Minecraft Server IP verstecken: Komplettanleitung

Warum das Verstecken der Server-IP wichtig ist

Wenn ein Angreifer die IP eures Servers kennt, kann er ihn direkt mit Traffic fluten. Kein Cloudflare auf der Website, kein Server-Plugin hilft, wenn ein UDP-Flood direkt auf eure Adresse trifft. Der Server geht down, der Hoster sperrt eventuell die Maschine, und die Spieler verschwinden.

Die echte IP zu verstecken ist keine Paranoia, sondern grundlegende Hygiene. Genauso wie man sein Root-Passwort nicht veroeffentlicht. Wenn die IP unbekannt ist, gibt es nichts zum Angreifen.

Wie Angreifer eure IP finden

Bevor ihr die IP versteckt, muesst ihr verstehen, wo sie ueberall durchsickert.

DNS-Historie

Der haeufigste Fall. Ihr kauft eine Domain, richtet den A-Record zuerst auf den echten Server, dann schaltet ihr spaeter Proxy-Schutz dazu. Aber der alte Record bleibt in der DNS-Historie gespeichert. Dienste wie SecurityTrails, ViewDNS.info oder DNSHistory speichern alle Aenderungen. Ein Angreifer schaut einfach nach, welche IP vorher eingetragen war.

Shodan und Censys

Diese Suchmaschinen scannen das gesamte Internet und indexieren offene Ports. Wenn euer Server auf Port 25565 antwortet, findet Shodan ihn. Eine einfache Suche nach MOTD oder Servername liefert eure IP.

Discord und Foren

Ein Klassiker. Jemand postet die IP in einem Discord-Kanal, in einem Forum oder einer Minecraft-Serverliste. Selbst wenn ihr spaeter hinter einen Proxy gezogen seid, die alte IP ist bereits oeffentlich.

Direktverbindungen und Logs

Wenn ihr Spielern jemals eine direkte IP (keine Domain) gegeben habt, hat sich diese IP ueber deren Clients verbreitet. Die Serverhistorie im Launcher bleibt jahrelang erhalten. Manche Plugins und Mods leaken die Server-IP auch in Anfragen an externe APIs.

Control Panels und Websites

Admins hosten oft ihr Panel (Pterodactyl, AMP, Multicraft) auf derselben IP wie den Gameserver. Oder eine Website auf demselben Host. Der Webserver antwortet auf Port 80/443, Shodan sieht ihn und verknuepft ihn mit eurem Server.

Grundprinzip: Domain + Reverse Proxy

Die Idee ist simpel. Spieler verbinden sich mit einer Domain (z.B. play.yourserver.com), nicht mit einer IP. Die Domain zeigt nicht auf euren echten Server, sondern auf einen Proxy. Der Proxy nimmt den Traffic an, filtert ihn und leitet sauberen Traffic an euren echten Server weiter.

Nur der Proxy kennt die echte IP. Spieler sehen nur die Proxy-IP. Ein Angreifer kann den Proxy DDoSen, aber dafuer ist der Proxy-Dienst zustaendig.

So funktioniert MineGuard und aehnliche Schutzdienste. Ihr bekommt eine geschuetzte Adresse, richtet eure Domain darauf, und die echte IP bleibt verborgen.

DNS einrichten: A, CNAME und SRV Records

Hier kommen viele durcheinander, also gehen wir es Schritt fuer Schritt durch.

A-Record

Ein A-Record verknuepft eine Domain mit einer IP-Adresse:

play.yourserver.com → 104.167.24.91 (Proxy-IP)

Das ist die Basis. Der A-Record muss auf die Proxy-IP zeigen, niemals auf den echten Server.

CNAME-Record

Ein CNAME ist ein Alias, der auf eine andere Domain zeigt. Manche Proxy-Dienste geben euch statt einer IP eine Domain:

play.yourserver.com → CNAME → yourserver.proxy-service.com

CNAME ist praktisch, weil ihr nichts aendern muesst, wenn der Proxy-Dienst seine IP wechselt. Allerdings kann CNAME nicht auf der Root-Domain gesetzt werden (yourserver.com ohne Subdomain), nur auf Subdomains wie play.yourserver.com.

