Wechseln zu:Navigation, Suche
Wiki

Die Seite Vorlage:Ui-icon.css hat keinen Inhalt.




























En.png
Fr.png


Anlegen und verwenden von Portfilterregeln, Netzwerkobjekten, Diensten und Zeitprofilen


Letzte Anpassung zur Version: 12.1 04.2021

Neu:


Vorherige Versionen: 11.7


Portfilter Beschreibung

Der Portfilter steuert den Datenverkehr, der durch die UTM geht.

  • Alle Netzwerk-Pakete, die durch die UTM gehen, werden gefiltert und nur aufgrund von Portfilterregeln weitergeleitet.
  • Dabei ist es unerheblich, ob sich die Zieladresse und Quelladresse des Paketes im gleichen Netzwerk, in einem anderen, lokalen Netzwerk oder im Internet und einem lokalen Netzwerk befindet.
  • Anhand von Quell-IP, Ziel-IP und verwendetem Dienst werden die Regeln von oben nach unten überprüft.
    Die laufende Nummer vor einer Regel # gibt dabei die Reihenfolge der Regelerstellung an und bleibt permanent erhalten. Sie gibt nicht die Reihenfolge an, in der die Regel abgeabeitet wird!
  • Eine angelegte Regel kann mit gedrückter Maustaste auf das Icon Dragndrop.png nachträglich in der Reihenfolge verschoben werden.
  • Soll für eine Regel ein Ausnahme erstellt werden, muss zunächst die (speziellere) Ausnahme definiert sein und danach erst die allgemeinere Regel.
    Trifft für ein Paket die Ausnahme Regel zu, wird die angegebene Aktion ausgeführt und der Portfilter beendet.
    Trifft die Ausnahme Regel nicht zu, wird anschließend die allgemeinere Regel überprüft.
    Trifft diese dann zu wird die dort angegebene Aktion ausgeführt.
  • Existiert für ein Datenpaket keine zutreffende Regel, wird das Paket verworfen Default Drop
  • Eine Portfilter Regel beinhaltet verschiedene Elemente:


    Portfilterregel

    Die Grundstruktur einer Regel ist :
    Quelle → Ziel → Dienst → Aktion
    Typische Beispiele:

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Aus dem internen Netz soll das Internet erreichbar sein Dragndrop.png 7 Network.svg internal-network World.svg internet Service-group.svg default-internet HN Accept Ein
    Aus dem Internen Netz soll das dmz1 Netzwerk für alle Dienste erreichbar sein Dragndrop.png 8 Network.svg internal-network Network.svg dmz1-network Other.svg any Accept Ein
    Ein Server im internen Netzwerk soll von außen über ssh erreichbar sein Dragndrop.png 9 World.svg internet Network.svg internal-network Tcp.svg ssh DN ➞ Accept Ein
    Aus dem internen Netz soll das Internet erreichbar sein, es soll jedoch kein ftp ermöglicht werden!
  • Der Portfilter wird von oben nach unten abgearbeitet. Trifft eine Regel zu, wird die Prüfung des Regelwerks beendet und die konfigurierte Aktion ausgeführt. Daher muss das Verbot von ftp vor der allgemeinen Erlaubnisregel stehen. Eine angelegte Regel kann mit Drag and Drop auf das Icon Dragndrop.png verschoben werden und in der Reihenfolge gezielt plaziert werden.
  • Dragndrop.png 10 Network.svg internal-network World.svg internet Tcp.svg ftp Drop Ein
    Dragndrop.png 7 Network.svg internal-network World.svg internet Service-group.svg default-internet HN Accept Ein

    Autogenerierte Regeln

    autogeneriert Die UTM verfügt ab Werk über autogenerierte Regeln. Diese Regeln lassen zunächst jeden Datenverkehr in die bestehenden Netze zu und geben für interne Netze auch zusätzlich die Proxy-und DNS-Dienste der jeweiligen Schnittstelle frei

    Diese Regeln dienen ausschließlich dazu, die Inbetriebnahme der Firewall zu ermöglichen.
    Sie lassen sich nicht bearbeiten und müssen unbedingt durch individualisierte Regeln ersetzt und anschließend deaktiviert oder gelöscht werden!

