Wechseln zu:Navigation, Suche
Wiki

UTM/RULE/Paketfilter: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
KKeine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(9 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 5: Zeile 5:
{{:UTM/RULE/Paketfilter.lang}}
{{:UTM/RULE/Paketfilter.lang}}


{{var | neu--Logginganzeige
{{var | neu--Log Navigationsbutton
| [[#Logging|Logginganzeige/-konfiguration]] in Paketfilterübersicht
| Schaltflächen für Log Zugriff
| [[#Logging|Logging display/configuration]] in packet filter overview }}
| Buttons for log access }}
{{var | neu--nftables
{{var | neu--Log Alias
| Iptables wird durch nftables abgelöst
| Neues Attribut [[#Log|Log Alias]]
| Iptables is replaced by nftables }}
| New attribute [[#Log|Log Alias]] }}
{{var | neu--cloud-verwaltet
| Cloud-verwaltete [[#Paketfilterregel|Paketfilterregeln]] und [[#Netzwerkobjekte|Netzwerkobjekte]]
| Cloud-managed [[#Packet_filter_rule|Packet filter rules]] and [[#Network_objects|Network objects]] }}
{{var | neu--autgen Regeln bearbeiten
| [[#Autogenerierte Regeln|Autogenerierte Regeln]] lassen sich bearbeiten
| [[#Autogenerated_rules|Autogenerated rules]] can be edited }}
{{var | neu--Tabellen-Menü
| [[#Paketfilterregel Einstellungen|Tabellen-Menü]] zur Layoutanpassung
|  }}
{{var | neu--Regelassistent
| Hinweis auf den [[UTM/RULE/Regel_Assistent|Regelassistenten]] eingefügt
|  }}
 
{{var | neu--Log für Paketfiltergruppen
| [[#Paketfilterregel|Log-Schaltfläche für Paketfiltergruppen]]
| [[#Packet_filter_rule|Log button for packet filter groups]] }}
{{var | neu--QoS Option verschoben
| [[#QoS-config|QoS Konfiguration]] {{info|unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} }} verschoben von Bereich ''Extras'' zu ''Allgemein''
| [[#QoS-config|QoS configuration]] {{info|under {{Menu-UTM|Firewall|Packetfilter||Add rule|+}} }} moved from ''Extras'' section to ''General'' }}
{{var | neu--Option verschoben--desc
| Option verschoben
| Option postponed }}


</div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit=2}}
</div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit=2}}
{{Header|12.7.0|
{{Header|14.1.0|
* {{#var:neu--Logginganzeige}}
* {{#var:neu--QoS Option verschoben}}
<!-- * {{#var:neu--nftables}} -->
* {{#var:neu--Log für Paketfiltergruppen}}
|[[UTM/RULE/Paketfilter_v12.6.0 | 12.6]]
| zuletzt=09.2025
* {{#var:neu--Regelassistent}}
|vorher-ver=14.0.1
|vorher=
* {{#var:neu--cloud-verwaltet}}
* {{#var:neu--autgen Regeln bearbeiten}}
* {{#var:neu--Tabellen-Menü}}
* {{#var:neu--Log Alias}} <small>(v14.0)</small>
* {{#var:neu--Log Navigationsbutton}} <small>(v14.0)</small>
|[[UTM/RULE/Paketfilter_v14.0.1 | 14.0.1]]
[[UTM/RULE/Paketfilter_v12.7.1.1 | 12.7.1.1]]
[[UTM/RULE/Paketfilter_v12.6.0 | 12.6]]
[[UTM/RULE/Portfilter_v12.4 | 12.4]]
[[UTM/RULE/Portfilter_v12.4 | 12.4]]
[[UTM/RULE/Portfilter_v12.2.3 | 12.2]]
[[UTM/RULE/Portfilter_v12.2.3 | 12.2]]
[[UTM/RULE/Portfilter_v12.1 | 12.1]]
[[UTM/RULE/Portfilter_v12.1 | 12.1]]
[[UTM/RULE/Portfilter_v11.7 | 11.7]]
[[UTM/RULE/Portfilter_v11.7 | 11.7]]
| {{Menu-UTM|Firewall|Paketfilter}}
|{{Menu-UTM|Firewall|Paketfilter}}
}}
}}
<br>
<br>
Zeile 27: Zeile 60:
----
----


