Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 12: Zeile 12:
| Neue Funktion {{Hinweis-neu|03.2022|12.3}}
| Neue Funktion {{Hinweis-neu|03.2022|12.3}}
| New feature }}
| New feature }}
{{var | neu--Netzwerkobjekte per GUI
| GeoIP-Netzwerkobjekte können für [[#Einrichten_weiterer_Zonen_für_GeoIP | beliebige Zonen per GUI]] erstellt werden
|  }}
{{var | Neu ab v.12.2.3
| Neu ab v.12.2.3
| New as of v.12.2.3 }}
{{var | Erklärung
{{var | Erklärung
| IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden.
| IP-Adressen können über die zugehörigen IP-Netze und den Organisationen und Institutionen, denen diese zugewiesen sind, einem Land zugeordnet werden.
Zeile 30: Zeile 24:
{{var | Erklärung--Netzwerkobjekte
{{var | Erklärung--Netzwerkobjekte
| Die GeoIPs werden von der UTM dabei wie '''Netzwerkobjekte''' der Zone ''external'' behandelt. [[#Einrichten weiterer Zonen für GeoIP | → weitere Zonen]]
| Die GeoIPs werden von der UTM dabei wie '''Netzwerkobjekte''' der Zone ''external'' behandelt. [[#Einrichten weiterer Zonen für GeoIP | → weitere Zonen]]
| The GeoIPs are treated by the UTM as '''network objects''' in the zone ''external''. [[#Setting up additional zones for GeoIP | → further zones]]}}
| The GeoIPs are treated by the UTM as '''network objects''' in the zone ''external''. [[#Setting up additional zones for GeoIP | → further zones]] }}
{{var | Erklärung--Hinweis
{{var | Erklärung--Hinweis
| Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein!
| Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein!
Zeile 43: Zeile 37:
| Diese Einstellungen gelten systemweit in '''allen Zonen''' und werden '''vor''' den Portfilter-Regeln angewendet!
| Diese Einstellungen gelten systemweit in '''allen Zonen''' und werden '''vor''' den Portfilter-Regeln angewendet!
| These settings apply system-wide in '''all zones''' and are applied '''before''' the port filter rules! }}
| These settings apply system-wide in '''all zones''' and are applied '''before''' the port filter rules! }}
{{var | GeoIP-basierte Portfilter Regeln
{{var | GeoIP-basierte Portfilter Regeln
| GeoIP-basierte Portfilter Regeln
| GeoIP-basierte Portfilter Regeln
| GeoIP based port filter rules }}
| GeoIP based port filter rules }}
{{var | GeoIP-basierte Portfilter Regeln--desc
{{var | GeoIP-basierte Portfilter Regeln--desc
| Auf Portfilter Ebene können GeoIPs blockiert oder zugelassen werden<br>GeoIPs lassen sich dazu auch zu Netzwerkgruppen zusammenfassen.
| Auf Portfilter Ebene können GeoIPs blockiert oder zugelassen werden<br> GeoIPs lassen sich dazu auch zu Netzwerkgruppen zusammenfassen.
