← Zurück zum Glossar
websicherheit

CIDR

Classless Inter-Domain Routing — eine kompakte Schreibweise für IP-Adressbereiche, die in Firewall-Regeln, IP-Blocking und Netzwerk-Konfigurationen verwendet wird.

Aktualisiert: 23. Februar 2026

Was ist CIDR?

CIDR steht für Classless Inter-Domain Routing und bezeichnet einerseits ein Verfahren zur effizienten Zuteilung von IP-Adressen im Internet, andererseits — im Security-Kontext relevanter — eine Schreibweise für IP-Adressbereiche. Statt eine lange Liste von IP-Adressen aufzuführen, beschreibt eine CIDR-Notation wie 192.168.1.0/24 mit einem einzigen Eintrag alle 256 Adressen im Bereich 192.168.1.0 bis 192.168.1.255.

Für Server-Administratoren und WordPress-Betreiber ist CIDR allgegenwärtig: in Firewall-Regeln (iptables, nftables, Cloudflare), in IP-Blocklisten (CrowdSec, fail2ban), in Docker-Netzwerk-Konfigurationen und bei der Einrichtung von IP-Whitelists oder -Blacklists.

Kurzprofil CIDR

Kurzprofil CIDR

  • Typ: Netzwerktechnisches Konzept / Notation
  • Eingeführt: 1993 (RFC 1518, RFC 1519)
  • Anwendung: Firewall-Regeln, IP-Blocking, Routing, Docker-Netzwerke
  • Beispiel: 10.0.0.0/8 = alle IP-Adressen von 10.0.0.0 bis 10.255.255.255
  • Relevanz für Security: IP-Ranges effizient blockieren oder freigeben

Wie funktioniert CIDR?

Eine IP-Adresse besteht aus 32 Bits (IPv4). Die CIDR-Notation fügt hinter die IP-Adresse einen Schrägstrich und eine Zahl, die angibt, wie viele der 32 Bits den Netzwerk-Teil festlegen. Die übrigen Bits können frei variieren — das sind die Hostadressen im Netzwerk.

Beispiele:

CIDR-NotationNetzmaskeAnzahl AdressenBereich
192.168.1.1/32255.255.255.2551Genau diese eine IP
192.168.1.0/24255.255.255.0256192.168.1.0 – 192.168.1.255
192.168.0.0/16255.255.0.065.536192.168.0.0 – 192.168.255.255
10.0.0.0/8255.0.0.016.777.21610.0.0.0 – 10.255.255.255
0.0.0.0/00.0.0.04.294.967.296Alle IPv4-Adressen

Faustregeln:

  • Jede Erhöhung des Prefix-Werts um 1 halbiert die Anzahl der Adressen
  • /32 = eine einzelne IP
  • /24 = typisches Heim- oder Firmennetzwerk (256 Adressen)
  • /16 = großes Netzwerksegment (65.536 Adressen)
  • /0 = gesamtes Internet

Berechnung des Adressbereichs: Die Netzwerk-Bits (die Anzahl die durch den Prefix vorgegeben ist) sind fix, die restlichen Bits können 0 oder 1 sein:

192.168.1.0/24
= 11000000.10101000.00000001.xxxxxxxx
  (die ersten 24 Bits sind fest, die letzten 8 sind frei)
= 192.168.1.0 bis 192.168.1.255

CIDR in der WordPress-Praxis

CIDR-Notationen begegnen WordPress-Betreibern vor allem in diesen Kontexten:

1. IP-Blocking in Firewall-Regeln:

# iptables: Ganzes /24-Netz blockieren
iptables -A INPUT -s 185.220.101.0/24 -j DROP

# CrowdSec: CIDR-Block manuell sperren
docker exec crowdsec cscli decisions add --range 185.220.101.0/24 --duration 24h

2. Docker-Netzwerk-Konfiguration:

# docker-compose.yml
networks:
  traefik-proxy:
    ipam:
      config:
        - subnet: 172.20.0.0/16  # Docker-internes Netzwerk

3. Traefik IP-Whitelist für WordPress-Admin:

# Nur Zugriff auf /wp-admin aus bestimmtem Netz:
http:
  middlewares:
    admin-whitelist:
      ipAllowList:
        sourceRange:
          - "10.0.0.0/8"        # VPN-Bereich
          - "192.168.1.0/24"    # Büronetz

4. Cloudflare-Firewall-Regeln: Im Cloudflare-Dashboard können CIDR-Blöcke blockiert oder herausgefordert werden — besonders nützlich für bekannte DDoS-Herkunfts-Ranges oder Tor-Exit-Nodes.

Bekannte CIDR-Bereiche im Security-Kontext:

Wichtige CIDR-Ranges

Relevante IP-Bereiche

  • 10.0.0.0/8 — Privates Netzwerk (RFC 1918), z.B. WireGuard VPN
  • 172.16.0.0/12 — Privates Netzwerk (Docker verwendet Subnets daraus)
  • 192.168.0.0/16 — Privates Netzwerk (Heimnetz, LAN)
  • 127.0.0.0/8 — Loopback (Localhost)
  • 185.220.100.0/22 — Bekannte Tor-Exit-Nodes (häufig in Blocklisten)
  • 0.0.0.0/0 — Gesamtes Internet (Default-Route)

CIDR und IPv6

IPv6-Adressen sind 128 Bits lang — CIDR funktioniert nach demselben Prinzip, aber die Zahlen sind größer:

2001:db8::/32   = alle IPv6-Adressen mit diesem Präfix
::1/128         = die IPv6-Loopback-Adresse
::/0            = gesamtes IPv6-Internet

Für die meisten WordPress-Betreiber ist IPv6-CIDR im Alltag seltener relevant, aber bei Cloudflare-Regeln und modernen Firewall-Konfigurationen sollte man es kennen.

Häufige Fragen

Wie berechne ich schnell, wie viele IPs ein CIDR-Block enthält? 2^(32 - Prefix) gibt die Anzahl der IPv4-Adressen. /24 → 2^8 = 256. /16 → 2^16 = 65.536. Oder: cidr.xyz bietet einen schnellen Online-Rechner.

Warum blockt CrowdSec manchmal ganze CIDR-Ranges statt einzelner IPs? Angreifer-IPs gehören oft zu Hosting-Providern oder VPN-Diensten, die für Spam, Scanning und DDoS bekannt sind. Wenn viele IPs aus demselben /24-Block als Angreifer auffallen, ist es effizienter, den gesamten Block zu sperren. CrowdSec unterstützt CIDR-Decisions nativ: cscli decisions add --range 185.220.101.0/24.

Kann ich private CIDR-Bereiche für Sicherheitsregeln nutzen? Ja — und es ist empfehlenswert. Ein VPN-Netzwerk (10.0.0.0/8 oder ein spezifisches /24) kann für Admin-Zugriff auf WordPress (/wp-admin) und Server-Management explizit freigeschaltet werden, während alle anderen IPs standardmäßig keinen Zugriff haben. Das reduziert die Angriffsfläche erheblich.

Verwandte Begriffe

DNS
start call_