(Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | Paketfilter | Paketfilter}} {{var | head | Anlegen und verwenden von Paketfilterregeln, Netzwerkobjekten, Diensten und Zeitprofilen | Creating and using packet filter rules, network objects, services and time profiles }} {{var | Paketfilter | Paketfilter | packet filter }} {{var | Paketfilter Beschreibung | Paketfilter Beschreibung | Packet filter Description }} {{var | Funk…“) |
Keine Bearbeitungszusammenfassung |
||
(6 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt) | |||
Zeile 5: | Zeile 5: | ||
{{var | display | {{var | display | ||
| Paketfilter | | Paketfilter | ||
| | | Packetfilter }} | ||
{{var | head | {{var | head | ||
| Anlegen und verwenden von Paketfilterregeln, Netzwerkobjekten, Diensten und Zeitprofilen | | Anlegen und verwenden von Paketfilterregeln, Netzwerkobjekten, Diensten und Zeitprofilen | ||
Zeile 11: | Zeile 11: | ||
{{var | Paketfilter | {{var | Paketfilter | ||
| Paketfilter | | Paketfilter | ||
| packet filter }} | | Packet filter }} | ||
{{var | Portfilter zu Paketfilter | |||
| Der Portfilter wurde in der Version 12.6 in Paketfilter umbenannt, was seiner Wirkungsweise wesentlich besser entspricht.<br> Die Funktion und Anordnung im Menü ist identisch geblieben. | |||
| The port filter was renamed the packet filter in version 12.6, which corresponds much better to its mode of operation.<br> The function and arrangement in the menu has remained identical. }} | |||
{{var | nftables--Hinweis | |||
| Ab v12.7.1 wird ''nftables'' statt ''iptables'' verwendet.<br> Das gilt für '''Neu'''installationen und für '''Updates'''! | |||
| From v12.7.1 ''nftables'' is used instead of ''iptables''.<br> This applies to ‘’‘new’‘’ installations and for '''updates'''! }} | |||
{{var | Umschalten per CLI | |||
| Ein Umschalten per CLI ist vorübergehend möglich | |||
| Switching via CLI }} | |||
{{var | bzw. | |||
| bzw. | |||
| or }} | |||
{{var | Umschalten per CLI--info | |||
| Diese Möglichkeit wird nur für eine Übergangsphase zur Verfügung stehen! | |||
| This option will only be available for a transitional phase! }} | |||
{{var | nft Test | |||
| In der Version 12.7.1.1 wird ''iptables'' vorübergehend wieder zur Default Rule Engine.<br> Für Testzwecke kann ''iptables'' durch ''nftables'' ersetzt werden. | |||
| In version 12.7.1.1, ''iptables'' temporarily becomes the default rule engine again.<br> For test purposes, ''iptables'' can be replaced by ''nftables''. }} | |||
{{var | nftables--info | |||
| ''Nftables'' bietet mehr Flexibiltät und aktuellere Kernelunterstützung und wurde als Ablösung von ''iptables'' entwickelt. | |||
| ''Nftables'' offers more flexibility and more up-to-date kernel support and was developed as a replacement for ''iptables''. }} | |||
{{var | Paketfilter Beschreibung | {{var | Paketfilter Beschreibung | ||
| Paketfilter Beschreibung | | Paketfilter Beschreibung | ||
| Packet filter Description }} | | Packet filter Description }} | ||
{{var | Funktion--desc | {{var | Funktion--desc | ||
| Der Paketfilter steuert den Datenverkehr, der durch die UTM geht. | | Der Paketfilter steuert den Datenverkehr, der durch die UTM geht. | ||
* Alle Netzwerk-Pakete, die durch die UTM gehen, werden gefiltert und nur aufgrund von Paketfilterregeln weitergeleitet | * Alle Netzwerk-Pakete, die durch die UTM gehen, werden gefiltert und nur aufgrund von Paketfilterregeln weitergeleitet | ||
* Dabei ist es unerheblich, ob sich die Zieladresse und Quelladresse des Paketes im gleichen Netzwerk, in einem anderen, lokalen Netzwerk oder im Internet und einem lokalen Netzwerk befindet. | * Dabei ist es unerheblich, ob sich die Zieladresse und Quelladresse des Paketes im gleichen Netzwerk, in einem anderen, lokalen Netzwerk oder im Internet und einem lokalen Netzwerk befindet. | ||
* Anhand von Quell-IP, Ziel-IP und verwendetem Dienst werden die Regeln '''von oben nach unten''' überprüft.<br> Die <nowiki>#</nowiki>laufende Nummer vor einer Regel gibt dabei die Reihenfolge der Regel'''erstellung''' an und bleibt permanent erhalten. Sie gibt nicht die Reihenfolge an, in der die Regel abgearbeitet wird! | |||
* Anhand von Quell-IP, Ziel-IP und verwendetem Dienst werden die Regeln '''von oben nach unten''' überprüft.<br>Die <nowiki>#</nowiki>laufende Nummer vor einer Regel gibt dabei die Reihenfolge der Regel'''erstellung''' an und bleibt permanent erhalten. Sie gibt nicht die Reihenfolge an, in der die Regel abgearbeitet wird! | |||
* Eine angelegte Regel kann mit gedrückter Maustaste auf das Icon {{spc|drag|o|-}} nachträglich in der Reihenfolge verschoben werden. | * Eine angelegte Regel kann mit gedrückter Maustaste auf das Icon {{spc|drag|o|-}} nachträglich in der Reihenfolge verschoben werden. | ||