| GeoIPs can be blocked or allowed at the port filter level<br>GeoIPs can also be combined into network groups for this purpose. }}
| GeoIPs can be blocked or allowed at the port filter level<br> GeoIPs can also be combined into network groups for this purpose. }}
{{var | Portfilter basierte Blockade
{{var | Portfilter basierte Blockade
| Beispiel: Blocking
| Beispiel: Blocking
| Example: Blocking }}
| Example: Blocking }}
{{var | Portfilter basierte Blockade--desc
{{var | Portfilter basierte Blockade--desc
| Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.<br>Hier: Keine Mails aus der Antarktis
| Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.<br> Hier: Keine Mails aus der Antarktis
| Certain regions are to be denied access to certain ports.<br>Here: No mails from Antarctica }}
| Certain regions are to be denied access to certain ports.<br> Here: No mails from Antarctica }}
{{var | GeoIP--Zone
{{var | GeoIP--Zone
| GeoIPs haben per Default die Zone ''external''
| GeoIPs haben per Default die Zone ''external''
Zeile 71: Zeile 61:
| UTM v12.2.2 Netzwerkobjekte Gruppe hinzufügen.png
| UTM v12.2.2 Netzwerkobjekte Gruppe hinzufügen.png
| UTM v12.2.2 Netzwerkobjekte Gruppe hinzufügen-en.png }}
| UTM v12.2.2 Netzwerkobjekte Gruppe hinzufügen-en.png }}
{{var | Gruppe hinzufügen--cap
|
|  }}
{{var | Geo-Blocking-Mail
{{var | Geo-Blocking-Mail
| Geo-Blocking-Mail
| Geo-Blocking-Mail
Zeile 83: Zeile 70:
| Aussagekräftiger Name für die Netzwerkgruppe
| Aussagekräftiger Name für die Netzwerkgruppe
| Meaningful name for the network group }}
| Meaningful name for the network group }}
{{var | GeoIPs auswählen
| GeoIPs können nun schon ausgewählt werden. Alternativ können die GeoIPs auch im folgenden Schritt hinzugefügt werden.
| GeoIPs can now already be selected. Alternatively, the GeoIPs can also be added in the following step. }}
{{var | Speichern
{{var | Speichern
| Speichern
| Speichern
| Save }}
| Save }}
{{var | Speichern--desc
| Speichert die Einstellungen
| Saves the settings }}
{{var | Speichern--Netzwerkgruppe-GeoIP--desc
{{var | Speichern--Netzwerkgruppe-GeoIP--desc
| Speichern der Netzwerkgruppe
| Speichern der Netzwerkgruppe
Zeile 93: Zeile 86:
| Step 2: Add GeoIP }}
| Step 2: Add GeoIP }}
{{var | Netzwerkgruppe öffnen--desc
{{var | Netzwerkgruppe öffnen--desc
| Soeben angelegte Netzwerkgruppe durch Anklicken öffnen
| Zeigt die Netzwerkobjekte in der Gruppe an.
| Open the network group you have just created by clicking on it. }}
| Displays the network objects in the group. }}
{{var | GeoIP Schritt 2--Bild
{{var | GeoIP Schritt 2--Bild
| UTM v12.2.2 Netzwerkobjekte GeoIP.png
| UTM v12.2.2 Netzwerkobjekte GeoIP.png
| UTM v12.2.2 Netzwerkobjekte GeoIP-en.png }}
| UTM v12.2.2 Netzwerkobjekte GeoIP-en.png }}
{{var | GeoIP Schritt 2--cap
|
|  }}
{{var | Netzwerkobjekte
{{var | Netzwerkobjekte
| Netzwerkobjekte
| Netzwerkobjekte
| Network Objects }}
| Network Objects }}
{{var | Netzwerkobjekte--val
| ant
| ant }}
{{var | Netzwerkobjekte--desc
{{var | Netzwerkobjekte--desc
| Suchtext für gewünschtes Land
| Suchtext für gewünschtes Land
Zeile 125: Zeile 112:
| UTM v12.2.2 Portfilteregel Block.png
| UTM v12.2.2 Portfilteregel Block.png
| UTM v12.2.2 Portfilteregel Block-en.png }}
| UTM v12.2.2 Portfilteregel Block-en.png }}
{{var | GeoIP Schritt 3--cap
|
|  }}
{{var | Quelle
{{var | Quelle
| Quelle:
| Quelle:
Zeile 175: Zeile 159:
{{var | GeoIP Schritt 4
{{var | GeoIP Schritt 4
| Schritt 4: Regeln aktualisieren
| Schritt 4: Regeln aktualisieren