<!--  
<!--
<li class="list--element__alert list--element__hint em2">
<li class="list--element__alert list--element__hint em2">
{{#var:nftables--Hinweis}} {{info|{{#var:nftables--info}} }}<br>
{{#var:nftables--Hinweis}} {{info|{{#var:nftables--info}} }}<br>
{{Einblenden|{{#var:Umschalten per CLI}}|{{#var:hide}}|dezent|true}}
{{#var:Umschalten per CLI}}{{info|
{{code|system rule_engine set value "nftables"}}
{{code|system rule_engine set value "nftables"}}<br>
{{#var:bzw.}}
{{#var:bzw.}}<br>
{{code|system rule_engine set value "iptables"}}
{{code|system rule_engine set value "iptables"}}<br>
{{#var:Umschalten per CLI--info}}
| icon=code}}
</div></div></span></li>
</div></div></span></li>
-->
-->
<li class="list--element__alert list--element__hint">{{#var:nft Test}}{{info|{{#var:nftables--info}} <br>{{code|system rule_engine set value "nftables"}}<br>{{#var:bzw.}}<br>{{code|system rule_engine set value "iptables"}}
| icon=code}} </li>


<br clear=all>
<br clear=all>
=== {{#var:Paketfilter Beschreibung}} ===
=== {{#var:Paketfilter Beschreibung}} ===
<div class="Einrücken">
<div class="Einrücken">
{{Bild| {{#var:Paketfilter--Bild}} |{{#var:Menü Paketfilter}}||{{#var:Paketfilter}}|Firewall|icon=fa-play|icon-text={{#var:Regeln aktualisieren}}|class=Bild-t}}
{{Bild| {{#var:Paketfilter--Bild}} |{{#var:Menü Paketfilter}}||{{#var:Paketfilter}}|Firewall|icon=fa-chart-bar|icon-text={{#var:Paketfilter}} Log|icon2=fa-play|icon2-text={{#var:Regeln aktualisieren}}|class=Bild-t}}
{{#var:Funktion--desc}}
{{#var:Funktion--desc}}
<li class="list--element__alert list--element__warning">{{#var:Regel-Ausnahme}}</li>
<li class="list--element__alert list--element__warning">{{#var:Regel-Ausnahme}}</li>
Zeile 56: Zeile 94:
* {{#var:Paketfilterregel-Hinweis}}
* {{#var:Paketfilterregel-Hinweis}}
* {{#var:Logging Slider}}
* {{#var:Logging Slider}}
<li class="list--element__alert list--element__hint">{{#var:Logging Schaltfläche--Hinweis}}</li>
</div>
</div>


