https://wiki.securepoint.de/index.php?action=history&feed=atom&title=UTM%2FAPP%2FConnection-Rate-Limit_v12.6.2UTM/APP/Connection-Rate-Limit v12.6.2 - Versionsgeschichte2026-04-22T10:57:20ZVersionsgeschichte dieser Seite in Securepoint WikiMediaWiki 1.43.5https://wiki.securepoint.de/index.php?title=UTM/APP/Connection-Rate-Limit_v12.6.2&diff=91534&oldid=prevLauritzl am 23. Mai 2024 um 11:02 Uhr2024-05-23T11:02:53Z<p></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="de">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 23. Mai 2024, 13:02 Uhr</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l1">Zeile 1:</td>
<td colspan="2" class="diff-lineno">Zeile 1:</td></tr>
<tr><td class="diff-marker" data-marker="−"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>{{Archivhinweis|UTM/APP/Connection-Rate-Limit|pre=12.<del style="font-weight: bold; text-decoration: none;">6</del>.<del style="font-weight: bold; text-decoration: none;">2</del>}}</div></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>{{Archivhinweis|UTM/APP/Connection-Rate-Limit|pre=12.<ins style="font-weight: bold; text-decoration: none;">7</ins>.<ins style="font-weight: bold; text-decoration: none;">0</ins>}}</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>{{Set_lang}}</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>{{Set_lang}}</div></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br></td></tr>
<!-- diff cache key wiki2:diff:1.41:old-91532:rev-91534:php=table -->
</table>Lauritzlhttps://wiki.securepoint.de/index.php?title=UTM/APP/Connection-Rate-Limit_v12.6.2&diff=91532&oldid=prevLauritzl: Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/APP/Connection-Rate-Limit|pre=12.6.2}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | Connection Rate Limit | Connection Rate Limit }} {{var3 | head | Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports | Throttling of access from certain source IPs to recurring ports }} {{var | Menu-ssh | <small>(oder per SSH)</small> | <small>(or via SSH)</small> }} {{var | Connection-Limit…“2024-05-23T11:01:55Z<p>Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/APP/Connection-Rate-Limit|pre=12.6.2}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | Connection Rate Limit | Connection Rate Limit }} {{var3 | head | Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports | Throttling of access from certain source IPs to recurring ports }} {{var | Menu-ssh | <small>(oder per SSH)</small> | <small>(or via SSH)</small> }} {{var | Connection-Limit…“</p>
<p><b>Neue Seite</b></p><div>{{Archivhinweis|UTM/APP/Connection-Rate-Limit|pre=12.6.2}}<br />
{{Set_lang}}<br />
<br />
{{#vardefine:headerIcon|spicon-utm}}<br />
<br />
<br />
{{var | display<br />
| Connection Rate Limit <br />
| Connection Rate Limit }}<br />
{{var3 | head<br />
| Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports<br />
| Throttling of access from certain source IPs to recurring ports }}<br />
{{var | Menu-ssh<br />
| <small>(oder per SSH)</small><br />
| <small>(or via SSH)</small> }}<br />
{{var | Connection-Limit<br />
| Connection Rate Limit<br />
| Connection Rate Limit }}<br />
{{var | Connection-Limit--desc<br />
| Die UTM kann ab v12.6.2 die Anzahl der TCP- und/oder UDP-Verbindungen von einer externen IP-Adresse auf einen Port limitieren.<br><br />
Dabei gelten folgende Bedingungen:<br />
* Es werde nur eingehende Verbindungen überwacht, für die eine '''Default-Route''' existiert<br />
* Es werden die Verbindungen von einer IP-Adresse auf einen Port der UTM innerhalb einer Minute gezählt<br />
* Bei Aktivierung werden 5 Verbindungen / Verbindungsversuche je Minute zugelassen. <br>Danach werden die Verbindungen limitiert:<br />
** Dabei werden die zusätzlich zugelassenen Verbindungen innerhalb von 60 Sekunden seit der ersten Verbindung gleichmäßig verteilt.<br />
** Bei einem CONNECTION_RATE_LIMIT-Wert von 20 kommt also alle 3 Sekunden eine zusätzliche Verbindung hinzu.<br />
** 10 Sekunden nach der 1 Anmeldung könnten 3 weitere Verbindungen aufgebaut werden (jeweils von der gleichen IP-Adresse aus auf den selben Ziel-Port)<br />
* Die Sperrung einer IP-Adresse wirkt nur für den Zugriff auf den Port, der zu oft genutzt wurde. <br>Andere Ports können weiterhin erreicht werden.<br />
* Die Funktion ist bei '''Neuinstallationen per Default auf 20 UDP-Verbindungen''' / Minute auf allen Ports aktiviert<br />