SRV-Record

Ein SRV-Record ermoeglicht die Angabe eines bestimmten Ports. Der Minecraft-Client sucht automatisch nach SRV-Records:

_minecraft._tcp.yourserver.com → SRV → 0 5 25565 play.yourserver.com

Das bedeutet: "Um sich mit yourserver.com per Minecraft zu verbinden, nutze play.yourserver.com auf Port 25565". Der Spieler tippt einfach yourserver.com ein und verbindet sich.

Empfohlenes Setup

Fuer die meisten Server ist das optimale Schema:

1. A-Record play.yourserver.com → Proxy-IP
2. SRV-Record _minecraft._tcp.yourserver.com → play.yourserver.com:25565

Spieler verbinden sich einfach ueber yourserver.com, und die echte IP bleibt hinter dem Proxy verborgen.

Auf IP-Leaks pruefen

Nach der Einrichtung unbedingt sicherstellen, dass die echte IP nirgends sichtbar ist.

SecurityTrails

Geht auf securitytrails.com, gebt eure Domain ein. Prueft die DNS-Record-Historie. Wenn eure echte IP dort steht, wurde sie moeglicherweise schon gesehen. Die gute Nachricht: wenn ihr die IP nach dem Proxy-Setup gewechselt habt, fuehren alte Records ins Leere.

Shodan

Geht auf shodan.io, gebt eure echte IP ein. Wenn Shodan einen offenen Port 25565 sieht und die MOTD eures Servers zeigt, ist das ein Problem. Der Port muss fuer alle ausser der Proxy-IP geschlossen werden.

Versucht auch, in Shodan nach MOTD oder Servername zu suchen. Wenn es Ergebnisse gibt, antwortet euer Server jedem.

nslookup und dig

Prueft, ob die DNS-Records richtig zeigen:

nslookup play.yourserver.com
dig +short play.yourserver.com
dig SRV _minecraft._tcp.yourserver.com

Stellt sicher, dass eure echte IP nicht in der Antwort steht. Nur die Proxy-IP.

Haeufige Fehler, die den Schutz zunichte machen

Fehler 1: A-Record auf echte IP

Der haeufigste Fehler. Ihr habt den Proxy fuer play.yourserver.com eingerichtet, aber die Root-Domain yourserver.com oder die www-Subdomain zeigt immer noch auf die echte IP.

Loesung: Jeder DNS-Record muss auf den Proxy oder ein separates Hosting zeigen. Kein Record darf zur Gameserver-IP fuehren.

Fehler 2: Panel auf derselben IP

Pterodactyl, AMP oder ein anderes Panel auf derselben IP wie der Server. Das Panel laeuft auf Port 80 oder 443, Shodan sieht es, IP aufgedeckt.

Loesung: Hostet das Panel auf einem separaten Server oder zumindest hinter Cloudflare. Wenn das Panel auf demselben Host ist, blockiert die Ports 80/443 extern per Firewall und nutzt VPN oder SSH-Tunnel fuer die Verwaltung.

Fehler 3: E-Mail vom selben Server

Wenn auf eurer Domain Mail konfiguriert ist und der MX-Record auf dieselbe IP zeigt, kann jeder die echte IP aus den E-Mail-Headern ermitteln.

Loesung: Keine Mail auf der Gameserver-IP nutzen. Stattdessen einen externen Mail-Dienst verwenden (Gmail, Mailgun).

Fehler 4: Server akzeptiert Verbindungen von jedem

Selbst hinter einem Proxy - wenn euer Server auf Port 25565 jedem antwortet, der sich verbinden will, kann er durch Scanning gefunden werden. Shodan scannt ganz IPv4 in Stunden.

Loesung: Konfiguriert eure Firewall so, dass Port 25565 nur fuer die Proxy-IPs offen ist. Alles andere wird gedroppt.