| The packet filter controls the data traffic that passes through the UTM. | | The packet filter controls the data traffic that passes through the UTM. | ||
* All network packets that pass through the UTM are filtered and only forwarded based on packet filter rules. | * All network packets that pass through the UTM are filtered and only forwarded based on packet filter rules. | ||
* Thereby, it is irrelevant whether the destination address and source address of the packet are in the same network, in another, local network or in the Internet and a local network. | |||
* Thereby it is irrelevant whether the destination address and source address of the packet are in the same network, in another, local network or in the Internet and a local network. | * Based on the source IP, destination IP and service used, the rules are checked '''from top to bottom'''.<br> The sequential number before a rule <nowiki>#</nowiki> indicates the order of rule'''creation''' and is permanently retained. It does not indicate the order in which the rule is processed! | ||
* Based on the source IP, destination IP and service used, the rules are checked '''from top to bottom'''.<br>The sequential number before a rule <nowiki>#</nowiki> indicates the order of rule'''creation''' and is permanently retained. It does not indicate the order in which the rule is processed! | |||
* A rule that has been created can be subsequently moved in the order by holding down the mouse button on the icon {{spc|drag|o|-}}. }} | * A rule that has been created can be subsequently moved in the order by holding down the mouse button on the icon {{spc|drag|o|-}}. }} | ||
{{var | ACCEPT--desc | {{var | ACCEPT--desc | ||
| Leitet das Paket weiter | | Leitet das Paket weiter | ||
| Forwards the package }} | | Forwards the package }} | ||
{{var | DROP--desc | {{var | DROP--desc | ||
| Das Paket wird verworfen | | Das Paket wird verworfen | ||
| The package is dropped }} | | The package is dropped }} | ||
{{var | REJECT--desc | {{var | REJECT--desc | ||
| Es wird ein ICMP-Paket an den Absender geschickt, mit dem Hinweis, daß der Port nicht zur Verfügung steht. Im LAN können Reject-Regeln verhindern, daß Clients auf einen Timeout warten müssen. | | Es wird ein ICMP-Paket an den Absender geschickt, mit dem Hinweis, daß der Port nicht zur Verfügung steht. Im LAN können Reject-Regeln verhindern, daß Clients auf einen Timeout warten müssen. | ||
| An ICMP packet is sent to the sender indicating that the port is not available. In the LAN, reject rules can prevent clients from having to wait for a timeout. }} | | An ICMP packet is sent to the sender indicating that the port is not available. In the LAN, reject rules can prevent clients from having to wait for a timeout. }} | ||
{{var | QOS--desc | {{var | QOS--desc | ||
| Ermöglicht ein ''Quality of Service'' Profil anzugeben, daß die Bandbreite für Datenpakete, auf die diese Regel zutrifft limitiert.<br>Konfiguration der QoS-Profile im Menü {{Menu-UTM|Netzwerk|QoS|Profile|class=fs08}} | | Ermöglicht ein ''Quality of Service'' Profil anzugeben, daß die Bandbreite für Datenpakete, auf die diese Regel zutrifft limitiert.<br> Konfiguration der QoS-Profile im Menü {{Menu-UTM|Netzwerk|QoS|Profile|class=fs08}} | ||
| Allows you to specify a ''Quality of Service'' profile that limits the bandwidth for data packets to which this rule applies.<br>Configuration of the QoS profiles in the {{Menu-UTM|Network|QoS|Profile|class=fs08}} menu. | | Allows you to specify a ''Quality of Service'' profile that limits the bandwidth for data packets to which this rule applies.<br> Configuration of the QoS profiles in the {{Menu-UTM|Network|QoS|Profile|class=fs08}} menu. }} | ||
{{var | STATELESS--desc | {{var | STATELESS--desc | ||
| Lässt Verbindungen statusunabhägig zu | | Lässt Verbindungen statusunabhägig zu | ||
| Allows connections regardless of status }} | | Allows connections regardless of status }} | ||
{{var | Logging--desc | {{var | Logging--desc | ||
| Gibt an, wie ausführlich ein Zutreffen der Regel protokolliert wird. | | Gibt an, wie ausführlich ein Zutreffen der Regel protokolliert wird.<br> {{Hinweis-box|Neu ab v12.7.0|gr|12.7.0|status=neu}} Diese Einstellung ist auch in der Paketfilter Übersicht für einzelne Filter sowie auch komplette Gruppen vorhanden. | ||
| Specifies how extensively | | Specifies how extensively the application of the rule is logged.<br> {{Hinweis-box|New as of v12.7.0|gr|12.7.0|status=neu}} This setting is also available in the packet filter overview for individual filters as well as complete groups. }} | ||
{{var | | {{var | Schaltflächenbild einblenden | ||
| | | Schaltflächenbild einblenden | ||
| | | Show button image }} | ||