    Autogenerierte Regeln lassen sich im Dropdownmenü mit diesem Schalter ausblenden: Einautogenerierte Regeln verstecken

    Portfilterregel Einstellungen

    Nach dem Bearbeiten oder Hinzufügen einer Regel muss das Regelwerk aktualisiert werden.
    Erst danach werden die Regeln angewendet!
    / Regel hinzufügen Regeln aktualisieren

    Beschriftung: Wert: Beschreibung:
    ╭╴Aktiv╶╮ Ein Nur bei Aktivierung wird auf diese Regel geprüft
    ╭╴Aktion╶╮ ACCEPT ACCEPT Leitet das Paket weiter
    DROP DROP Das Paket wird verworfen
    REJECT REJECT Es wird ein ICMP-Paket an den Absender geschickt, mit dem Hinweis, daß der Port nicht zur Verfügung steht. Im LAN können Reject-Regeln verhindern, daß Clients auf einen Timeout warten müssen.
    QOS QOS Ermöglicht im Abschnit ╭╴Extras╶╮ / ╭╴QOS╶╮ ein Quality of Service Profil anzugeben, daß die Bandbreite für Datenpakete, auf die diese Regel zutrifft limitiert.
    Konfiguration der QoS-Profile im Menü → Netzwerk →QoSReiter Profile
    STATELESS STATELESS Lässt Verbindungen statusunabhägig zu
    ╭╴Logging╶╮ None Keine Protokollierung (default)
    Short Protokolliert die ersten die Einträge je Minute
    Long Protokolliert alle Einträge
    ╭╴Gruppe╶╮ default Portfilterregeln müssen einer Gruppe zugeordnet werden. Das erleichtert die Übersichtlichkeit beim Ergänzen des Regelwerkes. Außerdem können Regelgruppen mit einem Schalter aktiviert oder deaktiviert werden.
    ╭╴Quelle╶╮ Network.svg internal-network Netzwerkobjekt oder Benutzergruppe, die als Quelle des Datenpaketes zugelassen ist.
    ╭╴Ziel╶╮ World.svg internet Netzwerkobjekt oder Benutzergruppe, die als Ziel des Datenpaketes zugelassen ist.
    NAT
    ╭╴NAT╶╮
    Die Network Address Translation ist die Umwandlung von IP-Adressen die in einem Netzwerk genutzt werden zu einer anderen IP-Adresse aus einem anderen Netz. Typischerweise bildet man alle intern genutzten privaten IP-Adressen in eine oder mehrere öffentlichen IP-Adressen ab.
    Hide NAT
    ╭╴Typ╶╮
    Hide NAT
    Auch Source NAT genannt. Verbirgt die ursprüngliche IP Adresse hinter der IP-Adresse der verwendeten Schnittstelle.

    Standardfall ist der Datenverkehr von einem internen Netz mit privaten IP Adressen mit dem Internet.
    Die IP aus dem lokalen Netz wird mit der IP derjenigen Schnittstelle maskiert, die den Zugang zum Internet herstellt.

    UTM v12.1 Portfilter Hidenat-Regel.png
    HideNat Regel
    Dest. NAT
    ╭╴Typ╶╮
    Dest. NAT
    Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten.

    Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) des Servers (198.51.100.1/32) über die öffentliche IP-Adresse der Schnittstelle eth0 mit dem Port 10000 zugreifen möchten, müsste die Regel wie nebenstehend abgebildet angelegt werden.
    Die zugehörigen Netzwerkobjekte und der Dienst auf Port 10000 müssen dazu angelegt sein.

