CIDR
Classless Inter-Domain Routing — eine kompakte Schreibweise für IP-Adressbereiche, die in Firewall-Regeln, IP-Blocking und Netzwerk-Konfigurationen verwendet wird.
Aktualisiert: 23. Februar 2026
Was ist CIDR?
CIDR steht für Classless Inter-Domain Routing und bezeichnet einerseits ein Verfahren zur effizienten Zuteilung von IP-Adressen im Internet, andererseits — im Security-Kontext relevanter — eine Schreibweise für IP-Adressbereiche. Statt eine lange Liste von IP-Adressen aufzuführen, beschreibt eine CIDR-Notation wie 192.168.1.0/24 mit einem einzigen Eintrag alle 256 Adressen im Bereich 192.168.1.0 bis 192.168.1.255.
Für Server-Administratoren und WordPress-Betreiber ist CIDR allgegenwärtig: in Firewall-Regeln (iptables, nftables, Cloudflare), in IP-Blocklisten (CrowdSec, fail2ban), in Docker-Netzwerk-Konfigurationen und bei der Einrichtung von IP-Whitelists oder -Blacklists.
Kurzprofil CIDR
- Typ: Netzwerktechnisches Konzept / Notation
- Eingeführt: 1993 (RFC 1518, RFC 1519)
- Anwendung: Firewall-Regeln, IP-Blocking, Routing, Docker-Netzwerke
- Beispiel:
10.0.0.0/8= alle IP-Adressen von 10.0.0.0 bis 10.255.255.255 - Relevanz für Security: IP-Ranges effizient blockieren oder freigeben
Wie funktioniert CIDR?
Eine IP-Adresse besteht aus 32 Bits (IPv4). Die CIDR-Notation fügt hinter die IP-Adresse einen Schrägstrich und eine Zahl, die angibt, wie viele der 32 Bits den Netzwerk-Teil festlegen. Die übrigen Bits können frei variieren — das sind die Hostadressen im Netzwerk.
Beispiele:
| CIDR-Notation | Netzmaske | Anzahl Adressen | Bereich |
|---|---|---|---|
192.168.1.1/32 | 255.255.255.255 | 1 | Genau diese eine IP |
192.168.1.0/24 | 255.255.255.0 | 256 | 192.168.1.0 – 192.168.1.255 |
192.168.0.0/16 | 255.255.0.0 | 65.536 | 192.168.0.0 – 192.168.255.255 |
10.0.0.0/8 | 255.0.0.0 | 16.777.216 | 10.0.0.0 – 10.255.255.255 |
0.0.0.0/0 | 0.0.0.0 | 4.294.967.296 | Alle IPv4-Adressen |
Faustregeln:
- Jede Erhöhung des Prefix-Werts um 1 halbiert die Anzahl der Adressen
/32= eine einzelne IP/24= typisches Heim- oder Firmennetzwerk (256 Adressen)/16= großes Netzwerksegment (65.536 Adressen)/0= gesamtes Internet
Berechnung des Adressbereichs: Die Netzwerk-Bits (die Anzahl die durch den Prefix vorgegeben ist) sind fix, die restlichen Bits können 0 oder 1 sein:
192.168.1.0/24
= 11000000.10101000.00000001.xxxxxxxx
(die ersten 24 Bits sind fest, die letzten 8 sind frei)
= 192.168.1.0 bis 192.168.1.255
CIDR in der WordPress-Praxis
CIDR-Notationen begegnen WordPress-Betreibern vor allem in diesen Kontexten:
1. IP-Blocking in Firewall-Regeln:
# iptables: Ganzes /24-Netz blockieren
iptables -A INPUT -s 185.220.101.0/24 -j DROP
# CrowdSec: CIDR-Block manuell sperren
docker exec crowdsec cscli decisions add --range 185.220.101.0/24 --duration 24h
2. Docker-Netzwerk-Konfiguration:
# docker-compose.yml
networks:
traefik-proxy:
ipam:
config:
- subnet: 172.20.0.0/16 # Docker-internes Netzwerk
3. Traefik IP-Whitelist für WordPress-Admin:
# Nur Zugriff auf /wp-admin aus bestimmtem Netz:
http:
middlewares:
admin-whitelist:
ipAllowList:
sourceRange:
- "10.0.0.0/8" # VPN-Bereich
- "192.168.1.0/24" # Büronetz
4. Cloudflare-Firewall-Regeln: Im Cloudflare-Dashboard können CIDR-Blöcke blockiert oder herausgefordert werden — besonders nützlich für bekannte DDoS-Herkunfts-Ranges oder Tor-Exit-Nodes.
Bekannte CIDR-Bereiche im Security-Kontext:
Relevante IP-Bereiche
10.0.0.0/8— Privates Netzwerk (RFC 1918), z.B. WireGuard VPN172.16.0.0/12— Privates Netzwerk (Docker verwendet Subnets daraus)192.168.0.0/16— Privates Netzwerk (Heimnetz, LAN)127.0.0.0/8— Loopback (Localhost)185.220.100.0/22— Bekannte Tor-Exit-Nodes (häufig in Blocklisten)0.0.0.0/0— Gesamtes Internet (Default-Route)
CIDR und IPv6
IPv6-Adressen sind 128 Bits lang — CIDR funktioniert nach demselben Prinzip, aber die Zahlen sind größer:
2001:db8::/32 = alle IPv6-Adressen mit diesem Präfix
::1/128 = die IPv6-Loopback-Adresse
::/0 = gesamtes IPv6-Internet
Für die meisten WordPress-Betreiber ist IPv6-CIDR im Alltag seltener relevant, aber bei Cloudflare-Regeln und modernen Firewall-Konfigurationen sollte man es kennen.
Häufige Fragen
Wie berechne ich schnell, wie viele IPs ein CIDR-Block enthält?
2^(32 - Prefix) gibt die Anzahl der IPv4-Adressen. /24 → 2^8 = 256. /16 → 2^16 = 65.536. Oder: cidr.xyz bietet einen schnellen Online-Rechner.
Warum blockt CrowdSec manchmal ganze CIDR-Ranges statt einzelner IPs?
Angreifer-IPs gehören oft zu Hosting-Providern oder VPN-Diensten, die für Spam, Scanning und DDoS bekannt sind. Wenn viele IPs aus demselben /24-Block als Angreifer auffallen, ist es effizienter, den gesamten Block zu sperren. CrowdSec unterstützt CIDR-Decisions nativ: cscli decisions add --range 185.220.101.0/24.
Kann ich private CIDR-Bereiche für Sicherheitsregeln nutzen?
Ja — und es ist empfehlenswert. Ein VPN-Netzwerk (10.0.0.0/8 oder ein spezifisches /24) kann für Admin-Zugriff auf WordPress (/wp-admin) und Server-Management explizit freigeschaltet werden, während alle anderen IPs standardmäßig keinen Zugriff haben. Das reduziert die Angriffsfläche erheblich.