Netzwerkobjekte

Netzwerkobjekte des Paketfilters

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

Firewall Netzwerkobjekte

Netzwerkobjekte

Menü unter Firewall Netzwerkobjekte
Schaltfläche	Beschreibung	Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Reiter Netzwerkobjekte
Bearbeiten	Öffnet die Netzwerkgruppe bzw. das Netzwerkobjekt zum Bearbeiten
Löschen	Löscht die Netzwerkgruppe bzw. das Netzwerkobjekt. Das Löschen muss ein weiteres mal bestätigt werden Bei GeoIP-Netzwerkobjekten erfolgt nach Bestätigung das Löschen aller GeoIP-Netzwerkobjekte mit dem gleichen Präfix
Gruppe hinzufügen	Erzeugt eine neue Netzwerkgruppe, der sofort Netzwerkobjekte hinzugefügt werden können
	GeoIP-Objekte anzeigen Ein Bei Deaktivierung Aus: Blendet GeoIP-Objekte zur besseren Übersichtlichkeit aus
Netzwerkobjekte beinhalten : einen Namen eine Adresse (IP oder Netzwerk), einen Hostnamen oder eine Schnittstelle und eine Zone. Netzwerkobjekte werden hauptsächlich benötigt um Paketfilterregeln zu erstellen, sie werden aber auch im HTTP Proxy verwendet. Die Mitglieder einer Netzwerkgruppe werden dabei als Label dargestellt. Bei Klick auf ein Label werden in der Tabelle Netzwerkobjekte die Details dazu angezeigt.

Netzwerkgruppen bearbeiten / Hinzufügen Netzwerkgruppen bearbeiten / Hinzufügen Menü unter Firewall Netzwerkobjekte Schaltfläche + Gruppe hinzufügen
Beschriftung	Wert	Beschreibung	Netzwerkgruppen bearbeiten / Hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Dialog Netzwerkgruppe bearbeiten / erstellen
Name:	Geo-DACH	Frei wählbarer Name der Netzwerkgruppe
Netzwerkobjekte:	GEOIP: AT (Österreich) GEOIP: CH (Schweiz) GEOIP: DE (Deutschland)	In der Klickbox können bestehende Netzwerkobjekte hinzugefügt werden
	Öffnet den Dialog zum Hinzufügen eines weiteren Netzwerkobjektes
✕	Entfernt ein Netzwerkobjekt aus der Netzwerkgruppe