    UTM v12.1 Portfilter Destnat-Regel.png
    Destination NAT Regel
    HideNAT Exclude
    ╭╴Typ╶╮
    HideNAT Exclude
    HideNAT Exclude kommt in der Regel in Verbindung mit IPSec-VPN Verbindungen zum Einsatz.
    Damit wird erreicht, daß Datenpakete für die VPN Gegenstelle mit der privaten IP-Adresse durch den VPN Tunnel geleitet werden.
    Andernfalls würden diese, wie alle anderen Pakte in Richtung Internet, mit der öffentlichen WAN IP-Adresse maskiert werden und, da diese mit einer privaten Zieladresse versendet werden, am nächsten Internet Router verworfen.
    Siehe dazu auch den Wikiartikel Hidenat Exclude.
  • Die HideNAT-Exclude Regel muss dabei vor der HideNAT Regel stehen, damit die Ausnahme greift.
  • UTM v12.1 Portfilter Hidenat Exclude-Regelübersicht.png
    UTM v12.1 Portfilter Hidenat Exclude-Regel.png
    HidNAT Exclude Regel
    NetMap
    ╭╴Typ╶╮
    NetMap
    NetMap dient dazu zwei gleiche Subnetze miteinander zu verbinden.

    Unter Verwendung von Hilfsnetzwerken (Mapnetz), die auf keiner der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen kollisionsfrei erstellt werden, ohne auf einer der Seiten das Subnetz komplett zu ändern. Eine Anleitung zum Verbinden zweier Netzwerke findet sich in einem eignen Wikiartikel NetMap

    UTM v12.1 Portfilter NetMap-Regel.png
    NetMap Regel
    Full Cone NAT
    ╭╴Typ╶╮
    Full Cone NAT
    Bei Full Cone NAT wird für den Absender der gleiche Port gesetzt, wie für den Empfänger. Allerdings werden als Absender auch andere IPs als die ursprünglich adressierte IP zugelassen. Kann ggf. bei VOIP hilfreich sein. UTM v12.1 Portfilter FullconeNat-Regel.png
    Full Cone NAT Regel
    ╭╴Netzwerkobjekt╶╮
    external-interface
    Netzwerkobjekt, das die Übersetzung der IP Adressen, also das Natten, vornimmt.
    Die IP-Adresse dieses Netzwerkobjektes wird dann als Absender-IP Der Datenpakete im Zielnetz verwendet.
    In der Regel sollte das also die Schnittstelle sein, deren IP Adresse dem Zielnetz bekannt ist, damit Antwortpakete auch korrekt zugestellt werden können.
    ╭╴Dienst╶╮
    ssh
    Verwendet im lokalen Zielnetzwerk den ausgewählten Dienst. Dieser Wert ist oft (aber keinesfalls immer) identisch mit dem darüberstehenden Dienst des Datenquellpaketes, auf den die Regel überprüft wird.
  • Steht nur zur Verfügung, wenn als ╭╴Typ╶╮ DESTNAT oder NETMAP ausgewählt wurde.
  • ╭╴Extras╶╮
    Rule Routing
    ╭╴Rule Routing╶╮
    eth2 Im Abschnitt ╭╴[-] Extras╶╮ wird im Feld ╭╴Rule Routing╶╮ regelbasiert festgelegt, welche Route IP-Pakete nehmen sollen.
    Im nebenstehenden Beispiel werden alle VOIP-Pakete über die Schnittstelle eth2 geleitet.
  • Das Dropdownfeld gibt nur wan-Schnittstellen zur Auswahl vor.
    Erfolgt der Zugang zum Internet über einen Router, der an einer Ethernet-Schnittstelle angeschlossen ist, kann diese manuell eingetragen werden.
  • UTM v12.1 Portfilter Rule Routing.png
    QOS
    ╭╴QOS╶╮
    QOS Ermöglicht im Abschnit ╭╴Extras╶╮ / ╭╴QOS╶╮ ein Quality of Service Profil anzugeben, daß die Bandbreite für Datenpakete, auf die diese Regel zutrifft limitiert.
    Konfiguration der QoS-Profile im Menü → Netzwerk →QoSReiter Profile
  • Steht nur zur Verfügung, wenn als ╭╴Aktion╶╮ QOS ausgewählt wurde.
  • Zeitprofil
    ╭╴Zeitprofil╶╮
    Zeitprofil Beschränkt die Gültigkeit der Regel auf ein zuvor definiertes Zeitprofil.
    Siehe Abschnitt Zeitprofile.
    Beschreibung
    ╭╴Beschreibung╶╮
    Beschreibung der Regel Alternativer Text, der statt der Regeldetails angezeigt werden kann.
    Die Anzeige der alternativen Texte erfolgt mit der Schaltfläche
    UTM v12.1 Portfilter Regelbeschreibung.png

    Nach dem Bearbeiten oder Hinzufügen einer Regel muss das Regelwerk aktualisiert werden.
    Erst danach werden die Regeln angewendet!
    / Regel hinzufügen Regeln aktualisieren



    Netzwerkobjekte

    Netzwerkobjekte beinhalten

    • einen Namen
    • eine Adresse (IP oder Netzwerk)
    • und eine Zone.