{{var | Loggingschaltfläche allgemein--Bild | |||
| UTM v12.7.0 Paketfilter Loggingschaltflaeche allgemein.png | |||
| UTM v12.7.0 Paketfilter Loggingschaltflaeche allgemein.png }} | |||
{{var | Logging--none--desc | {{var | Logging--none--desc | ||
| Keine Protokollierung | | Keine Protokollierung | ||
| No logging }} | | No logging }} | ||
{{var | | {{var | Loggingschaltfläche none--Bild | ||
| | | UTM v12.7.0 Paketfilter Loggingschaltflaeche none.png | ||
| | | UTM v12.7.0 Paketfilter Loggingschaltflaeche none.png }} | ||
{{var | Logging--short--desc | {{var | Logging--short--desc | ||
| Protokolliert die ersten die Einträge je Minute | | Protokolliert die ersten die Einträge je Minute | ||
| Logs the first entries per minute }} | | Logs the first entries per minute }} | ||
{{var | | {{var | Loggingschaltfläche short--Bild | ||
| | | UTM v12.7.0 Paketfilter Loggingschaltflaeche short.png | ||
| | | UTM v12.7.0 Paketfilter Loggingschaltflaeche short-en.png }} | ||
{{var | Logging--long--desc | {{var | Logging--long--desc | ||
| Protokolliert alle Einträge | | Protokolliert alle Einträge | ||
| Logs all entries }} | | Logs all entries }} | ||
{{var | Loggingschaltfläche long--Bild | |||
| UTM v12.7.0 Paketfilter Loggingschaltflaeche long.png | |||
| UTM v12.7.0 Paketfilter Loggingschaltflaeche long-en.png }} | |||
{{var | Gruppe | {{var | Gruppe | ||
| Gruppe | | Gruppe | ||
| Group }} | | Group }} | ||
{{var | Gruppe--desc | {{var | Gruppe--desc | ||
| Paketfilterregeln müssen einer Gruppe zugeordnet werden. Das erleichtert die Übersichtlichkeit beim Ergänzen des Regelwerkes. Außerdem können Regelgruppen mit einem Schalter aktiviert oder deaktiviert werden. | | Paketfilterregeln müssen einer Gruppe zugeordnet werden. Das erleichtert die Übersichtlichkeit beim Ergänzen des Regelwerkes. Außerdem können Regelgruppen mit einem Schalter aktiviert oder deaktiviert werden, {{Hinweis-box|Neu ab v12.7.0|gr|12.7.0|status=neu}} sowie die Loggingeinstellung aller beinhalteten Regeln zentral über eine Schaltfläche angepasst werden. | ||
| Packet filter rules must be assigned to a group. This | | Packet filter rules must be assigned to a group. This makes it easier to keep track when adding to the set of rules. In addition, rule groups can be activated or deactivated with a switch {{Hinweis-box|New as of v12.7.0|gr|12.7.0|status=neu}} and the logging settings of all rules contained can be adjusted centrally via a button. }} | ||
{{var | Regel-Ausnahme | {{var | Regel-Ausnahme | ||
| Soll für eine Regel ein Ausnahme erstellt werden, muss zunächst die (speziellere) Ausnahme definiert sein und danach erst die allgemeinere Regel. <br>Trifft für ein Paket die Ausnahme Regel zu, wird die angegebene Aktion ausgeführt und der Paketfilter beendet. <br>Trifft die Ausnahme Regel nicht zu, wird anschließend die allgemeinere Regel überprüft. <br>Trifft diese dann zu wird die dort angegebene Aktion ausgeführt. | | Soll für eine Regel ein Ausnahme erstellt werden, muss zunächst die (speziellere) Ausnahme definiert sein und danach erst die allgemeinere Regel. <br>Trifft für ein Paket die Ausnahme Regel zu, wird die angegebene Aktion ausgeführt und der Paketfilter beendet. <br>Trifft die Ausnahme Regel nicht zu, wird anschließend die allgemeinere Regel überprüft. <br>Trifft diese dann zu wird die dort angegebene Aktion ausgeführt. | ||
Zeile 126: | Zeile 123: | ||
| If no applicable rule exists for a data packet, the packet is discarded {{box|Default Drop|gelb}} }} | | If no applicable rule exists for a data packet, the packet is discarded {{box|Default Drop|gelb}} }} | ||
{{var | Paketfilter--Bild | {{var | Paketfilter--Bild | ||
| UTM v12. | | UTM v12.8.0 Paketfilter Uebersicht.png | ||
| UTM v12. | | UTM v12.8.0 Paketfilter Uebersicht-en.png }} | ||
{{var | Regeln aktualisieren | {{var | Regeln aktualisieren | ||
| Regeln aktualisieren | | Regeln aktualisieren | ||
| | | Update rules }} | ||
{{var | Typ | {{var | Typ | ||
| Typ | | Typ | ||
| Type }} | | Type }} | ||
{{var | Paketfilterregel | {{var | Paketfilterregel | ||
| Paketfilterregel | | Paketfilterregel | ||
| Packet filter rule }} | | Packet filter rule }} | ||
{{var | Paketfilterregel--desc | {{var | Paketfilterregel--desc | ||
| Die Grundstruktur einer Regel ist:<br> | | Die Grundstruktur einer Regel ist:<br> Quelle → Ziel → Dienst → Aktion | ||
Quelle → Ziel → Dienst → Aktion | | The basic structure of a rule is :<br> Source → Target → Service → Action }} | ||
| The basic structure of a rule is :<br> | |||
Source → Target → Service → Action }} | |||
{{var | Typische Beispiele | {{var | Typische Beispiele | ||
| Typische Beispiele | | Typische Beispiele | ||
Zeile 418: | Zeile 150: | ||