# iptables Beispiel
iptables -A INPUT -p tcp --dport 25565 -s PROXY_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 25565 -j DROP
iptables -A INPUT -p udp --dport 25565 -s PROXY_IP -j ACCEPT
iptables -A INPUT -p udp --dport 25565 -j DROP

Fuer MineGuard findet ihr die Proxy-IP-Liste im Control Panel.

Fehler 5: Plugin-Leaks

Manche Plugins (Dynmap, BlueMap, Votifier, Analytics-Tracker) oeffnen zusaetzliche Ports oder senden Anfragen an externe APIs, die die IP preisgeben.

Loesung: Prueft alle offenen Ports auf eurem Server (ss -tlnp). Schliesst alles Unnoetige. Dynmap und Webkarten ueber Cloudflare auf einer separaten Subdomain proxyen.

Was tun, wenn die IP bereits geleakt ist

Wenn eure echte IP bereits oeffentlich ist, bringt Verstecken nichts mehr. Ihr braucht eine neue IP.

Option 1: Neue IP vom Hoster

Fragt euren Hosting-Anbieter nach einem IP-Wechsel. Manche machen es kostenlos, manche gegen eine kleine Gebuehr. Nach dem Wechsel alles sofort richtig einrichten: Firewall, Proxy, DNS.

Option 2: Auf neuen Server umziehen

Wenn der Hoster die IP nicht wechselt, zieht auf einen anderen Server um. Ja, das ist umstaendlich, aber es ist die einzige zuverlaessige Option.

Option 3: GRE/IP-Tunnel

Eine fortgeschrittene Option. Ihr bekommt eine neue IP ueber einen GRE-Tunnel vom Proxy-Dienst, und die echte Server-IP wird gar nicht fuer Game-Traffic verwendet.

Nach dem IP-Wechsel

1. DNS-Records aktualisieren (nur auf Proxy)
2. Firewall auf der neuen IP konfigurieren
3. Die neue IP nirgends veroeffentlichen
4. Nach 2-3 Tagen ueber Shodan pruefen, dass die neue IP nicht sichtbar ist
5. Die alte IP aus allen Monitorings, DNS-Records und Configs entfernen

Schritt-fuer-Schritt Checkliste

Hier ist ein konkreter Aktionsplan:

• Domain gekauft und konfiguriert. Spieler verbinden sich per Domain, nicht per IP.
• Proxy-Schutz aktiv. DNS-Records zeigen auf den Proxy (MineGuard oder aehnlich), nicht auf den echten Server.
• Firewall konfiguriert. Port 25565 (und andere Game-Ports) nur fuer Proxy-IPs offen.
• Keine DNS-Leaks. Alle Subdomains geprueft, keine zeigt auf die echte IP.
• Keine Shodan-Leaks. Echte IP antwortet nicht auf Port 25565 bei externen Scans.
• Panels auf separatem Host. Pterodactyl, AMP usw. nicht auf der Server-IP (oder Ports geschlossen).
• E-Mail ueber externen Dienst. MX-Records fuehren nicht zur Server-IP.
• Plugins geprueft. Dynmap, Votifier usw. legen die IP nicht offen.
• IP nirgends veroeffentlicht. In Discord, Foren, Serverlisten - nur die Domain.
• SSH-Zugang eingeschraenkt. Port 22 nur von eigenen IPs oder per VPN erreichbar.

Fazit

Die IP zu verstecken ist keine einmalige Aktion, sondern ein fortlaufender Prozess. Jedes Mal, wenn ihr die Serverkonfiguration aendert, ein Plugin oder eine Subdomain hinzufuegt, muesst ihr auf neue Leak-Punkte pruefen.

Die Hauptregel: Niemand sollte eure echte Server-IP kennen ausser euch und dem Proxy-Dienst. Befolgt die Checkliste oben, und eure IP zu finden wird praktisch unmoeglich, was bedeutet, dass ein direkter Angriff auf euren Server auch nicht funktioniert.