| Step 4: Update Rules }}
| Step 4: Update Rules }}
 
{{var | Beispiel Allow  
{{var | Beispiel Allow  
| Beispiel: Zugriff erlauben
| Beispiel: Zugriff erlauben
| Example: Allow access }}
| Example: Allow access }}
{{var | Beispiel Allow--desc
{{var | Beispiel Allow--desc
| Der Zugriff auf die OWA-Schnittstelle eines Exchange-Servers soll nur aus bestimmten Ländern möglich sein.<br>Gegeben ist eine Konfiguration wie im [[UTM/APP/Reverse_Proxy-Exchange | Wiki-Artikel]] dazu beschrieben.<br>Eine Portfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https
| Der Zugriff aus dem Ausland soll auf ausgewählte Länder beschränkt werden.<br> Eine Portfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https.<br> Hierfür muss unter {{Menu|Firewall|Portfilter|Netzwerkobjekte}} auf die Schaltfläche {{Button|Gruppe hinzufügen|addfolder}} geklickt werden
| Access to the OWA interface of an Exchange server should only be possible from certain countries.<br>Given is a configuration as described in the [[UTM/APP/Reverse_Proxy-Exchange | Wiki-Article]] on this.<br>A port filter rule allows access from the Internet to the external interface with https }}
| Access from abroad is to be restricted to selected countries.<br> A port filter rule allows access from the Internet to the external interface with https.<br> For this, the button {{Button|Add group|addfolder}} must be clicked under {{Menu|Firewall|Port filter|Network objects}}. }}
{{var | Gruppe hinzufügen-allow--desc
| Hinzufügen einer Netzwerkgruppe für GeoIPs, die Zugriff erhalten sollen im Abschnitt {{Kasten|Netzwerkgruppen|grau}} mit der Schaltfläche {{Button|Gruppe hinzufügen|addfolder}}
| Add a network group for GeoIPs to be given access in the {{Kasten|networkgroups|grau}} section with the {{Button|Add Group|addfolder}} button. }}
| Add a network group for GeoIPs to be given access in the {{Kasten|networkgroups|grau}} section with the {{Button|Add Group|addfolder}} button. }}
{{var | Gruppe hinzufügen-allow--Bild
{{var | Gruppe hinzufügen-allow--Bild
| UTM v12.2.2 Netzwerkobjekte GeoIP OWA.png
| UTM v12.3.5 Firewall Portfilter Netzwerkgruppe hinzufügen GeoIP.png
| UTM v12.2.2 Netzwerkobjekte GeoIP OWA-en.png }}
| UTM v12.3.5 Firewall Portfilter Netzwerkgruppe hinzufügen GeoIP-en.png }}
{{var | Geo-allow
| GeoIP-OWA
| GeoIP-OWA }}
{{var | GeoIP-allow Schritt 2--Bild
{{var | GeoIP-allow Schritt 2--Bild
| UTM v12.2.2 Netzwerkobjekte GeoIP allow.png
| UTM v12.3.5 Firewall Portfilter Netzwerkobjekte schw.png
| UTM v12.2.2 Netzwerkobjekte GeoIP allow-en.png }}
| UTM v12.3.5 Firewall Portfilter Netzwerkobjekte schw-en.png }}
{{var | Netzwerkobjekte-allow--val
{{var | Netzwerkobjekte-allow--val
| schw
| schw
Zeile 205: Zeile 183:
| Add a new rule under {{Menu|Firewall|Portfilter|Portfilter|Add rule|w|mit=true}} or edit an existing one {{Button||w}}}}
| Add a new rule under {{Menu|Firewall|Portfilter|Portfilter|Add rule|w|mit=true}} or edit an existing one {{Button||w}}}}
{{var | GeoIP-allow Schritt 3--Bild
{{var | GeoIP-allow Schritt 3--Bild
| UTM v12.2.2 Portfilteregel allow.png
| UTM v12.3.5 Firewall Portfilterregel hinzufügen GeoIP.png
| UTM v12.2.2 Portfilteregel allow-en.png }}
| UTM v12.3.5 Firewall Portfilterregel hinzufügen GeoIP-en.png }}
{{var | Aktion-allow--desc
{{var | Aktion-allow--desc
| Lässt die Pakete durch
| Lässt die Pakete durch
Zeile 226: Zeile 204:
| Dialog for network object GeoIP }}
| Dialog for network object GeoIP }}
{{var | Einrichten weitere Zonen für GeoIP--desc
{{var | Einrichten weitere Zonen für GeoIP--desc