| [[#Netzwerkobjekte|Network object]] or user group that is permitted as the source of the data package. }} | | [[#Netzwerkobjekte|Network object]] or user group that is permitted as the source of the data package. }} | ||
{{var | Ziel | {{var | Ziel | ||
| Ziel | |||
| Destination }} | | Destination }} | ||
{{var | Ziel--desc | {{var | Ziel--desc | ||
Zeile 456: | Zeile 188: | ||
| Der Paketfilter wird von oben nach unten abgearbeitet. Trifft eine Regel zu, wird die Prüfung des Regelwerks beendet und die konfigurierte Aktion ausgeführt. Daher muss das Verbot von ftp '''vor''' der allgemeinen Erlaubnisregel stehen. Eine angelegte Regel kann mit Drag and Drop auf das Icon {{spc|drag|o|-}} verschoben werden und in der Reihenfolge gezielt plaziert werden. | | Der Paketfilter wird von oben nach unten abgearbeitet. Trifft eine Regel zu, wird die Prüfung des Regelwerks beendet und die konfigurierte Aktion ausgeführt. Daher muss das Verbot von ftp '''vor''' der allgemeinen Erlaubnisregel stehen. Eine angelegte Regel kann mit Drag and Drop auf das Icon {{spc|drag|o|-}} verschoben werden und in der Reihenfolge gezielt plaziert werden. | ||
| The packet filter is processed from top to bottom. If a rule applies, the check of the set of rules is terminated and the configured action is executed. Therefore, the prohibition of ftp must be '''before''' the general permission rule. A rule that has been created can be moved to the icon {{spc|drag|o|-}} with drag and drop and placed specifically in the order. }} | | The packet filter is processed from top to bottom. If a rule applies, the check of the set of rules is terminated and the configured action is executed. Therefore, the prohibition of ftp must be '''before''' the general permission rule. A rule that has been created can be moved to the icon {{spc|drag|o|-}} with drag and drop and placed specifically in the order. }} | ||
{{var | NAT--desc | {{var | NAT--desc | ||
| Die Network Address Translation ist die Umwandlung von IP-Adressen die in einem Netzwerk genutzt werden zu einer anderen IP-Adresse aus einem anderen Netz. Typischerweise bildet man alle intern genutzten privaten IP-Adressen in eine oder mehrere öffentlichen IP-Adressen ab. | | Die Network Address Translation ist die Umwandlung von IP-Adressen die in einem Netzwerk genutzt werden zu einer anderen IP-Adresse aus einem anderen Netz. Typischerweise bildet man alle intern genutzten privaten IP-Adressen in eine oder mehrere öffentlichen IP-Adressen ab. | ||
| Network Address Translation is the conversion of IP addresses used in a network to another IP address from another network. Typically, all internally used private IP addresses are mapped to one or more public IP addresses. }} | | Network Address Translation is the conversion of IP addresses used in a network to another IP address from another network. Typically, all internally used private IP addresses are mapped to one or more public IP addresses. }} | ||
{{var | Hide NAT--desc | {{var | Hide NAT--desc | ||
| Auch Source NAT genannt. Verbirgt die ursprüngliche IP Adresse hinter der IP-Adresse der verwendeten Schnittstelle.<br> | | Auch Source NAT genannt. Verbirgt die ursprüngliche IP Adresse hinter der IP-Adresse der verwendeten Schnittstelle.<br> | ||
Zeile 471: | Zeile 197: | ||
The standard case is data traffic from an internal network with private IP addresses to the Internet. <br>The IP from the local network is masked with the IP of the interface that establishes access to the Internet. }} | The standard case is data traffic from an internal network with private IP addresses to the Internet. <br>The IP from the local network is masked with the IP of the interface that establishes access to the Internet. }} | ||
{{var | Hide NAT--Bild | {{var | Hide NAT--Bild | ||
| UTM v12. | | UTM v12.7.0 Paketfilter HIDENAT.png | ||
| UTM v12. | | UTM v12.7.0 Paketfilter HIDENAT-en.png }} | ||
{{var | Dest. NAT--desc | {{var | Dest. NAT--desc | ||
| Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten.<br> | | Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten.<br><br> Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) des Servers (198.51.100.1/32) über die öffentliche IP-Adresse der Schnittstelle eth0 mit dem Port 10000 zugreifen möchten, müsste die Regel wie nebenstehend abgebildet angelegt werden.<br> Die zugehörigen Netzwerkobjekte und der Dienst auf Port 10000 müssen dazu angelegt sein. | ||
| Destination NAT is usually used to offer several services on different servers under one public IP address.<br><br> For example, if you want to access the SSH service (port 22) of the server (198.51.100.1/32) from the Internet via the public IP address of the eth0 interface with port 10000, the rule would have to be created as shown opposite.<br>The associated network objects and the service on port 10000 must be created for this. }} | |||
Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) des Servers (198.51.100.1/32) über die öffentliche IP-Adresse der Schnittstelle eth0 mit dem Port 10000 zugreifen möchten, müsste die Regel wie nebenstehend abgebildet angelegt werden.<br>Die zugehörigen Netzwerkobjekte und der Dienst auf Port 10000 müssen dazu angelegt sein. | |||
| Destination NAT is usually used to offer several services on different servers under one public IP address. | |||
<br> | |||
For example, if you want to access the SSH service (port 22) of the server (198.51.100.1/32) from the Internet via the public IP address of the eth0 interface with port 10000, the rule would have to be created as shown opposite.<br>The associated network objects and the service on port 10000 must be created for this. | |||
{{var | Dest. NAT--Bild | {{var | Dest. NAT--Bild | ||
| UTM v12. | | UTM v12.7.0 Paketfilter DESTNAT.png | ||
| UTM v12. | | UTM v12.7.0 Paketfilter DESTNAT-en.png }} | ||
{{var | Full Cone NAT--desc | {{var | Full Cone NAT--desc | ||
| Bei Full Cone NAT wird für den Absender der gleiche Port gesetzt, wie für den Empfänger. Allerdings werden als Absender auch andere IPs als die ursprünglich adressierte IP zugelassen. Kann ggf. bei VOIP hilfreich sein. | | Bei Full Cone NAT wird für den Absender der gleiche Port gesetzt, wie für den Empfänger. Allerdings werden als Absender auch andere IPs als die ursprünglich adressierte IP zugelassen. Kann ggf. bei VOIP hilfreich sein. | ||
| With Full Cone NAT, the same port is set for the sender as for the recipient. However, IPs other than the originally addressed IP are also permitted as senders. This can be helpful with VOIP. }} | | With Full Cone NAT, the same port is set for the sender as for the recipient. However, IPs other than the originally addressed IP are also permitted as senders. This can be helpful with VOIP. }} | ||
{{var | Full Cone NAT--Bild | {{var | Full Cone NAT--Bild | ||
| UTM v12. | | UTM v12.7.0 Paketfilter FULLCONENAT.png | ||
| UTM v12. | | UTM v12.7.0 Paketfilter FULLCONENAT-en.png }} | ||
{{var | HideNAT Exclude--desc | {{var | HideNAT Exclude--desc | ||
| HideNAT Exclude kommt in der Regel in Verbindung mit IPSec-VPN Verbindungen zum Einsatz. <br>Damit wird erreicht, daß Datenpakete für die VPN Gegenstelle mit der privaten IP-Adresse durch den VPN Tunnel geleitet werden.<br> | | HideNAT Exclude kommt in der Regel in Verbindung mit IPSec-VPN Verbindungen zum Einsatz. <br>Damit wird erreicht, daß Datenpakete für die VPN Gegenstelle mit der privaten IP-Adresse durch den VPN Tunnel geleitet werden.<br> Andernfalls würden diese, wie alle anderen Pakte in Richtung Internet, mit der öffentlichen WAN IP-Adresse maskiert werden und, da diese mit einer privaten Zieladresse versendet werden, am nächsten Internet Router verworfen.<br> Siehe dazu auch den [[UTM/RULE/Hidenat_Exclude | Wikiartikel HideNAT Exclude]]. | ||
Andernfalls würden diese, wie alle anderen Pakte in Richtung Internet, mit der öffentlichen WAN IP-Adresse maskiert werden und, da diese mit einer privaten Zieladresse versendet werden, am nächsten Internet Router verworfen.<br>Siehe dazu auch den [[UTM/RULE/Hidenat_Exclude | Wikiartikel HideNAT Exclude]]. | | HideNAT Exclude is usually used in connection with IPSec VPN connections. <br>This ensures that data packets for the VPN remote terminal are routed through the VPN tunnel with the private IP address.<br> Otherwise, these would be masked with the public WAN IP address like all other packets in the direction of the Internet and, since they are sent with a private destination address, would be discarded at the next Internet router.<br> See also the [[UTM/RULE/Hidenat_Exclude | Wiki article HideNAT Exclude]]. }} | ||
| HideNAT Exclude is usually used in connection with IPSec VPN connections. <br>This ensures that data packets for the VPN remote terminal are routed through the VPN tunnel with the private IP address. | |||
Otherwise, these would be masked with the public WAN IP address like all other packets in the direction of the Internet and, since they are sent with a private destination address, would be discarded at the next Internet router.<br>See also the [[UTM/RULE/Hidenat_Exclude | Wiki article HideNAT Exclude]]. }} | |||
{{var | HideNAT Exclude--Bild | {{var | HideNAT Exclude--Bild | ||
| UTM v12. | | UTM v12.7.0 Paketfilter HIDENAT_EXCLUDE.png | ||
| UTM v12. | | UTM v12.7.0 Paketfilter HIDENAT_EXCLUDE-en.png }} | ||
{{var | HideNAT Exclude--Regelübersicht--Bild | {{var | HideNAT Exclude--Regelübersicht--Bild | ||
| UTM v12.1 Portfilter Hidenat Exclude-Regelübersicht.png | | UTM v12.1 Portfilter Hidenat Exclude-Regelübersicht.png | ||