    Netzwerkobjekte werden hauptsächlich benötigt um Portfilterregeln zu erstellen, sie werden aber auch im HTTP Proxy verwendet.


    Netzwerkobjekte erstellen

    → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Beschriftung: Wert: Beschreibung:
    Name Hostname Frei wählbarer Name für das Netzwerkobjekt. OK - nicht wirklich frei: Auch wenn es technisch möglich sein sollte, ist von kryptischen Sonderzeichen wie geschweiften Klammern, Backslashes und Ähnlichem Abstand zu nehmen. Spätestens in einem AD-Umfeld kann so etwas zu Problemen führen. UTM v12.1 Netzwerkobjekt Host.png
    Netzwerkobjekte erstellen
    Typ Der Typ bestimmt, wie die Zugehörigkeit zu diesem Netzwerkobjekt festgestellt wird.
    Host Ein einzelner Host mit einer IP-Adresse z.B. 192.0.2.192/32 → 192.0.2.192/--- 
    Netzwerk (Addresse) Ein komplettes Netzwerk, z.B. 192.0.2.0/24
    Es ist ein 24er Netz als Vorgabe eingetragen. Dieses kann aber beliebig geändert werden.
    Netzwerk (Addresse mit beliebiger Subnetzmaske) Neu ab v12 Netzwerk mit einer beliebigen Subnetzmaske. Dies ist nützlich, wenn sich der Prefix ändern kann. (Beispiel: 192.0.2.0/0.255.255.0 oder 2001:DB8::1234/::FFFF:FFFF) → 192.0.2.0
    Netzwerk(Schnittstelle) Ein komplettes Netzwerk hinter einer Schnittstelle z.B. eth0
  • Achtung: Beim HideNat wird nur die erste, auf dieser Schnittstelle liegende IP verwendet.Bei Verwendung mit HideNat sollte versucht werden, eine Netzwerkadresse zu verwenden.
  • VPN-Host Ein einzelner VPN-Host mit einer IP-Adresse, z.B. 192.0.2.192/32 → 192.0.2.192/--- 
  • Als Zone lassen sich bei diesen Netzwerkobjekten ausschließlich Zonen auswählen, die in der Zonenverwaltung (→ Netzwerk →Zoneneinstellungen Schaltfläche ein Flag Policy_IPSEC oder PPP_VPN haben)
  • VPN-Netzwek Ein komplettes VPN-Netzwerk, z.B. 192.0.2.0/24
    Es ist ein 24er Netz als Vorgabe eingetragen. Dieses kann aber beliebig geändert werden.
    Statische Schnittstelle Aus einem Dropdownmenü lässt sich eine konfigurierte IP-Adresse einer Schnittstelle auswählen, z.B. 192.0.2.1/24
    Dynamische Schnittstelle Eine dynamische Zuweisung der Adresse des Interfaces anhand der zugeordneten Zone. Z.B.: 0.0.0.0/. oder eth0
    Hostname Neu ab v12 Ein Hostname, z.B.: my.host.local
    Adresse: 192.0.2.192 Je nach gewähltem Typ. S.o.
    Zone Zone Zone, in der das Netzwerkobjekt liegt. Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Portfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt. Hiermit wird allen Angriffen vorgebeugt, die ein IP-Spoofing beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits.
  • Je nach gewähltem Netzwerktyp wird bereits eine Zone vorgeschlagen oder es erfolgt eine Einschränkung der Zoneauswahl.
  • Gruppen »internal-networks Netzwerkobjekte können zu Gruppen zusammengefasst werden, um Portfilterregeln mehreren Objekt zuweisen zu können.
    Neu 12 Netzwerkobjekte können auch zu mehreren Gruppen gehören.
    Das kann zu widersrpüchlichen Regeln für das selbe Netzwerkobjekt führen, die nicht sofort offensichtlich sind.
    Es gilt (wie bei allen Regeln), daß diejenige Regel ausgeführt wird, die zuerst durchlaufen wird und in dessen Netzwerkgruppe das Netzwerkobjekt enthalten ist.
    Speichern Speichert das Netzwerkobjekt, läßt den Dialog aber geöffnet, um weitere Objekte anlegen zu können.
    Speichern und schließen Speichert das Netzwerkobjekt und schließt den Dialog