{| class="Einrücken sptable2 Paketfilter pd5 tr--bc__white zh1"
{| class="Einrücken sptable2 Paketfilter pd5 tr--bc__white zh1"
|- class="bold small no1cell"
|- class="bold small no1cell"
| class="Leerzeile bc__default" | '''{{#var:Typische Beispiele}}:''' || || <nowiki>#</nowiki> || style="min-width:12em;" | {{#var:Quelle}} || style="min-width:12em;" | {{#var:Ziel}} || style="min-width:12em;" | {{#var:Dienst}} || style="min-width:6em;" | NAT || Logging || style="min-width:7em;" | {{#var:Aktion}} || {{#var:Aktiv}} || style="min-width:5em;" |  
| class="Leerzeile bc__default" | '''{{#var:Typische Beispiele}}:''' || || <nowiki>#</nowiki> || style="min-width:12em;" | {{#var:Quelle}} || style="min-width:12em;" | {{#var:Ziel}} || style="min-width:12em;" | {{#var:Dienst}} || style="min-width:7em;" | NAT || Logging || style="min-width:7em;" | {{#var:Aktion}} || Cloud || {{#var:Aktiv}} || style="min-width:5em;" |  
|-  
|-  
| class="bc__default" | {{#var:Regel--internal-internet}} || {{spc|drag|o|-}} || 7 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|dienste|o|-}} default-internet || {{Kasten|HN|blau}} || {{Logging-Slider|1}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || class=mw6 | {{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default" | {{#var:Regel--internal-internet}} || {{spc|drag|o|-}} || 7 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|dienste|o|-}} default-internet || {{Kasten|HN|blau}} || {{Logging-Slider|1}} || {{Kasten|Accept|grün}} || class=center | {{Signal|down}} || {{ButtonAn|{{#var:ein}} }} || class=mw7 | {{Button||class=fas fa-chart-bar}}{{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="Leerzeile bc__default"
|- class="Leerzeile bc__default"
| colspan="9" |
| colspan="9" |
|-
|-
| class="bc__default" | {{#var:Regel--internal-dmz1}} || {{spc|drag|o|-}} || 8 || {{spc|net|o|-}} internal-network || {{spc|net|o|-}} dmz1-network || {{spc|other|o|-}} any ||  || {{Logging-Slider|1}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || class=mw6 | {{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default" | {{#var:Regel--internal-dmz1}} || {{spc|drag|o|-}} || 8 || {{spc|net|o|-}} internal-network || {{spc|net|o|-}} dmz1-network || {{spc|other|o|-}} any ||  || {{Logging-Slider|1}} || {{Kasten|Accept|grün}} || class=center | {{Signal|down}} || {{ButtonAn|{{#var:ein}} }} || class=mw7 | {{Button||class=fas fa-chart-bar}}{{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="Leerzeile bc__default"
|- class="Leerzeile bc__default"
| colspan="9" |
| colspan="9" |
|-
|-
| class="bc__default" | {{#var:Regel--internet-server-ssh}} || {{spc|drag|o|-}} || 9 || {{spc|world|o|-}} internet || {{spc|net|o|-}} internal-network || {{spc|tcp|o|-}} ssh || {{Kasten|DN ➞|blau}} || {{Logging-Slider|2}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || class=mw6 | {{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
| class="bc__default" | {{#var:Regel--internet-server-ssh}} || {{spc|drag|o|-}} || 9 || {{spc|world|o|-}} internet || {{spc|net|o|-}} internal-network || {{spc|tcp|o|-}} ssh || {{Kasten|DN ➞|blau}} || {{Logging-Slider|2}} || {{Kasten|Accept|grün}} || class=center | {{Signal|down}} || {{ButtonAn|{{#var:ein}} }} || class=mw7 | {{Button||class=fas fa-chart-bar}}{{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="Leerzeile bc__default"
|- class="Leerzeile bc__default"
| colspan="9" |
| colspan="9" |
|-
|-