* Bei '''Updates''' muss die Funktion '''manuell aktiviert''' werden<br />
| From v12.6.2, the UTM can limit the number of TCP and/or UDP connections from an external IP address to one port.<br><br />
The following conditions apply:<br />
* Only incoming connections for which a '''default route''' exists are monitored<br />
* The connections from an IP address to a port of the UTM are counted within one minute<br />
* When activated, 5 connections / connection attempts per minute are permitted. <br>The connections are then limited:<br />
** The additionally permitted connections are distributed evenly within 60 seconds of the first connection.<br />
** With a CONNECTION_RATE_LIMIT value of 20, an additional connection is added every 3 seconds.<br />
** 10 seconds after the first login, 3 further connections could be established (each from the same IP address to the same destination port)<br />
* Blocking an IP address only affects access to the port that has been used too often.<br />
<br>Other ports can still be accessed.<br />
* The function is activated by default for '''new installations on 20 UDP connections''' / minute on all ports<br />
* For '''Updates''' the function must be '''manually activated''' }}<br />
{{var | CLI-Befehl<br />
| CLI-Befehl<br />
| CLI command }}<br />
{{var | Funktion<br />
| Funktion<br />
| Function }}<br />
{{var | Ausgabe<br />
| Ausgabe<br />
| Output }}<br />
{{var | Listet alle Variablen<br />
| Listet alle Variablen der Anwendung ''securepoint_firewall'' auf.<br>Für das Connection Limit sind die Variablen zuständig, die mit ''CONNECTION_RATE_LIMIT_'' beginnen.<br />
| Lists all variables of the ''securepoint_firewall'' application.<br>The variables beginning with ''CONNECTION_RATE_LIMIT_'' are responsible for the connection limit. }}<br />
{{var | Variable<br />
| Variable<br />
| Variable }}<br />
{{var | Default-Wert<br />
| Default-Wert<br />
| Default-Value }}<br />
{{var | 1=CONNECTION_RATE_LIMIT_TCP--desc<br />
| 2=Anzahl der zugelassenen TCP-Verbindungen einer IP-Adresse je Port<br>0 = Funktion deaktiviert, es werden keine Sperrungen vorgenommen<br />
| 3=Number of permitted TCP connections of an IP address per port<br>0 = Function deactivated, no blocking is performed }}<br />
{{var | 1=CONNECTION_RATE_LIMIT_TCP_PORTS--desc<br />
| 2=Ports die überwacht werden sollen. Per Default leer=alle Ports würden (bei Aktivierung) überwacht werden.<br>Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ] <br />
| 3=Ports to be monitored. Empty by default=all ports would be monitored (if activated).<br>Individual ports are separated by spaces: [ 1194 1195 ] }}<br />
{{var | 1=CONNECTION_RATE_LIMIT_UDP--desc<br />
| 2=Anzahl der zugelassenen UDP-Verbindungen einer IP-Adresse je Port<br />
| 3=Number of permitted UDP connections of an IP address per port }}<br />
{{var | 1=CONNECTION_RATE_LIMIT_UDP_PORTS--desc<br />
| 2=Ports die überwacht werden sollen. Per Default leer=alle Ports werden überwacht (nur bei Neuinstallationen!).<br>Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ] <br />
| 3=Ports to be monitored. Empty by default=all ports are monitored (only for new installations!).<br>Individual ports are separated by spaces: [ 1194 1195 ] }}<br />
{{var | extc value get-root<br />
| Alternativ als root-User:<br />
| Alternatively as root user: }}<br />
{{var | TCP value 20--desc<br />
| Begrenzt die zugelassene Anzahl von '''TCP'''-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute<br />
| Limits the allowed number of '''TCP''' connections from a single IP address to a specific port to 20 per minute }}<br />
{{var | TCP value 0--desc<br />
| Deaktiviert die Überwachung von '''TCP'''-Verbindungen<br />
| Deactivates the monitoring of '''TCP''' connections }}<br />
{{var | TCP_PORTS value--desc<br />
| Beschränkt die Überwachung von '''TCP'''-Verbindungen auf die Ports 443 und 11115<br />
| Restricts the monitoring of '''TCP''' connections to ports 443 and 11115 }}<br />
{{var | UDP value 20--desc<br />
| Begrenzt die zugelassene Anzahl von '''UDP'''-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute<br />
| Limits the allowed number of '''UDP''' connections from a single IP address to a specific port to 20 per minute }}<br />
{{var | UDP value 0--desc<br />