| UTM v12.1 Portfilter Hidenat Exclude-Regelübersicht-en.png }} | | UTM v12.1 Portfilter Hidenat Exclude-Regelübersicht-en.png }} | ||
{{var | NetMap--desc | {{var | NetMap--desc | ||
| NetMap dient dazu zwei gleiche Subnetze miteinander zu verbinden.<br> | | NetMap dient dazu zwei gleiche Subnetze miteinander zu verbinden.<br> Unter Verwendung von Hilfsnetzwerken (Mapnetz), die auf keiner der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen kollisionsfrei erstellt werden, ohne auf einer der Seiten das Subnetz komplett zu ändern. Eine Anleitung zum Verbinden zweier Netzwerke findet sich in einem eignen [[UTM/VPN/Netmap | Wikiartikel NetMap]] | ||
Unter Verwendung von Hilfsnetzwerken (Mapnetz), die auf keiner der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen kollisionsfrei erstellt werden, ohne auf einer der Seiten das Subnetz komplett zu ändern. Eine Anleitung zum Verbinden zweier Netzwerke findet sich in einem eignen [[UTM/VPN/Netmap | Wikiartikel NetMap]] | | NetMap is used to connect two identical subnets with each other.<br> Using auxiliary networks (mapnet), which are not set up on either of the remote sites to be connected, these connections can be created collision-free without completely changing the subnet on either side. Instructions for connecting two networks can be found in a dedicated [[UTM/VPN/Netmap | Wiki article NetMap]] }} | ||
| NetMap is used to connect two identical subnets with each other.<br> | |||
Using auxiliary networks (mapnet), which are not set up on either of the remote sites to be connected, these connections can be created collision-free without completely changing the subnet on either side. Instructions for connecting two networks can be found in a dedicated [[UTM/VPN/Netmap | Wiki article NetMap]] }} | |||
{{var | NetMap--Bild | {{var | NetMap--Bild | ||
| UTM v12. | | UTM v12.7.0 Paketfilter NETMAP.png | ||
| UTM v12. | | UTM v12.7.0 Paketfilter NETMAP-en.png }} | ||
{{var | HideNAT Exclude--Hinweis | {{var | HideNAT Exclude--Hinweis | ||
| Die HideNAT-Exclude Regel muss dabei '''vor''' der HideNAT Regel stehen, damit die Ausnahme greift. | | Die HideNAT-Exclude Regel muss dabei '''vor''' der HideNAT Regel stehen, damit die Ausnahme greift. | ||
| The HideNAT-Exclude rule must come '''before''' the HideNAT rule for the exception to apply. }} | | The HideNAT-Exclude rule must come '''before''' the HideNAT rule for the exception to apply. }} | ||
{{var | Rule Routing--desc | {{var | Rule Routing--desc | ||
| Im Abschnitt {{Kasten|1=[ - ] Extras}} wird im Feld {{Kasten|Rule Routing}} regelbasiert festgelegt, welche Route IP-Pakete nehmen sollen.<br>Im nebenstehenden Beispiel werden alle VOIP-Pakete über die Schnittstelle wan0 geleitet. | | Im Abschnitt {{Kasten|1=[ - ] Extras}} wird im Feld {{Kasten|Rule Routing}} regelbasiert festgelegt, welche Route IP-Pakete nehmen sollen.<br> Im nebenstehenden Beispiel werden alle VOIP-Pakete über die Schnittstelle wan0 geleitet. | ||
| In the {{Kasten|1=[ - ] Extras}} section, the {{Kasten|Rule Routing}} field is used to specify, based on rules, which route IP packets should take.<br> In the example opposite, all VOIP packets are routed via the wan0 interface. }} | |||
{{var | Rule Routing--Bild | {{var | Rule Routing--Bild | ||
| UTM v12.6 Paketfilter Rule-Routing.png | | UTM v12.6 Paketfilter Rule-Routing.png | ||
Zeile 557: | Zeile 244: | ||
| Paketfilterregel Einstellungen | | Paketfilterregel Einstellungen | ||
| Packet filter Rule Settings }} | | Packet filter Rule Settings }} | ||
{{var | | {{var | Regel Einstellungen | ||
| | | Regel Einstellungen | ||
| | | Rule settings }} | ||
{{var | Netzwerkobjekt | {{var | Netzwerkobjekt | ||
| Netzwerkobjekt | | Netzwerkobjekt | ||
| Network object }} | | Network object }} | ||
{{var | Netzwerkobjekt--desc | {{var | Netzwerkobjekt--desc | ||
| Netzwerkobjekt, das die Übersetzung der IP Adressen, also das Natten, vornimmt.<br>Die IP-Adresse dieses Netzwerkobjektes wird dann als Absender-IP Der Datenpakete im Zielnetz verwendet.<br>In der Regel sollte das also die Schnittstelle sein, deren IP Adresse dem Zielnetz bekannt ist, damit Antwortpakete auch korrekt zugestellt werden können. | | Netzwerkobjekt, das die Übersetzung der IP Adressen, also das Natten, vornimmt.<br> Die IP-Adresse dieses Netzwerkobjektes wird dann als Absender-IP Der Datenpakete im Zielnetz verwendet.<br> In der Regel sollte das also die Schnittstelle sein, deren IP Adresse dem Zielnetz bekannt ist, damit Antwortpakete auch korrekt zugestellt werden können. | ||