| rowspan="3" class="bc__default" | {{#var:Regel--internet-ohne-ftp}}<br><li class="list--element__alert list--element__hint">{{#var:Regel--internet-ohne-ftp--Hinweis}}</li> || {{spc|drag|o|-}} || 10 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|tcp|o|-}}  ftp || || {{Logging-Slider}} || {{Kasten|Drop|gelb}} || {{ButtonAn|{{#var:ein}} }} || class=mw6 | {{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
| rowspan="2" class="bc__default" | {{#var:Regel--internet-ohne-ftp}} || {{spc|drag|o|-}} || 10 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|tcp|o|-}}  ftp || || {{Logging-Slider}} || {{Kasten|Drop|gelb}} || class=center | {{Signal|down}} || {{ButtonAn|{{#var:ein}} }} || class=mw7 | {{Button||class=fas fa-chart-bar}}{{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="no1cell"
|- class="no1cell"
|  {{spc|drag|o|-}} || 7 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|dienste|o|-}}  default-internet || {{Kasten|HN|blau}} || {{Logging-Slider|3}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || class=mw6 | {{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
|  {{spc|drag|o|-}} || 7 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|dienste|o|-}}  default-internet || {{Kasten|HN|blau}} || {{Logging-Slider|3}} || {{Kasten|Accept|grün}} || class=center | {{Signal|down}} || {{ButtonAn|{{#var:ein}} }} || class=mw7 | {{Button||class=fas fa-chart-bar}}{{Button||copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="Leerzeile bc__default"
| colspan=6 | <li class="list--element__alert list--element__hint">{{#var:Regel--internet-ohne-ftp--Hinweis}}</li>
|- class="Leerzeile bc__default"
|- class="Leerzeile bc__default"
|
| colspan="9" |
|-
| class="bc__default" rowspan=2 | {{#var:Regel--cloud-verwaltet-ein}} || {{spc|drag|o|-}} || || {{spc|netgroup|o|-}} LG2-internal-networks || {{spc|net|o|-}} vpn-netzwerk || {{spc|dienste|o|-}} default-internet || || {{Logging-Slider|1}} || {{Kasten|ACCEPT|grün}} || class=center | {{Signal|up}} || {{ButtonAn|{{#var:ein}}|Anw=UTM}} || class=mw7 | {{Button||class=fas fa-chart-bar}}{{Button||class=fas fa-copy inaktiv}}{{Button||class=fas fa-wrench inaktiv}}{{Button||class=fas fa-trash inaktiv}}
|-
| {{spc|drag|o|-}} || || {{spc|net|o|-}} vpn-netzwerk || {{spc|netgroup|o|-}} LG2-internal-networks || {{spc|other|o|-}} LG2-any-service || || {{Logging-Slider|1}} || {{Kasten|ACCEPT|grün}} || class=center | {{Signal|up}} || {{ButtonAn|{{#var:ein}}|Anw=UTM}} || class=mw7 | {{Button||class=fas fa-chart-bar}}{{Button||class=fas fa-copy inaktiv}}{{Button||class=fas fa-wrench inaktiv}}{{Button||class=fas fa-trash inaktiv}}
|- class="Leerzeile bc__default"
|- class="Leerzeile bc__default"
|
|
Zeile 89: Zeile 134:
{{#var:Autogenerierte Regeln--desc}}
{{#var:Autogenerierte Regeln--desc}}
<br>
<br>
{{Hinweis-box|{{#var:Autogenerierte Regeln--Hinweis}}|fs__icon=em2}}
{{Hinweis-box|{{#var:Autogenerierte Regeln--Hinweis}}|fs__icon=em2}}<br>{{Hinweis-box|{{#var:neu ab}} v14.0.1: {{#var:neu--autgen Regeln bearbeiten}}|gr|14.1|status=update}}
<br>
<br>
{{#var:Autogenerierte Regeln--ausblenden}} <small>'''Default'''</small>
{{#var:Autogenerierte Regeln--ausblenden}} <small>'''Default'''</small>
Zeile 97: Zeile 142:
==== {{#var:Paketfilterregel-Einstellungen}} ====
==== {{#var:Paketfilterregel-Einstellungen}} ====
<div class="Einrücken">
<div class="Einrücken">
{{Hinweis-box|{{#var:Regeln aktualisieren--Hinweis}}<br>{{Button||w}} / {{Button|{{#var:Regel hinzufügen}}|+}} → {{Button-dialog| {{#var:Regeln aktualisieren}}|fa-play}} |g|fs__icon=em3}}
{{Hinweis-box|{{#var:Regeln aktualisieren--Hinweis}}<br>{{Button||w}} / {{Button|{{#var:Regel hinzufügen}}|+}} → {{Button-dialog| {{#var:Regeln aktualisieren}}|fa-play}} |g|fs__icon=em3}}<br><br>