    UTM v12.1 Portfilter Dienste.png

    Dienste

    Dienste legen das verwendete Protokoll und gegebenenfalls den Port bzw. Portbereich der zu filternden Datenpakete fest. Viele Dienste sind schon vorkonfiguriert wie http, https, ftp, ssh usw.

    Dienst hinzufügen / bearbeiten

    Ist ein Dienst nicht vorhanden kann dieser mit Objekt hinzufügen angelegt werden.
    Abhängig vom verwendeten Protokoll, lassen sich weitere Einstellungen vornehmen:

    • Ports (TCP und UDP)
    • Pakettypen (ICMP)
    • Protokolltyp (gre)
    Name des Dienstes und Protokoll müssen in jedem Falle angegeben werden.
    Name des Dienstes und Protokoll müssen in jedem Falle angegeben werden.
    Bei den Protokollen tcp und udp kann die Freigabe auf einen einzelnen Zielport oder auf Portbereiche beschränkt werden. Quellports können beliebig sein (Keine), ein einzelner Port oder ein Portbereich.
    Bei den Protokollen tcp und udp kann die Freigabe auf einen einzelnen Zielport oder auf Portbereiche beschränkt werden. Quellports können beliebig sein (Keine), ein einzelner Port oder ein Portbereich.
    Soll ein bestehender Dienst auf einem anderen Port laufen, kann der Dienst bearbeitet und der Port geändert werden.
    Soll ein bestehender Dienst auf einem anderen Port laufen, kann der Dienst bearbeitet und der Port geändert werden.










    Dienstgruppen

    Dienste lassen sich in Dienstgruppen zusammenfassen. Auch hier gibt es bereits vordefinierte Gruppen, die ergänzt und geändert werden können. Detailanzeige mit Klick auf das Ordnersymbol .
    Beispiel: Die Gruppe default-internet enthält z.B. die Dienste:

    Icon Name Protokoll
    Udp.svg domain-udp udp Port 53
    Tcp.svg ftp tcp (ftp) Port 21
    Tcp.svg http tcp Port 80
    Tcp.svg https tcp Port 443
    Icmp.svg icmp-echo-req icmp Pakettyp 8
    Dienst einer Dienstgruppe hinzufügen/entfernen
    • Wird auf der linken Seite eine Dienstgruppe markiert, kann ein Dienst mit der Plus-Schaltfläche der Dienstgruppe hinzugefügt werden.
    • Wird eine Dienstgruppe durch Klick auf das Ordnersymbol geöffnet, kann ein Dienst mit Klick auf die Minus-Schaltfläche entfernt werden.




    Zeitprofile

    Zeitprofile

    Zeitprofile dienen dazu Portfilterregeln nur zu festgelegten Zeiten zu aktivieren. Im abgebildeten Beispiel greift das Profil täglich zwischen 3:00 Uhr und 3:59:59 Uhr sowie werktäglich von 7:00 Uhr bis 17:59:59 Uhr.

    Zeitprofile anlegen

    • Anlegen eines Zeitprofils mit der Schaltfläche Zeitprofil hinzufügen
    • Zeiten auswählen
      • mit der Taste Strg und Mausklick für ein einzelnes Feld oder
      • mit der Taste Shift (Umschalttaste) und Mausklick für einen Zeitbereich.
    • Übernehmen der Zeiteinstellungen mit der Schaltfläche Speichern

    Zeitprofile verwenden

    Zeitprofile werden in den Portfilterregeln um Abschnitt ╭╴Extras╶╮ hinterlegt.