| <p>Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.</p>
| <p>Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen. </p>
| <p>If the interface with the Internet access is located in another zone or if Internet access is available at several interfaces with further zones, GeoIP network objects must also be available there.</p> }}
| <p>If the interface with the Internet access is located in another zone or if Internet access is available at several interfaces with further zones, GeoIP network objects must also be available there. </p> }}
{{var | Einrichten weiterer Zonen für GeoIP-Gui--desc
{{var | Einrichten weiterer Zonen für GeoIP-Gui--desc
| Unter {{Menu|Firewall|Portfilter|Netzwerkobjekte|Objekt hinzufügen|+}} kann ein Netzwerkobjekt vom Typ {{Button|GeoIP|dr}} hinzugefügt werden.<br>Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen. <br>Ein Präfix ist optional möglich. <br>Siehe auch [[UTM/RULE/Portfilter#Netzwerkobjekte_erstellen | Wiki: Portfilter / Netzwerkobjekte erstellen]]
| Unter {{Menu|Firewall|Portfilter|Netzwerkobjekte|Objekt hinzufügen|+}} kann ein Netzwerkobjekt vom Typ {{Button|GeoIP|dr}} hinzugefügt werden.<br>Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen. <br>Ein Präfix ist optional möglich. <br>Siehe auch [[UTM/RULE/Portfilter#Netzwerkobjekte_erstellen | Wiki: Portfilter / Netzwerkobjekte erstellen]]
Zeile 239: Zeile 217:
{{var | CLI-Befehl anzeigen--desc
{{var | CLI-Befehl anzeigen--desc
| {{code|node geoip generate zone <zone> name <prefix>}}  
| {{code|node geoip generate zone <zone> name <prefix>}}  
<p>Der Prefixname ist optional, die Zone muss bereits existieren.</p>
<p>Der Prefixname ist optional, die Zone muss bereits existieren. </p>
<p>Beispiel: {{code|node geoip generate zone external2 name EXT2_}}</p>
<p>Beispiel: {{code|node geoip generate zone external2 name EXT2_}} </p>
Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2. <br>Für Deutschland hieße das dann ''EXT2_GEOIP:DE''
Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2. <br>Für Deutschland hieße das dann ''EXT2_GEOIP:DE''
| {{code|node geoip generate zone <zone> name <prefix>}} </p>
| {{code|node geoip generate zone <zone> name <prefix>}} </p>
The prefix name is optional, the zone must already exist.
The prefix name is optional, the zone must already exist.
<p>Example: {{code|node geoip generate zone external2 name EXT2_}}</p>
<p>Example: {{code|node geoip generate zone external2 name EXT2_}} </p>
This command creates an additional network object in the external2 zone for each region. <br>For Germany, this would then be called ''EXT2_GEOIP:DE'' }}
This command creates an additional network object in the external2 zone for each region.<br> For Germany, this would then be called ''EXT2_GEOIP:DE'' }}
{{var | CLI-Befehl anzeigen--Warnung
{{var | CLI-Befehl anzeigen--Warnung
| Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an
| Achtung: Dieser Befehl legt ca. 250 neue Netzwerkobjekte an
Zeile 261: Zeile 239:
| Anleitung als Kurz-Video
| Anleitung als Kurz-Video
| Instructions as a short video }}
| Instructions as a short video }}
{{var | neu--Ausnahmen
| Es lassen sich [[#GeoIP Einstellungen |Ausnahmen]] definieren
| It is possible to define [[#GeoIP Einstellungen |Exceptions]]. }}
{{var | Hinweis Outlook-App über USA
{{var | Hinweis Outlook-App über USA
| Soll die '''Outlook-App für iOS oder Android von Microsoft''' verwendet werden, muss hier ggf. zusätzlich der Zugriff aus weiteren Quellen (z.Zt.:USA) erlaubt werden.
| Soll die '''Outlook-App für iOS oder Android von Microsoft''' verwendet werden, muss hier ggf. zusätzlich der Zugriff aus weiteren Quellen (z.Zt.:USA) erlaubt werden.
| If the '''Outlook App for iOS or Android by Microsoft''' is to be used, access from other sources (currently:USA) may also have to be permitted here. }}
| If the '''Outlook App for iOS or Android by Microsoft''' is to be used, access from other sources (currently:USA) may also have to be permitted here. }}
{{var | Hinweis Outlook-App über USA--info
{{var | Hinweis Outlook-App über USA--info
|  Die Outlook-App von Microsoft baut keine direkte Verbindung auf, sondern leitet den gesamten Verkehr über Microsoft-Server. Deren Standort ist (Stand 08.2022) in den USA.<br>Dort werden auch die Zugangsdaten gespeichert!<br>Siehe auch https://www.heise.de/mac-and-i/meldung/Microsofts-Outlook-App-schleust-E-Mails-ueber-Fremd-Server-2533240.html
|  Die Outlook-App von Microsoft baut keine direkte Verbindung auf, sondern leitet den gesamten Verkehr über Microsoft-Server. Deren Standort ist (Stand 08.2022) in den USA.<br> Dort werden auch die Zugangsdaten gespeichert!<br> Siehe auch https://www.heise.de/mac-and-i/meldung/Microsofts-Outlook-App-schleust-E-Mails-ueber-Fremd-Server-2533240.html
|The Outlook app from Microsoft does not establish a direct connection, but routes all traffic via Microsoft servers. Their location is ( as at 08.2022) in the USA.  
|The Outlook app from Microsoft does not establish a direct connection, but routes all traffic via Microsoft servers. Their location is ( as at 08.2022) in the USA.<br> That's also where the access data is stored! }}
<br>That's also where the access data is stored! }}
{{var | Datenbank-Update per CLI
{{var | neu--Hinweis Outlook-App
| Datenbank-Update per CLI
| Hinweis zur Outlook-App im Beispiel [[#Beispiel:_Zugriff_erlauben | Zugriff erlauben]]
| Database update via CLI }}
| Hint for Outlook app in exmple [[#Example:_Allow_access | Allow access]] }}
{{var | Datenbank-Status per CLI--desc
| Der '''Status''' der Datenbank kann abgefragt werden mit dem Befehl:<br>{{code|geolocation info}}
| The '''status''' of the database can be queried with the command:<br>{{code|geolocation info}} }}
{{var | Datenbank-Update per CLI--desc
| Die Meldung ''need update'' erscheint, wenn es ein Update zur Verfügung steht.</p><p>
Ein '''Update''' der Datenbank erfolgt mit dem CLI-Befehl:<br>{{Code|geolocation update}} Achtung: Die Statusmeldung erfolgt mit einer kleinen Verzögerung von wenigen Sekunden.
| The message ''need update'' appears when an update is available.</p><p>
An '''update''' of the database is done with the CLI command:<br>{{Code|geolocation update}}. Attention: The status message occurs with a small delay of a few seconds. }}
{{var | Datenbank-Update--Hinweis
| Das System aktualisiert regelmäßig die Geo-IP Datenbanken automatisch.
| The system regularly updates the Geo-IP databases automatically. }}
{{var |
|
|  }}
{{var |
|
}}


----
----

Version vom 29. März 2023, 10:51 Uhr