{{Hinweis-box|{{#var:Hinweis zum Regelassistenten}}|gr}}
</div>
</div>
{| class="sptable2 pd5 zh1 Einrücken"
{| class="sptable2 pd5 zh1 Einrücken"
|- class="Leerzeile"
| class=noborder colspan=3 | {{Hinweis-box|{{#var:neu ab}} v14.0|gr|14.0.0|status=neu}} {{#var:Tabellen-Menü--desc}}
|- class="noborder"
| colspan="3" | {{h5|{{#var:Allgemein}}|{{Reiter|{{#var:Allgemein}} }} }}
| colspan="3" | {{h5|{{#var:Allgemein}}|{{Reiter|{{#var:Allgemein}} }} }}
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="12" | {{Bild| {{#var:Allgemein--Bild}} |{{#var:Allgemein--cap}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
| class="Bild" rowspan="13" | {{Bild| {{#var:Allgemein--Bild}} |{{#var:Allgemein--cap}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-wand-magic-sparkles|icon-text=Regel Assistent|icon2=fa-save |icon3=fas fa-floppy-disk-circle-xmark | icon4=fa-close}}
|-
|-
| {{b|{{#var:Aktiv}}:}} || {{ButtonAn|{{#var:ein}} }} || {{#var:Aktiv--desc}}
| {{b|{{#var:Aktiv}}:}} || {{ButtonAn|{{#var:ein}} }} || {{#var:Aktiv--desc}}
Zeile 119: Zeile 165:
| colspan="2" | {{Button||class=fas fa-random}} <span class=Hover id=tauschen>{{#var:Netzwerkobjekt wechseln}}</span> || {{#var:Netzwerkobjekt wechseln--desc}}
| colspan="2" | {{Button||class=fas fa-random}} <span class=Hover id=tauschen>{{#var:Netzwerkobjekt wechseln}}</span> || {{#var:Netzwerkobjekt wechseln--desc}}
|-
|-
| rowspan="5" | {{b|{{#var:Aktion}}:}}{{h-6|{{#var:Aktion}}}} || {{Button|ACCEPT|dr|class=available}} || {{Kasten|ACCEPT|grün}} {{#var:ACCEPT--desc}}
| rowspan="5" | {{b|{{#var:Aktion}}:}}{{h-6|{{#var:Aktion}} }} || {{Button|ACCEPT|dr|class=available}} || {{Kasten|ACCEPT|grün}} {{#var:ACCEPT--desc}}
|-
|-
| {{Button|DROP|dr|class=available}} || {{Kasten|DROP|gelb}} {{#var:DROP--desc}}
| {{Button|DROP|dr|class=available}} || {{Kasten|DROP|gelb}} {{#var:DROP--desc}}
Zeile 128: Zeile 174:
|-
|-
| {{Button|STATELESS|dr|class=available}} || {{Kasten|STATELESS|grau}} {{#var:STATELESS--desc}}
| {{Button|STATELESS|dr|class=available}} || {{Kasten|STATELESS|grau}} {{#var:STATELESS--desc}}
|-
| id=QoS-config | {{b|{{#var:QoS Profil}}:}}<br>{{#var:nur wenn Aktion QOS}} {{Hinweis-box|{{#var:neu--Option verschoben--desc}}|gr|14.1.0|status=update}}
| {{Button|QoS|dr|class=available}}
| {{#var:QOS--desc}}<br> <li class="list--element__alert list--element__hint">{{#var:QOS-Extras--Hinweis}}</li>
|-
| {{b|{{#var:Gruppe}}:}} || {{ic|default|dr|class=available}} || {{#var:Gruppe--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan=3 | {{h5|Log|{{Reiter|Log}} }}
|-
|-
| rowspan="4" | {{b|Logging:}}{{h-6|Logging}} || || {{#var:Logging--desc}}
| rowspan="4" | {{b|Logging:}}{{h-6|Logging}} || || {{#var:Logging--desc}}
<!--| class=Bild rowspan=1 | {{Bild|{{#var:Loggingschaltfläche allgemein--Bild}} }}-->
| class=Bild rowspan=6 | {{Bild|{{#var:Log--Bild}}|{{#var:Log--cap}} }}
|-
|-
| {{Button|None|dr|class=available}} || {{#var:Logging--none--desc}} <small>(default)</small>
| {{Button|None|dr|class=available}} || {{#var:Logging--none--desc}} <small>(default)</small>
| class="Bild" rowspan="1" | {{Bild| {{#var:Loggingschaltfläche none--Bild}} |Logging: None}}
<!--| class="Bild" | {{Bild| {{#var:Loggingschaltfläche none--Bild}} |Logging: None}}-->
|-
|-
| {{Button|Short|dr|class=available}} || {{#var:Logging--short--desc}}
| {{Button|Short|dr|class=available}} || {{#var:Logging--short--desc}}
| class="Bild" rowspan="1" | {{Bild| {{#var:Loggingschaltfläche short--Bild}} |Logging: Short}}
<!--| class="Bild" | {{Bild| {{#var:Loggingschaltfläche short--Bild}} |Logging: Short}}-->
