In diesem Artikel erfahren Sie mehr:
- Wie sich WGP auf den Datenverkehr zu Ihrem Ursprungsserver auswirkt
- So lassen Sie WGP-IP-Adressen auf Ihrem Ursprungsserver zu
- Beispiele für die Konfiguration Ihrer Firewall
- Warum Sie den gesamten übrigen Datenverkehr blockieren sollten
- So überprüfen Sie Ihre Konfiguration
- So halten Sie die IP-Liste auf dem neuesten Stand
- Häufig gestellte Fragen
Datenverkehr zu Ihrem Ursprungsserver
Wenn Ihre Domain durch WEDOS Protection (WGP) geschützt ist, wird der gesamte Web-Traffic über unser Proxy-Netzwerk geleitet, bevor er Ihren Ursprungsserver erreicht. Aus diesem Grund nimmt Ihr Ursprungsserver den eingehenden Traffic anders wahr:
- Die tatsächlichen IP-Adressen der Besucher sind nicht direkt einsehbar. Stattdessen scheint der gesamte Datenverkehr von WEDOS Global-IP-Adressen zu stammen.
- Große Mengen an Anfragen gehen von einer kleinen Anzahl von IP-Adressen ein. Sicherheitswerkzeuge (Firewalls, Hosting-Schutzmaßnahmen, Plugins) können:
- Diese IP-Adressen sperren
- Ratenbegrenzungen anwenden
- Als verdächtig markieren
Sollte Ihr Ursprungsserver aus irgendeinem Grund IP-Adressen von WEDOS Global blockieren, ist Ihre Website für alle Besucher nicht mehr erreichbar.
WEDOS-Global-IP-Adressen zulassen
Um sicherzustellen, dass Ihre Website ordnungsgemäß funktioniert, stellen Sie bitte sicher, dass Sie auf Ihrem Ursprungsserver stets den Datenverkehr aus den IP-Bereichen von WEDOS Global zulassen.
Die vollständige Liste finden Sie hier:
Dies lässt sich in der Regel unter folgendem Pfad konfigurieren:
- Die .htaccess-Datei Ihrer Website
- Server-Firewall (iptables, ufw, firewalld)
- Webserver-Konfiguration (Apache, Nginx)
- Cloud-Firewall (AWS-Sicherheitsgruppen usw.)
Beispiele für Firewall-Konfigurationen
Die folgenden Beispiele zeigen, wie eingehender Datenverkehr auf den Ports 80 und 443 ausschließlich aus den IP-Bereichen von WEDOS.global zugelassen werden kann. Dies sind Ausgangspunkte, die an die jeweilige Umgebung, die Konfiguration und die bestehenden Firewall-Regeln angepasst werden sollten. Ersetzen Sie in allen Beispielen die Platzhalter für die IP-Bereiche durch die aktuellen Einträge vonhttps://ips.wedos.global/ips.json oder https://ips.wedos.global/ips.txt.
iptables
# Datenverkehr auf den Ports 80 und 443 aus den IP-Bereichen von WEDOS.global zulassen
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 1.2.3.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 5.6.7.0/24 -j ACCEPT
# Den gesamten übrigen Datenverkehr auf den Ports 80 und 443 verwerfen
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j DROP
Verwenden Sie für IPv6„ip6tables“mit den entsprechenden IPv6-Adressbereichen aus der IP-Liste.
nftables
table inet filter {
set wedos_ips_v4 {
type ipv4_addr
flags interval
elements = { 1.2.3.0/24, 5.6.7.0/24 }
}
set wedos_ips_v6 {
type ipv6_addr
flags interval
elements = { 2a02:2b88::/32 }
}
chain input {
type filter hook input priority 0; policy drop;
tcp dport { 80, 443 } ip saddr @wedos_ips_v4 accept
tcp dport { 80, 443 } ip6 saddr @wedos_ips_v6 accept
}
}
Direkten Zugriff auf Ihre Quelle blockieren
Um maximale Sicherheit zu gewährleisten, sollten Sie außerdem den gesamten übrigen eingehenden Datenverkehr zu Ihrem Webserver blockieren. Der Grund dafür ist, dass ein Angreifer, sollte Ihre Ursprungs-IP-Adresse durch historische DNS-Einträge, E-Mail-Header, direkte Scans oder andere Techniken bekannt werden, Datenverkehr direkt an Ihren Server senden und dabei WGP sowie dessen WAF, Ratenbegrenzung und DDoS-Schutz umgehen kann.
Daher empfiehlt es sich:
- Lassen Sie nur IP-Bereiche von WEDOS Global und Ihre eigenen vertrauenswürdigen IP-Adressen zu (z. B. für den Admin-Zugang und Überwachungstools)
- Den gesamten übrigen Datenverkehr auf den Ports 80 (HTTP) und 443 (HTTPS) blockieren
Überprüfen Sie die Konfiguration
Überprüfen Sie nach dem Anwenden der IP-Einschränkungen, ob der Ursprungsserver ordnungsgemäß geschützt ist:
- Rufen Sie die Website über die öffentliche Domain auf. Die Seite sollte normal geladen werden, da der Datenverkehr vom WGP-Proxy weitergeleitet wird.
- Versuchen Sie, von einem externen Netzwerk aus eine direkte Verbindung zur IP-Adresse des Ursprungsservers herzustellen. Die Verbindung sollte abgelehnt werden oder es sollte zu einer Zeitüberschreitung kommen.
- Überprüfen Sie die Protokolle des Ursprungsservers, um sicherzustellen, dass eingehende Anfragen ausschließlich aus den IP-Bereichen von WEDOS.global stammen.
Falls direkte Verbindungen zum Ursprungsserver weiterhin funktionieren, überprüfen Sie die Konfiguration der Firewall und des Webservers, um sicherzustellen, dass die IP-Liste von WEDOS.global korrekt angewendet wird und keine widersprüchlichen Regeln mehr vorhanden sind.
Halten Sie die IP-Zulassungsliste auf dem neuesten Stand
Die IP-Liste von WEDOS.global kann erweitert werden, sobald neue Proxy-Knoten zum Anycast-Netzwerk hinzugefügt werden. Um Dienstunterbrechungen zu vermeiden, sollte die Konfiguration des Ursprungsservers stets mit der offiziellen Liste synchronisiert werden.
Es wird empfohlen, einen automatisierten Aktualisierungsprozess einzurichten, der:
- Lädt regelmäßig ein- bis zweimal täglich die aktuellste Datei „ips.json“ oder „ips.txt“ herunter.
- Aktualisieren Sie die Zulassungsliste der Firewall oder des Webservers entsprechend.
- Lädt den entsprechenden Dienst neu, um die Änderungen ohne Ausfallzeit zu übernehmen.
Manuelle Aktualisierungen sind zwar möglich, bergen jedoch das Risiko veralteter Konfigurationen, was dazu führen kann, dass legitimer Proxy-Datenverkehr blockiert wird.
FAQ
Ich nutze Shared Hosting, daher kann ich die Firewall-Regeln nicht selbst konfigurieren. Was soll ich tun?
Selbst bei Shared Hosting können Sie häufig eigene Anpassungen an Sicherheits-Plugins vornehmen, beispielsweise an WordPress-Firewall-Plugins.
Falls die IP-Adressen von WEDOS Global durch die Schutzmaßnahmen Ihres Hosting-Anbieters blockiert werden, wenden Sie sich bitte an dessen Support und bitten Sie darum, die IP-Adressen von WEDOS Global auf die Whitelist zu setzen.