| The IP address of this network object is then used as the sender IP of the data packets in the target network.<br>As a rule, this should be the interface whose IP address is known to the target network so that reply packets can also be correctly delivered. }} | | The IP address of this network object is then used as the sender IP of the data packets in the target network.<br> As a rule, this should be the interface whose IP address is known to the target network so that reply packets can also be correctly delivered. }} | ||
{{var | QOS-Extras--desc | {{var | QOS-Extras--desc | ||
| Reduziert die zur Verfügung stehende Bandbreite für Datenpakete, auf die diese Regel zutrifft auf den Wert der im Menü {{Menu|Netzwerk|QoS|Profile|class=fs08}} für das Ausgewählte Profil konfiguriert wurde. | | Reduziert die zur Verfügung stehende Bandbreite für Datenpakete, auf die diese Regel zutrifft auf den Wert der im Menü {{Menu|Netzwerk|QoS|Profile|class=fs08}} für das Ausgewählte Profil konfiguriert wurde. | ||
| Reduces the available bandwidth for data packets to which this rule applies to the value configured for the Selected Profile in the {{Menu|Network|QoS|Profile|class=fs08}} menu. }} | | Reduces the available bandwidth for data packets to which this rule applies to the value configured for the Selected Profile in the {{Menu|Network|QoS|Profile|class=fs08}} menu. }} | ||
{{var | QOS-Extras--Hinweis | {{var | QOS-Extras--Hinweis | ||
| Steht nur zur Verfügung, wenn als {{b| | | Steht nur zur Verfügung, wenn als {{b|Aktion}} {{Button|QOS|dr}} ausgewählt wurde. | ||
| Only available when {{Button|QOS|dr}} is selected as {{Box|Action|class=Label}}. }} | | Only available when {{Button|QOS|dr}} is selected as {{Box|Action|class=Label}}. }} | ||
{{var | Zeitprofil | {{var | Zeitprofil | ||
Zeile 588: | Zeile 272: | ||
| Alternative text that can be displayed instead of the rule details.<br>The alternative texts are displayed with the button {{Button||dro|class=fas fa-cog}} }} | | Alternative text that can be displayed instead of the rule details.<br>The alternative texts are displayed with the button {{Button||dro|class=fas fa-cog}} }} | ||
{{var | Beschreibung--Bild | {{var | Beschreibung--Bild | ||
| UTM v12. | | UTM v12.7.0 Paketfilter Beschreibung.png | ||
| UTM v12. | | UTM v12.7.0 Paketfilter Beschreibung-en.png }} | ||
{{var | Beschreibung--val | {{var | Beschreibung--val | ||
| Erweiterte Regeldetails anzeigen | | Erweiterte Regeldetails anzeigen | ||
Zeile 601: | Zeile 285: | ||
{{var | Autogenerierte Regeln--desc | {{var | Autogenerierte Regeln--desc | ||
| Die UTM verfügt ab Werk über autogenerierte Regeln. <br>Diese Regeln lassen zunächst jeden Datenverkehr in die bestehenden Netze zu und geben für interne Netze auch zusätzlich die Proxy-und DNS-Dienste der jeweiligen Schnittstelle frei | | Die UTM verfügt ab Werk über autogenerierte Regeln. <br>Diese Regeln lassen zunächst jeden Datenverkehr in die bestehenden Netze zu und geben für interne Netze auch zusätzlich die Proxy-und DNS-Dienste der jeweiligen Schnittstelle frei | ||
| The UTM has autogenerated rules ex works. <br>These rules initially allow all data traffic into the existing networks and also release the proxy and DNS services of the respective interface for internal networks }}. | |||
{{var | Autogenerierte Regeln--Hinweis | {{var | Autogenerierte Regeln--Hinweis | ||
| Diese Regeln dienen ausschließlich dazu, die Inbetriebnahme der Firewall zu ermöglichen. <br>Sie lassen sich nicht bearbeiten und müssen unbedingt durch individualisierte Regeln ersetzt und anschließend deaktiviert oder gelöscht werden! | | Diese Regeln dienen ausschließlich dazu, die Inbetriebnahme der Firewall zu ermöglichen. <br>Sie lassen sich nicht bearbeiten und müssen unbedingt durch individualisierte Regeln ersetzt und anschließend deaktiviert oder gelöscht werden! | ||
Zeile 609: | Zeile 293: | ||
| autogenerated }} | | autogenerated }} | ||
{{var | Autogenerierte Regeln--ausblenden | {{var | Autogenerierte Regeln--ausblenden | ||
| Die Sichtbarkeit der autogenerierte Regeln lassen sich in einem Dropdownmenü {{Button||dro|class=fas fa-cog}} mit diesem Schalter regeln: {{ic|{{ButtonAn| | | Die Sichtbarkeit der autogenerierte Regeln lassen sich in einem Dropdownmenü {{Button||dro|class=fas fa-cog}} mit diesem Schalter regeln: {{ic|{{ButtonAn|Ein}} autogenerierte Regeln anzeigen|class=pd5}} | ||
| The visibility of the autogenerated rules can be controlled in the {{Button|1={{Button||dro|class=fas fa-cog}} }} drop-down menu with this switch: {{ic|{{ButtonAn| | | The visibility of the autogenerated rules can be controlled in the {{Button|1={{Button||dro|class=fas fa-cog}} }} drop-down menu with this switch: {{ic|{{ButtonAn|On}} Show auto-generated rules|class=pd5}} }} | ||
{{var | Regel hinzufügen | {{var | Regel hinzufügen | ||
| Regel hinzufügen | | Regel hinzufügen | ||