|-
|-
| {{Button|Long|dr|class=available}} || {{#var: Logging--long--desc}}
| {{Button|Long|dr|class=available}} || {{#var: Logging--long--desc}}
| class="Bild" rowspan="1" | {{Bild| {{#var:Loggingschaltfläche long--Bild}} |Logging: Long}}
<!--| class="Bild" | {{Bild| {{#var:Loggingschaltfläche long--Bild}} |Logging: Long}}-->
|-
|-
| {{b|{{#var:Gruppe}}:}} || {{Button|default|dr|class=available}} || {{#var:Gruppe--desc}}
| {{b|Log Alias:}}{{h-6|Log Alias}} {{Hinweis-box|{{#var:neu ab}} v14.0|gr|14.0.0|status=neu}} || {{ic|default|class=available}} || {{#var:Log Alias--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="noborder"
| {{h5|NAT|{{Reiter|[ - ] NAT}} }}
| {{h5|NAT|{{Reiter|[ - ] NAT}} }}
| colspan="2" | {{#var:NAT--desc}}
| colspan="2" | {{#var:NAT--desc}}
Zeile 160: Zeile 216:
|-
|-
| {{Button|HIDENAT_EXCLUDE|dr|class=available}}
| {{Button|HIDENAT_EXCLUDE|dr|class=available}}
| {{#var:HideNAT Exclude--desc}}<br><li class="list--element__alert list--element__hint">{{#var:HideNAT Exclude--Hinweis}}</li>{{Bild|{{#var:HideNAT Exclude--Regelübersicht--Bild}} }}
| {{#var:HideNAT Exclude--desc}}<br><li class="list--element__alert list--element__hint">{{#var:HideNAT Exclude--Hinweis}}</li>
| class="Bild" rowspan="1" | {{Bild| {{#var:HideNAT Exclude--Bild}} |HidNAT Exclude}}
| class="Bild" rowspan="1" | {{Bild| {{#var:HideNAT Exclude--Bild}} |HideNAT Exclude}}<br>{{Bild|{{#var:HideNAT Exclude--Regelübersicht--Bild}}|{{#var:HideNAT Exclude--Regelübersicht--cap}}}}
|-
|-
| {{Button|DESTNAT|dr|class=available}}
| {{Button|DESTNAT|dr|class=available}}
Zeile 184: Zeile 240:
| {{ic|wan0|dr|class=available}}
| {{ic|wan0|dr|class=available}}
| {{#var:Rule Routing--desc}} <li class="list--element__alert list--element__hint">{{#var:Rule Routing--Hinweis}}</li>
| {{#var:Rule Routing--desc}} <li class="list--element__alert list--element__hint">{{#var:Rule Routing--Hinweis}}</li>
| class="Bild" rowspan="4" | {{Bild|{{#var:Rule Routing--Bild}} |{{#var:Rule Routing--cap}} }}
| class="Bild" rowspan="3" | {{Bild| {{#var:Rule Routing--Bild}} |{{#var:Rule Routing--cap}} }}
|-
| {{h6|QoS}}{{b|QOS}}
| {{Button|QOS|dr|class=available}}
| {{#var:QOS--desc}}<br> <li class="list--element__alert list--element__hint">{{#var:QOS-Extras--Hinweis}}</li>
|-
|-
| {{b|{{#var:Zeitprofil}} }}
| {{b|{{#var:Zeitprofil}} }}
Zeile 199: Zeile 251:
| {{ic|{{#var:Beschreibung--val}} {{ButtonAn|{{#var:ein}} }}  
| {{ic|{{#var:Beschreibung--val}} {{ButtonAn|{{#var:ein}} }}  
| {{#var:Beschreibung--desc}}
| {{#var:Beschreibung--desc}}
| class="Bild" rowspan="2" | {{Bild| {{#var:Beschreibung--Bild}} |{{#var:Beschreibung-cap}}||{{#var:Paketfilter}}|Firewall|icon=fa-play|icon-text={{#var:Regeln aktualisieren}} }}
| class="Bild" rowspan="2" | {{Bild| {{#var:Beschreibung--Bild}} |{{#var:Beschreibung--cap}}||{{#var:Paketfilter}}|Firewall|icon=fa-play|icon-text={{#var:Regeln aktualisieren}} }}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | <br>{{Hinweis-box|{{#var:Regeln aktualisieren--Hinweis}}<br>{{Button||w}} / {{Button|{{#var:Regel hinzufügen}}|+}} →  {{Button-dialog|{{#var:Regeln aktualisieren}}|fa-play}} |g|fs__icon=em3}}
| colspan="3" | <br>{{Hinweis-box|{{#var:Regeln aktualisieren--Hinweis}}<br>{{Button||w}} / {{Button|{{#var:Regel hinzufügen}}|+}} →  {{Button-dialog|{{#var:Regeln aktualisieren}}|fa-play}} |g|fs__icon=em3}}
|- class="Leerzeile"
|
|}
|}
----
----
Zeile 216: Zeile 270:
{{:UTM/RULE/Zeitprofile}}
{{:UTM/RULE/Zeitprofile}}
----
----
<div class="einrücken">
{{Hinweis-box|{{#var:Implizite Regeln--Hinweis}}|g}}
</div>

