Ihrem Laptop oder einem anderen Server ausführen. YOUR_VPS_IP und Portliste anpassen.
# Schneller Check gängiger Ports (Web/SSH)
nmap -Pn -p 22,80,443 YOUR_VPS_IPTipp: Bei Rate-Limits aggressiven Scan verlangsamen: nmap --max-rate 50 -Pn -p 1-1024 YOUR_VPS_IP.
Schritt 5 — Lokal und im VPS testen
Falls externe Tests fehlschlagen, Grundkonnektivität im VPS prüfen:
# Loopback-Test (Dienst muss lauschen)
curl -I http://127.0.0.1:80
nc -vz 127.0.0.1 80Wenn Loopback funktioniert, aber öffentliche IP fehlschlägt: Dienst lauscht nur auf localhost oder OS-/Cloud-Firewall blockiert externen Zugriff.
Ergebnisse richtig lesen & Ebene bestimmen
- Dienst lauscht (Schritt 2) + Externer Scan zeigt „filtered“ → wahrscheinlich durch Cloud-Firewall (falls aktiviert) oder OS-Firewall blockiert. Beides prüfen.
- Dienst lauscht + Externer Scan zeigt „closed“ → Pakete erreichen den Host, aber nichts nimmt an → Port/App prüfen, Interface korrekt?
- Dienst lauscht nicht → Anwendung starten/reparieren; Firewall-Änderungen helfen nicht, wenn nichts lauscht.
- Loopback ok, öffentliche IP fehlschlägt → Dienst nur an 127.0.0.1 gebunden oder Firewall blockiert externen Zugriff.
Häufige Beispiele
SSH (22/tcp)
# Im VPS
sudo ss -tulpen | grep ':22'
sudo ufw allow 22/tcp # UFW
sudo firewall-cmd --add-service=ssh --permanent && sudo firewall-cmd --reload # firewalldWeb (80, 443/tcp)
# Im VPS
sudo ss -tulpen | egrep ':80|:443'
sudo ufw allow 80,443/tcp
sudo firewall-cmd --add-service=http --permanent
sudo firewall-cmd --add-service=https --permanent
sudo firewall-cmd --reloadPostgreSQL (5432/tcp)
# Im VPS
sudo ss -tulpen | grep ':5432'
# In postgresql.conf listen_addresses = '*' setzen und pg_hba.conf für Client-IP freigeben
sudo ufw allow 5432/tcp
sudo firewall-cmd --add-port=5432/tcp --permanent && sudo firewall-cmd --reloadMySQL/MariaDB (3306/tcp)
# Im VPS
sudo ss -tulpen | grep ':3306'
sudo ufw allow 3306/tcp
sudo firewall-cmd --add-port=3306/tcp --permanent && sudo firewall-cmd --reloadMinecraft Java (25565/tcp)
# Im VPS
sudo ss -tulpen | grep ':25565'
sudo ufw allow 25565/tcp
sudo firewall-cmd --add-port=25565/tcp --permanent && sudo firewall-cmd --reloadHinweise zum UDP-Test
UDP ist verbindungslos und schwerer zu prüfen. Viele Scanner melden UDP-Ports als „open|filtered“.
# UDP-Scan (langsamer, weniger eindeutig)
nmap -sU -Pn -p 53,123,1194 YOUR_VPS_IPFehlerbehebungstabelle
| Symptom | Wahrscheinlichste Ursache | Maßnahme |
|---|---|---|
| Externer Scan zeigt filtered | Firewall verwirft Pakete (Cloud oder OS) | Cloud-Firewall (falls aktiviert) prüfen; UFW/firewalld-Regeln prüfen und Port erlauben; erneut testen. |
| Externer Scan zeigt closed | Kein Listener auf diesem Port | ss -tulpen prüfen; Dienst starten/reparieren; Lauschen auf richtige IP prüfen. |
| Lokal (127.0.0.1) funktioniert, öffentliche IP nicht | Dienst nur an localhost gebunden oder Firewall blockiert externen Zugriff | Dienst für 0.0.0.0/:: oder öffentliche IP binden; Port in OS-/Cloud-Firewall erlauben. |
| Immer noch blockiert nach Freigabe | Falsche Zone (firewalld) oder falsches Interface | firewall-cmd --get-active-zones prüfen; Regeln in aktiver Zone hinzufügen; neu laden. |
| IPv6 erreichbar, IPv4 nicht (oder umgekehrt) | Dienst/Firewall nur für eine IP-Familie konfiguriert | An beide Familien binden und in Firewall beide erlauben; mit -6/-4 testen. |
Sicherheits-Best Practices
- Auch wenn die Cloud-Firewall standardmäßig deaktiviert ist, sollten Sie sie aktivieren, um nur benötigte Ports/IPs zu erlauben.
- Regeln spiegeln: Falls Cloud-Firewall aktiv, gleiche Regeln auch in der OS-Firewall pflegen für Klarheit und zusätzliche Sicherheit.
- Datenbanken nicht direkt ins Internet exponieren; private Netzwerke, SSH-Tunnel oder VPN nutzen.
- Starke Authentifizierung verwenden (SSH-Keys, MFA im Kontrollpanel), Dienste aktuell halten und ungenutzte Ports schließen.
Anhang: Nützliche Befehle
Tools installieren
# Debian/Ubuntu
sudo apt update && sudo apt install -y nmap netcat-openbsdProzesse auf Port prüfen
# PORT durch zu prüfende Nummer ersetzen
sudo lsof -iTCP:PORT -sTCP:LISTEN -n -P
sudo ss -lptn | grep ":PORT"Nur lauschende Sockets anzeigen (Schnellansicht)
sudo ss -tuln | sed -n '1p; /LISTEN/p'Zusammenfassung: Cloud-Firewall in LifeinCloud prüfen (standardmäßig deaktiviert, außer Sie aktivieren sie), sicherstellen, dass Ihre App auf dem richtigen Interface lauscht, Port in der OS-Firewall freigeben, dann extern mit nmap scannen oder mit nc/Test-NetConnection testen. Die Interpretation von open/closed/filtered zeigt, ob die Sperre auf Cloud-Ebene, OS-Ebene liegt oder gar kein Dienst lauscht.
