Netzwerkobjekte des Paketfilters
Letzte Anpassung zur Version: 12.6.0
Neu:
- Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Netzwerkobjekte
| Schaltfläche | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewall  Reiter Netzwerkobjekte
|
|---|---|---|
| Bearbeiten | Öffnet die Netzwerkgruppe bzw. das Netzwerkobjekt zum Bearbeiten | |
| Löschen | Löscht die Netzwerkgruppe bzw. das Netzwerkobjekt. Das Löschen muss ein weiteres mal bestätigt werden | |
| Erzeugt eine neue Netzwerkgruppe, der sofort Netzwerkobjekte hinzugefügt werden können | ||
| GeoIP-Objekte anzeigen Ein Bei Deaktivierung Aus: Blendet GeoIP-Objekte zur besseren Übersichtlichkeit aus | ||
Netzwerkobjekte beinhalten :
Netzwerkobjekte werden hauptsächlich benötigt um Paketfilterregeln zu erstellen, sie werden aber auch im HTTP Proxy verwendet. Die Mitglieder einer Netzwerkgruppe werden dabei als Label dargestellt. | ||
Netzwerkgruppen bearbeiten / Hinzufügen Netzwerkgruppen bearbeiten / Hinzufügen
Menü unter Schaltfläche | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte  Dialog Netzwerkgruppe bearbeiten / erstellen
|
|---|---|---|---|
| Name: | Geo-DACH | Frei wählbarer Name der Netzwerkgruppe | |
| Netzwerkobjekte: |  GEOIP: AT (Österreich) GEOIP: CH (Schweiz) GEOIP: DE (Deutschland) |
In der Klickbox können bestehende Netzwerkobjekte hinzugefügt werden | |
| Öffnet den Dialog zum Hinzufügen eines weiteren Netzwerkobjektes | |||
| ✕ | Entfernt ein Netzwerkobjekt aus der Netzwerkgruppe | ||
Netzwerkobjekte erstellen / bearbeiten Netzwerkobjekte erstellen / bearbeiten
| |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte  Netzwerkobjekte erstellen / bearbeiten
|
| Name: | Host-Objekt | Frei wählbarer Name für das Netzwerkobjekt. OK - nicht wirklich frei: Auch wenn es technisch möglich sein sollte, ist von kryptischen Sonderzeichen wie geschweiften Klammern, Backslashes und Ähnlichem Abstand zu nehmen. Spätestens in einem AD-Umfeld kann so etwas zu Problemen führen. | |
| Typ: | Der Typ bestimmt, wie die Zugehörigkeit zu diesem Netzwerkobjekt festgestellt wird. | ||
| Ein einzelner Host mit einer IP-Adresse z.B. 192.0.2.192/32 → | |||
| Ein komplettes Netzwerk, z.B. 192.0.2.0/24 Es ist ein 24er Netz als Vorgabe eingetragen. Dieses kann aber beliebig geändert werden. | |||
| Netzwerk mit einer beliebigen Subnetzmaske. Dies ist nützlich, wenn sich der Prefix ändern kann. (Beispiel: 192.0.2.0/0.255.255.0 oder 2001:DB8::1234/::FFFF:FFFF) | |||
| Ein komplettes Netzwerk hinter einer Schnittstelle z.B. Bei Verwendung mit HideNat sollte versucht werden, eine Netzwerkadresse zu verwenden. | |||
| Ein einzelner VPN-Host mit einer IP-Adresse, z.B. 192.0.2.192/32 → | |||
| Ein komplettes VPN-Netzwerk, z.B. 192.0.2.0/24 Es ist ein 24er Netz als Vorgabe eingetragen. Dieses kann aber beliebig geändert werden. | |||
| Aus einem Dropdownmenü lässt sich eine konfigurierte IP-Adresse einer Schnittstelle auswählen, z.B. | |||
| Eine dynamische Zuweisung der Adresse des Interfaces anhand der zugeordneten Zone. Z.B.: oder | |||
| Ein Hostname, z.B.: my.host.local | |||
| Erzeugt für jedes Land ein Netzwerkobjekt in der angegebenen Zone. IP-Adressen werden über Organisationen und Institutionen denen die zugehörigen IP-Netze zugewiesen sind, einem Land zugeordnet. Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein! | |||
| Adresse: | 192.0.2.192 | Je nach gewähltem Typ. S.o. | |
| Schnittstelle: nur bei Typ oder |
Alle Hosts hinter dieser Schnittstelle gehören zu diesem Netzwerkobjekt | ||
| IP-Adresse: nur bei Typ |
Alle Hosts hinter der Schnittstelle mit dieser IP-Adresse gehören zu diesem Netzwerkobjekt | ||
| Hostname: nur bei Typ |
my.host.local | Hostname des Netzwerkobjektes | |
| Präfix: nur bei Typ |
ext2_ | Präfix, das den Netzwerkobjekten vorangestellt wird (zur besseren Identifizierung) Beispiel: Präfix ext2_ → Netzwerkobjekt ext2_GEOIP:DE
| |
| Zone: | Zone, in der das Netzwerkobjekt liegt. Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Packetfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt. Hiermit wird allen Angriffen vorgebeugt, die ein IP-Spoofing beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits. | ||
| Gruppen: | »internal-networks | Netzwerkobjekte können zu Gruppen zusammengefasst werden, um Paketfilterregeln mehreren Objekt zuweisen zu können. notempty Netzwerkobjekte können auch zu mehreren Gruppen gehören.
Das kann zu widersprüchlichen Regeln für das selbe Netzwerkobjekt führen, die nicht sofort offensichtlich sind. Es gilt (wie bei allen Regeln), daß diejenige Regel ausgeführt wird, die zuerst durchlaufen wird und in dessen Netzwerkgruppe das Netzwerkobjekt enthalten ist. | |
Speichern |
Speichert das Netzwerkobjekt, lässt den Dialog aber geöffnet, um weitere Objekte anlegen zu können. | ||
Speichern und schließen |
Speichert das Netzwerkobjekt und schließt den Dialog | ||