Aktuelle Version vom 9. September 2025, 07:46 Uhr



























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden













































.



























Anlegen und verwenden von Paketfilterregeln, Netzwerkobjekten, Diensten und Zeitprofilen

Letzte Anpassung zur Version: 14.1.0(08.2025)

Neu:
Zuletzt aktualisiert: 
notempty
Dieser Artikel bezieht sich auf eine Beta-Version

14.0.1 12.7.1.1 12.6 12.4 12.2 12.1 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Firewall Paketfilter


  • Der Portfilter wurde in der Version 12.6 in Paketfilter umbenannt, was seiner Wirkungsweise wesentlich besser entspricht.
    Die Funktion und Anordnung im Menü ist identisch geblieben.


  • Ab der Version 12.7.1.1 wird iptables vorübergehend wieder zur Default Rule Engine.
    Für Testzwecke kann iptables durch nftables ersetzt werden.
    Nftables bietet mehr Flexibiltät und aktuellere Kernelunterstützung und wurde als Ablösung von iptables entwickelt.
    system rule_engine set value "nftables"
    bzw.
    system rule_engine set value "iptables"


    • Paketfilter Beschreibung

    Paketfilter UTMbenutzer@firewall.name.fqdnFirewall Paketfilter Log Regeln aktualisieren Der Paketfilter steuert den Datenverkehr, der durch die UTM geht.

    • Alle Netzwerk-Pakete, die durch die UTM gehen, werden gefiltert und nur aufgrund von Paketfilterregeln weitergeleitet
    • Dabei ist es unerheblich, ob sich die Zieladresse und Quelladresse des Paketes im gleichen Netzwerk, in einem anderen, lokalen Netzwerk oder im Internet und einem lokalen Netzwerk befindet.
    • Anhand von Quell-IP, Ziel-IP und verwendetem Dienst werden die Regeln von oben nach unten überprüft.
      Die #laufende Nummer vor einer Regel gibt dabei die Reihenfolge der Regelerstellung an und bleibt permanent erhalten. Sie gibt nicht die Reihenfolge an, in der die Regel abgearbeitet wird!
    • Eine angelegte Regel kann mit gedrückter Maustaste auf das Icon nachträglich in der Reihenfolge verschoben werden.
  • Soll für eine Regel ein Ausnahme erstellt werden, muss zunächst die (speziellere) Ausnahme definiert sein und danach erst die allgemeinere Regel.
    Trifft für ein Paket die Ausnahme Regel zu, wird die angegebene Aktion ausgeführt und der Paketfilter beendet.
    Trifft die Ausnahme Regel nicht zu, wird anschließend die allgemeinere Regel überprüft.
    Trifft diese dann zu wird die dort angegebene Aktion ausgeführt.