| Add Rule }} | | Add Rule }} | ||
{{var | Regeln aktualisieren--Hinweis | {{var | Regeln aktualisieren--Hinweis | ||
| Nach dem Bearbeiten oder Hinzufügen einer Regel muss das Regelwerk aktualisiert werden.<br>Erst danach werden die Regeln angewendet! | | Nach dem Bearbeiten oder Hinzufügen einer Regel muss das Regelwerk aktualisiert werden.<br> Erst danach werden die Regeln angewendet! | ||
| After editing or adding a rule, the rulebook must be updated.<br>Only after that will the rules be applied! | | After editing or adding a rule, the rulebook must be updated.<br> Only after that will the rules be applied! }} | ||
{{var | Regeln aktualisieren | {{var | Regeln aktualisieren | ||
| Regeln aktualisieren | | Regeln aktualisieren | ||
| Update Rules }} | | Update Rules }} | ||
{{var | Allgemein | {{var | Allgemein | ||
| Allgemein | | Allgemein | ||
| General }} | | General }} | ||
{{var | | {{var | Allgemein--Bild | ||
| | | UTM v14.0.0 Paketfilter Allgemein.png | ||
| | | UTM v14.0.0 Paketfilter Allgemein-en.png }} | ||
{{var | Allgemein--cap | |||
| Paketfilterregel-Einstellungen {{Reiter|Allgemein}} | |||
| Packet filter rule settings {{Reiter|General}} }} | |||
{{var | Dienst--desc | {{var | Dienst--desc | ||
| Gewünschter Dienst mit hinterlegtem Port (siehe [[#Dienste | Dienste]]) | |||
| Desired service with stored port (see tab {{Reiter|[[#Services | Services]]}}) }} | | Desired service with stored port (see tab {{Reiter|[[#Services | Services]]}}) }} | ||
{{var | hinzufügen | {{var | hinzufügen | ||
Zeile 641: | Zeile 325: | ||
| Es wird kein NAT durchgeführt | | Es wird kein NAT durchgeführt | ||
| No NAT is performed }} | | No NAT is performed }} | ||
{{var | Netzwerkobjekt wechseln | {{var | Netzwerkobjekt wechseln | ||
| Netzwerkobjekt wechseln | |||
| Switch network object }} | | Switch network object }} | ||
{{var | Netzwerkobjekt wechseln--desc | {{var | Netzwerkobjekt wechseln--desc | ||
| Tauscht die Netzwerkobjekte ''Quelle'' und ''Ziel'' | | Tauscht die Netzwerkobjekte ''Quelle'' und ''Ziel'' | ||
| Exchanges the network objects ''Source'' and ''Destination'' }} | | Exchanges the network objects ''Source'' and ''Destination'' }} | ||
{{var | 1= Paketfilterregel-Hinweis | {{var | 1= Paketfilterregel-Hinweis | ||
| 2= Mit | | 2= Mit {{Button||copy}} <span class=Hover>Regel kopieren</span> können Regeln kopiert werden: Der Dialog ''Regel hinzufügen'' wird mit einer Kopie der jeweiligen Regel geöffnet. | ||
| 3= With | | 3= With {{Button||copy}} <span class=Hover>copy rules</span>rules can be copied. The ''Add Rule'' dialogue opens with a copy of the respective rule.}} | ||
{{var | | {{var | Logging Slider | ||
| | | 2=Das Logging lässt sich direkt in der Übersicht für einzelne Regeln oder Regelgruppen verändern (siehe Abschnitt [[#Logging | Logging]] {{Logging-Slider|2}} ) und {{Hinweis-box|Neu ab v14.0:|gr|14.0|status=neu}} über die Schaltfläche {{Button||class=fas fa-chart-bar}} <span class=Hover>Paketfilter Log</span> für die einzelnen Regeln einsehen oder über {{Button-dialog|Paketfilter Log|fa-chart-bar}} für alle Regeln einsehen. | ||
| 3=Logging can be changed directly in the overview for individual rules or rule groups (see section [[#Logging | Logging]] {{Logging-Slider|4}} ) and {{Hinweis-box|New from v14.0:|gr|14.0|status=neu}} with the button {{Button||class=fas fa-chart-bar}}<span class=Hover>Packetfilter Log</span> for the individual rules or with {{Button-dialog|Packetfilter Log|fa-chart-bar}} for all rules. }} | |||
{{ | {{var | Logging Schaltfläche--Hinweis | ||
| Es wird anhand des Log-Attributes geloggt und nicht anhand der Id, dieses ist nicht garantiert einzigartig und es kann somit zu falsch angezeigten Logging Einträgen kommen. | |||
| Logging is based on the log attribute and not on the ID, which is not guaranteed to be unique and may therefore result in incorrectly displayed logging entries. }} | |||
{{ | {{var | Log--Bild | ||
| UTM v14.0.0 Paketfilter Log.png | |||
| UTM v14.0.0 Paketfilter Log-en.png }} | |||
{{var | Log--cap | |||
| | | Paketfilterregel-Einstellungen {{Reiter|Log}} | ||
| Packet filter rule settings {{Reiter|Log}} }} | |||
{{ | {{var | Log Alias--desc | ||
| 2=Kurzer (maximal 10 Zeichen langer) Alias für die Paketfilterregel, der im Log statt der Id angezeigt wird.<br> | |||
<li class="list--element__alert list--element__positiv">Der Alias muss nicht für diese Regel einzigartig sein.</li> | |||
{{ | | 3= }} | ||
{{var | | |||
| | |||
{{ | |||
{{var | | |||
| | |||
| | |||
{{var | | |||
| UTM | |||
| UTM | |||
{{var | | |||
| | |||
| | |||
{{var | | |||
| | |||
| | |||
{{var | | |||
| | |||
| }} | | }} | ||
---- | ---- |
UTM/RULE/Paketfilter.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki