UTM/RULE/Implizite Regeln: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied Zum nächsten Versionsunterschied →

Version vom 10. August 2023, 17:42 Uhr

Implizite Regeln der UTM

Letzte Anpassung zur Version: 12.5.0

Neu:

Geänderte Default-Einstellungen bei Neuinstallationen für Kein NAT für IPSec Verbindungen

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

12.4 12.2 12.1 11.7

Implizite Regeln

Einstellungen im Menü Firewall Implizite Regeln .
Für bestimmte Anwendungsfälle wurden Implizite Regeln hinzugefügt. Diese Regeln können ganz einfach vom Anwender je nach Bedarf aktiviert oder deaktiviert werden. Einige von diesen Regeln sind bereits default aktiv.

notempty

Die Eingangs-Zonen sind für diese Regeln nicht relevant, d.h. bei Aktivierung sind ggf. Ports auf allen Schnittstellen freigegeben.

Gruppe	Regel	Beschreibung	Protokoll	Port
BlockChain		Aktiviert / deaktiviert die gesamte Gruppe			Ein
		Zugriff per ssh.Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS / IPS Wiki Artikel	TCP	22	Ein
		Zugriff über das Admin Interface. Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS / IPS Wiki Artikel Port Änderungen möglich unter Netzwerk Servereinstellungen	TCP	11115*	Ein
		Zugriff über das User Interface. Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS / IPS Wiki Artikel Port Änderungen möglich unter Netzwerk Servereinstellungen	TCP	443*	Ein
		Zugriff über das Mailgateway. Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS / IPS Wiki Artikel Port Änderungen möglich unter Anwendungen Mailrelay Bereich Smarthost	TCP	25*	Ein
		Umleitung des Verkehrs auf eine Landingpage ermöglichen			Aus
		Öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können. Port Änderungen möglich unter Anwendungen Captive Portal Bereich Erweitert	TCP	8085*	Aus
		Umleitung des Traffics auf den oben genannten Port.			Aus
		Akzeptiert Verbindungen mit dem Protokoll IPComp (Komprimierung der Datenpakete, IP-Protokoll Nummer 108)	IPComp		Aus
		Aktiviert / deaktiviert die gesamte Gruppe			Aus
	Accept	Akzeptiert Ein- und Ausgehend en Datenverkehr einer IPSec-Verbindung			Ein
	Kein NAT für IPSec Verbindungen	Nimmt alle IPSec-Verbindungen vom NAT aus Geänderte Default Einstellung für Neu-Installationen ab v12.5			Ein
		Akzeptiert Anfragen für das Bootstrap Protokoll Bootp zur Übermittlung einer IP Adresse und ggf. weiterer Parameter Anfragen für DHCP (Erweiterung von Bootp)	UDP	67	Ein
				68

		Verwirft diese Pakete ohne Logmeldung	UDP	138	Ein
		Verwirft diese Pakete ohne Logmeldung	UDP	137	Ein
		Verwirft diese Pakete ohne Logmeldung	UDP	139	Ein
VPN		Akzeptiert Verbindungen auf Port 500/UDP	UDP	500	Ein
		Akzeptiert Verbindungen mit dem Protokoll ESP (50)	ESP		Ein
		Akzeptiert Verbindungen auf Port 4500/UDP	UDP	4500	Ein
		Akzeptiert Verbindungen auf Ports, für die eine SSL-VPN-Instanz mit dem Protokoll UDP konfiguriert wurde	UDP	1194	Ein
		Akzeptiert Verbindungen auf Ports, für die eine SSL-VPN-Instanz mit dem Protokoll TCP konfiguriert wurde	TCP	1194	Ein
		Akzeptiert Verbindungen auf Port 443/TCP. Erforderlich für das User Interface.	TCP	443	Aus
		Ermöglicht Verbindungen mit dem Wireguard Protokoll. Port Änderungen möglich unter VPN WireGuard Schaltfläche Bearbeiten der Verbindung	UDP	51280*	Aus