| Deaktiviert die Überwachung von '''UDP'''-Verbindungen<br />
| Deactivates the monitoring of '''UDP''' connections }}<br />
{{var | UDP_PORTS value--desc<br />
| Beschränkt die Überwachung von '''UDP'''-Verbindungen auf die Ports 1194 und 1195.<br>(Beispielhaft für 2 angelegte SSL-VPN Tunnel.)<br />
| Restricts the monitoring of '''UDP''' connections to ports 1194 and 1195.<br>(Example for 2 created SSL-VPN tunnels). }}<br />
{{var | UDP value 20--default<br />
| '''Default''' Einstellung bei <u>Neuinstallationen ab v12.6.2:</u> 20<br>Bei <u>Update Installationen</u> ist der Wert 0, damit ist die Funktion deaktiviert.<br />
| '''Default''' setting for <u>new installations from v12.6.2:</u> 20<br>For <u>update installations</u> the value is 0, so the function is deactivated. }}<br />
{{var | UDP value 20--Hinweis<br />
| Wir empfehlen die Aktivierung, um Angriffe auf OPENVPN Installationen abzuwehren<br />
| We recommend activation to prevent attacks on OPENVPN installations }}<br />
{{var | PORTS value NULL<br />
| Ein NULL-Wert hebt die Einschränkung auf bestimmte Ports auf<br />
| A NULL value removes the restriction to certain ports }}<br />
{{var | Leerzeichen beachten<br />
| Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!<br />
| There must be spaces before and after the square brackets [ ]! }}<br />
{{var | Beispiel<br />
| Beispiel, um maximal 20 Verbindungen pro Minute je IP-Adresse und Port zuzulassen. Bei TCP wird die Überwachung auf die Ports 443 und 11115 beschränkt. Es werden alle Ports auf UDP-Verbindungen überwacht.<br />
| For example, to allow a maximum of 20 connections per minute per IP address and port. For TCP, monitoring is restricted to ports 443 and 11115. All ports are monitored for UDP connections. }}<br />
{{var | system update rule--desc<br />
| Zum Abschluss muss der CLI-Befehl {{code|system update rule}} eingegeben werden, damit die Werte in den Regeln angewendet werden.<br />
| Finally, the CLI command {{code|system update rule}} must be entered so that the values in the rules are applied. }}<br />
{{var | Konfiguration mit CLI-Befehlen zeigen<br />
| Konfiguration mit CLI-Befehlen zeigen<br />
| Show configuration with CLI commands }}<br />
{{var | Konfiguration mit CLI-Befehlen<br />
| Konfiguration mit CLI-Befehlen<br />
| Configuration with CLI commands }}<br />
{{var | Änderung mit 0<br />
| Soll der Wert '''geändert''' werden, muss er zunächst auf '''0 gesetzt''' und ein '''Regelupdate''' durchgeführt werden. Anschließend kann ein '''neuer Wert''' eingetragen werden.<br />
| If the value is to be '''changed''', it must first be '''set to 0''' and a '''rule update''' carried out. A '''new value''' can then be entered. }}<br />
{{var | neu--Artikel | Beta Funktion | Beta function }}<br />
{{var | Beta-Funktion<br />
| Bei ''Connection Rate Limit'' handelt es sich um eine '''Beta-Funktion''', die sich noch in der Entwicklung befindet.<br>Bei zu gering gesetztem Rate Limit kann es zu unerwartete Effekten kommen, z.B. das ggfs. Dienste eingeschränkt werden können.<br />
| ''Connection Rate Limit'' is a '''beta function''' that is still under development.<br>If the rate limit is set too low, unexpected effects may occur, e.g. services may be restricted. }}<br />
{{var | CLI Hinweis<br />
| Die Funktion befindet sich noch in der Erprobungsphase und wird weiter ausgebaut.<br>Die Funktion ist zunächst ausschließlich über das CLI zu konfigurieren<br />
| The function is still in the testing phase and will be further expanded.<br>The function can initially only be configured via the CLI }}<br />
{{var | Connection-Rate-Limit-Ziel<br />
| Die Funktion soll helfen Angriffe abzuwehren.<br>SSL-VPN-Zugänge können so z.B. vor aggressiven Scans oder Anmeldeversuchen geschützt werden. <br />
| The function aims to protect against attacks.<br>SSL-VPN accesses can be protected against aggressive scans or login attempts, for example. }}<br />
{{var | neu--Änderung<br />
| Hinweis zur [[#aenderung | Änderung]] des Rate-Limits<br />
| Note on [{{#var:host}}UTM/APP/Connection-Rate-Limit#aenderung change] of the rate limit }}<br />
<br />
</div><noinclude>{{TOC2}}{{Select_lang}}<br />
{{Header|12.6.2|new=true|<br />
* {{#var:neu--Änderung}}<br />
|Menu={{Menu-UTM|Extras|CLI}} {{#var:Menu-ssh}} }}<br />
</noinclude><br />
<includeonly><br />
=== {{#var:Connection-Limit}} ===<br />
'''{{#var:head}}'''<br />
<div class="Einrücken"><br />
</includeonly><br />
<p>{{Hinweis-box| {{#var:Beta-Funktion}} | fs__icon=em2 }}</p><br />
<p>{{Hinweis-box| {{#var:CLI Hinweis}} | g | fs__icon=em2}}</p><br />
<p><div class=Einrücken2>{{#var:Connection-Rate-Limit-Ziel}}</div></p><br />
<br />
----<br />
<noinclude><br />
=== {{#var:Connection-Limit}} ===<br />
</noinclude><br />
<div class="Einrücken">{{Bildwechsel|Connection Rate Limit.png|Wechselbild=Connection Rate Limit Access.png | class=Bild-t noborder}}<br />
{{#var:Connection-Limit--desc}}<br />
<!-- <li class="list--element__alert list--element__hint em2">{{#var:Beta-Funktion}}</li> --><br />
<br />
{| class="sptable2 pd5 zh1"<br />
! extc-{{#var:Variable}} !! {{#var:Default-Wert}} !! {{#var:desc}}<br />
|-<br />
| CONNECTION_RATE_LIMIT_TCP || 0 || {{#var:CONNECTION_RATE_LIMIT_TCP--desc}}<br />
|-<br />
| CONNECTION_RATE_LIMIT_TCP_PORTS || || {{#var:CONNECTION_RATE_LIMIT_TCP_PORTS--desc}}<br />
|-<br />
| CONNECTION_RATE_LIMIT_UDP || 20 / 0 {{info|{{#var:UDP value 20--default}} }} || {{#var:CONNECTION_RATE_LIMIT_UDP--desc}}<!-- <br><small>{{#var:UDP value 20--default}}</small> --><br />
|-<br />
| CONNECTION_RATE_LIMIT_UDP_PORTS || || {{#var:CONNECTION_RATE_LIMIT_UDP_PORTS--desc}}<br />
|}<br />
</div><br />
==== {{#var:Konfiguration mit CLI-Befehlen}} ====<br />
<includeonly>{{Einblenden|{{#var:Konfiguration mit CLI-Befehlen zeigen}}|{{#var:hide}}|true|dezent}}</includeonly><br />
{| class="sptable2 pd5 zh1 Einrücken"<br />
! {{#var:CLI-Befehl}} !! {{#var:Funktion}} <br />
|-<br />
| {{code|extc value get application securepoint_firewall}} <br>{{#var:extc value get-root}}<br>{{code|spcli extc value get application securepoint_firewall &#x007C; grep RATE}}<br />
| {{#var:Listet alle Variablen}}<br><br />
{{code|1=<nowiki> application |variable |value<br />
--------------------+-------------------------------+-----<br />
securepoint_firewall |… |… <br />
|CONNECTION_RATE_LIMIT_TCP |0 <br />
|CONNECTION_RATE_LIMIT_TCP_PORTS| <br />
|CONNECTION_RATE_LIMIT_UDP |20 <br />
|CONNECTION_RATE_LIMIT_UDP_PORTS| <br />
</nowiki>|style=width:max-content;}}<br />
|- <br />
| style="min-width:60%;" | <span id=aenderung></span>{{code|extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20<br>system update rule}} || {{#var:TCP value 20--desc}} <li class="list--element__alert list--element__hint small">{{#var:Änderung mit 0}}</li><br />
|-<br />
| {{code|extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0<br>system update rule}} || {{#var:TCP value 0--desc}}<br />
|-<br />
| {{code|extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ]<br>system update rule }}|| {{#var:TCP_PORTS value--desc}}<br><small>{{#var:Leerzeichen beachten}}</small><br />
<br />
|-<br />
| {{code|extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ] <br>system update rule}}|| {{#var:PORTS value NULL}}<br><small>{{#var:Leerzeichen beachten}}</small><br />
<br />
|-<br />
| {{code|extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20<br>system update rule}} || {{#var:UDP value 20--desc}}<br><small>{{#var:UDP value 20--default}}</small><!-- {{Hinweis-box|{{#var:UDP value 20--Hinweis}} |gr}} --> <li class="list--element__alert list--element__hint small">{{#var:Änderung mit 0}}</li><br />
<br />
|-<br />
| {{code|extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0<br>system update rule}} || {{#var:UDP value 0--desc}}<br />
|-<br />
| {{code|extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ]<br>system update rule | style=xwidth:max-content;}} || {{#var:UDP_PORTS value--desc}}<br><small>{{#var:Leerzeichen beachten}}</small><br />
<br />
|-<br />
| {{code|extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] <br>system update rule}}|| {{#var:PORTS value NULL}}<br><small>{{#var:Leerzeichen beachten}}</small><br />
<br />
|-<br />
| <p>{{code|extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20<br>extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ]<br>extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20<br>extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ]<br>system update rule}} </p><br />
<br />
<p>{{Hinweis-box| {{#var:system update rule--desc}} }} </p><br />
| {{#var:Beispiel}}<br />
|}<br />
</div><br />
<includeonly></div></div></span></div></includeonly></div>Lauritzl