Netzwerkobjekte erstellen / bearbeiten Netzwerkobjekte erstellen / bearbeiten
Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekte erstellen / bearbeiten
Name:	Host-Objekt	Frei wählbarer Name für das Netzwerkobjekt. ‍ OK - nicht wirklich frei: Auch wenn es technisch möglich sein sollte, ist von kryptischen Sonderzeichen wie geschweiften Klammern, Backslashes und Ähnlichem Abstand zu nehmen. Spätestens in einem AD-Umfeld kann so etwas zu Problemen führen.
Typ:	Der Typ bestimmt, wie die Zugehörigkeit zu diesem Netzwerkobjekt festgestellt wird.
	Host	Ein einzelner Host mit einer IP-Adresse z.B. 192.0.2.192/32 → 192.0.2.192/---
	Netzwerk (Adresse)	Ein komplettes Netzwerk, z.B. 192.0.2.0/24 Es ist ein 24er Netz als Vorgabe eingetragen. Dieses kann aber beliebig geändert werden.
	Netzwerk (Adresse mit beliebiger Subnetzmaske)	Netzwerk mit einer beliebigen Subnetzmaske. Dies ist nützlich, wenn sich der Prefix ändern kann. (Beispiel: 192.0.2.0/0.255.255.0 oder 2001:DB8::1234/::FFFF:FFFF)
	Netzwerk (Schnittstelle)	Ein komplettes Netzwerk hinter einer Schnittstelle z.B. LAN2 Achtung: Beim HideNat wird nur die erste, auf dieser Schnittstelle liegende IP verwendet. ‍ Bei Verwendung mit HideNat sollte versucht werden, eine Netzwerkadresse zu verwenden.
	VPN-Host	Ein einzelner VPN-Host mit einer IP-Adresse, z.B. 192.0.2.192/32 → 192.0.2.192/--- Als Zone lassen sich bei diesen Netzwerkobjekten ausschließlich Zonen auswählen, die in der Zonenverwaltung ( Netzwerk Zoneneinstellungen Schaltfläche ein Flag Policy_IPSEC oder PPP_VPN haben)
	VPN-Netzwek	Ein komplettes VPN-Netzwerk, z.B. 192.0.2.0/24 Es ist ein 24er Netz als Vorgabe eingetragen. Dieses kann aber beliebig geändert werden.
	Statische Schnittstelle	Aus einem Dropdownmenü lässt sich eine konfigurierte IP-Adresse einer Schnittstelle auswählen, z.B. 192.0.2.1/24
	Dynamische Schnittstelle	Eine dynamische Zuweisung der Adresse des Interfaces anhand der zugeordneten Zone. Z.B.: 0.0.0.0/. oder eth0
	Hostname	Ein Hostname, z.B.: my.host.local
	GeoIP	Erzeugt für jedes Land ein Netzwerkobjekt in der angegebenen Zone. ‍ IP-Adressen werden über Organisationen und Institutionen denen die zugehörigen IP-Netze zugewiesen sind, einem Land zugeordnet. Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein! Das Hinzufügen eines Netzwerkobjektes vom Typ GeoIP erzeugt ca. 250 neue Netzwerkobjekte!
Adresse:	192.0.2.192	Je nach gewähltem Typ. S.o.
Schnittstelle: nur bei Typ Netzwerk (Schnittstelle) oderDynamische Schnittstelle	LAN1	Alle Hosts hinter dieser Schnittstelle gehören zu diesem Netzwerkobjekt
IP-Adresse: nur bei Typ Statische Schnittstelle	192.168.175.1	Alle Hosts hinter der Schnittstelle mit dieser IP-Adresse gehören zu diesem Netzwerkobjekt
Hostname: nur bei Typ Hostname	my.host.local	Hostname des Netzwerkobjektes
Präfix: nur bei Typ GeoIP	ext2_	Präfix, das den Netzwerkobjekten vorangestellt wird (zur besseren Identifizierung) Beispiel: Präfix ext2_ → Netzwerkobjekt ext2_GEOIP:DE
Zone:	Zone	Zone, in der das Netzwerkobjekt liegt. ‍ Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Packetfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt. Hiermit wird allen Angriffen vorgebeugt, die ein IP-Spoofing beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits. Je nach gewähltem Netzwerktyp wird bereits eine Zone vorgeschlagen oder es erfolgt eine Einschränkung der Zoneauswahl.
Gruppen:	»internal-networks	Netzwerkobjekte können zu Gruppen zusammengefasst werden, um Paketfilterregeln mehreren Objekt zuweisen zu können. notempty Netzwerkobjekte können auch zu mehreren Gruppen gehören. Das kann zu widersprüchlichen Regeln für das selbe Netzwerkobjekt führen, die nicht sofort offensichtlich sind. Es gilt (wie bei allen Regeln), daß diejenige Regel ausgeführt wird, die zuerst durchlaufen wird und in dessen Netzwerkgruppe das Netzwerkobjekt enthalten ist.
Speichern		Speichert das Netzwerkobjekt, lässt den Dialog aber geöffnet, um weitere Objekte anlegen zu können.
Speichern und schließen		Speichert das Netzwerkobjekt und schließt den Dialog

Netzwerkobjekte

Netzwerkgruppen bearbeiten / Hinzufügen

Netzwerkobjekte erstellen / bearbeiten