Systemweite Sperrungen
notempty Aufruf Verschoben und Layout aktualisiert zur v14.0.1 Unter Anwendungen IDS/IPS Bereich Systemweite Sperrungen lassen sich systemweite Sperrungen von IP-Adressen bewirken. Es können einzelne IP-Adressen oder ganze GeoIP Gruppen als Quellen und/oder Ziele blockiert werden. notempty Diese Einstellungen gelten systemweit in allen Zonen und werden vor den Paketfilter-Regeln angewendet!
Beschriftung	Wert	Beschreibung	Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Konfiguration für Systemweite Sperrungen
IP-Adressen IP-Adressen notempty Neu ab v14.0.1
Quell-Adressen systemweit ablehnen:	Ja	Aktiviert das Ablehnen von IP-Adressen als Quellen
Ziel-Adressen systemweit ablehnen:	Ja	Aktiviert das Ablehnen von IP-Adressen als Ziele
IP-Adressen:	»203.0.113.13	IP-Adressen, die systemweit auf allen Schnittstellen blockiert werden Im Log erscheint dazu unter Alle Paketfilter-Meldungen z.B.: ulgogd REJECT: IPBlockingList_RejectSrc Es können nur einzelne IP-Adressen, keine Range, blockiert werden
GeoIP Quellen GeoIP Quellen
GeoIP Quellen systemweit ablehnen:	Ein	Aktiviert die GeoIP Einstellungen für abgelehnte Quellen
Systemweit abgelehnte Quellen:	»BX (Beliebiges Beispiel)	In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen.
Gruppe:	Alle	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
	Hinzufügen	Fügt die Regionen aus der ausgewählten Gruppe hinzu
	Entfernen	Entfernt die Regionen aus der ausgewählten Gruppe
Ausnahmen:	»IP-Adresse	Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden.
GeoIP Ziele GeoIP Ziele
GeoIP Ziele systemweit ablehnen:	Ein	Aktiviert die GeoIP Einstellungen für abgelehnte Ziele
Systemweit abgelehnte Ziele:	BX (Beliebiges Beispiel)	In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen. Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode.
Gruppe:	Alle	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
	Hinzufügen	Fügt die Regionen aus der ausgewählten Gruppe hinzu
	Entfernen	Entfernt die Regionen aus der ausgewählten Gruppe
Ausnahmen:	IP-Adresse	Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden.

@@ Zeile 4: / Zeile 4: @@
 {{:UTM/RULE/Implizite_Regeln.lang}}
-{{var	| neu-Eigener Reiter
+{{var	| neu--Kein_NAT
-		| GeoIP ist nun in einem eigenen Reiter
+		| Geänderte Default-Einstellungen bei Neuinstallationen für [[#Kein_NAT| ''Kein NAT für IPSec Verbindungen'']]
-		| GeoIP now has its own tab }}
+		| Changed default settings for new installations for [[#Kein_NAT| ''No NAT for IPSec Connections'']] }}
-{{var	| neu-vorausgewählte Gruppe
-		| In den GeoIP-Einstellungen gibt es nun vordefinierte Gruppe
-		| In the GeoIP settings there are now preset groups }}
 </div>{{Select_lang}}{{TOC2}}
-{{Header|12.4|
+{{Header|12.5.0|
-* {{#var:neu-Eigener Reiter}}
+* {{#var:neu--Kein_NAT}}
-* {{#var:neu-vorausgewählte Gruppe}}
+|[[UTM/RULE/Implizite_Regeln_v12.4 | 12.4]]
-|[[UTM/RULE/Implizite_Regeln_v12.2 | 12.2]]
+[[UTM/RULE/Implizite_Regeln_v12.2 | 12.2]]
 [[UTM/RULE/Implizite_Regeln_v12.1 | 12.1]]
 [[UTM/RULE/Implizite_Regeln_v11.7 | 11.7]]
@@ Zeile 26: / Zeile 23: @@
 {{#var:Implizite Regeln--Menu}}
 <br>
-{{Hinweis-neu|!! {{#var:Implizite Regeln--Zonen-Hinweis}}|r}}
+{{Hinweis-box| {{#var:Implizite Regeln--Zonen-Hinweis}}|r|fs__icon=em2}}
 <br clear=all></div>
@@ Zeile 60: / Zeile 57: @@
 | Accept || {{#var:IPSec--Accept--desc}} ||  ||  || {{ButtonAn|{{#var:ein}} }}
 |-
-| {{#var:Kein NAT für IPSec Verbindungen}} || {{#var:Kein NAT für IPSec Verbindungen--desc}}<br><li class="list--element__alert list--element__hint small">{{#var:Kein NAT für IPSec Verbindungen--Hinweis}}</li>
+| <span class=Kein_NAT></span>{{#var:Kein NAT für IPSec Verbindungen}} || {{#var:Kein NAT für IPSec Verbindungen--desc}}<br><li class="list--element__alert list--element__positiv small bold">{{#var:Kein NAT für IPSec Verbindungen--Hinweis}}</li>
-|   ||  || {{ButtonAus|{{#var:aus}} }}
+| || || {{ButtonAn|{{#var:ein}} }}  {{Hinweis-box||gr|12.5|status=update}}
 |-
 | rowspan="3" | {{#var:Silent Services Accept}} || rowspan="3" | {{#var:Bootp}} || rowspan="3" | {{#var:Bootp--desc}}

Version vom 10. August 2023, 17:42 Uhr

Implizite Regeln

Systemweite Sperrungen

IP-Adressen

GeoIP Quellen

GeoIP Ziele