  • Existiert für ein Datenpaket keine zutreffende Regel, wird das Paket verworfen Default Drop
    • Eine Paketfilterregel beinhaltet verschiedene Elemente:



    Paketfilterregel

    • Die Grundstruktur einer Regel ist:
      Quelle → Ziel → Dienst → Aktion
    • Mit Regel kopieren können Regeln kopiert werden: Der Dialog Regel hinzufügen wird mit einer Kopie der jeweiligen Regel geöffnet.
    • Das Logging lässt sich direkt in der Übersicht für einzelne Regeln oder Regelgruppen verändern (siehe Abschnitt Logging
      3/Min
      ) und notempty
      Neu ab v14.0:
       über die Schaltfläche Paketfilter Log für die einzelnen Regeln einsehen oder über Paketfilter Log für alle Regeln einsehen.
  • Es wird anhand des Log-Attributes geloggt und nicht anhand der Id, dieses ist nicht garantiert einzigartig und es kann somit zu falsch angezeigten Logging Einträgen kommen.
    • Typische Beispiele: # Quelle Ziel Dienst NAT Logging Aktion Cloud Aktiv
    Aus dem internen Netz soll das Internet erreichbar sein 7 internal-network internet default-internet HN
    -
    		 Accept Ein
    Aus dem Internen Netz soll das dmz1 Netzwerk für alle Dienste erreichbar sein 8 internal-network dmz1-network any
    -
    		 Accept Ein
    Ein Server im internen Netzwerk soll von außen über ssh erreichbar sein 9 internet internal-network ssh DN ➞
    3/Min
    		 Accept Ein
    Aus dem internen Netz soll das Internet erreichbar sein, es soll jedoch kein ftp ermöglicht werden! 10 internal-network internet ftp
    3/Min
    		 Drop Ein
    7 internal-network internet default-internet HN
    Alles
    		 Accept Ein
  • Der Paketfilter wird von oben nach unten abgearbeitet. Trifft eine Regel zu, wird die Prüfung des Regelwerks beendet und die konfigurierte Aktion ausgeführt. Daher muss das Verbot von ftp vor der allgemeinen Erlaubnisregel stehen. Eine angelegte Regel kann mit Drag and Drop auf das Icon verschoben werden und in der Reihenfolge gezielt plaziert werden.
    • Wenn eine Regel über die VPN Konfiguration erstellt wurde, wird dies in der Spalte Cloud-verwaltet mit gezeigt. Diese Regeln können nicht kopiert, bearbeitet oder gelöscht werden. LG2-internal-networks vpn-netzwerk default-internet
    -
    		 ACCEPT Ein
    vpn-netzwerk LG2-internal-networks LG2-any-service
    -
    		 ACCEPT Ein


    Autogenerierte Regeln

    autogeneriert Die UTM verfügt ab Werk über autogenerierte Regeln.
    Diese Regeln lassen zunächst jeden Datenverkehr in die bestehenden Netze zu und geben für interne Netze auch zusätzlich die Proxy-und DNS-Dienste der jeweiligen Schnittstelle frei

    notempty
    Diese Regeln dienen ausschließlich dazu, die Inbetriebnahme der Firewall zu ermöglichen.
    Sie müssen unbedingt angepasst oder durch individualisierte Regeln ersetzt werden!

    notempty
    Neu ab v14.0.1: Autogenerierte Regeln lassen sich bearbeiten


    Die Sichtbarkeit der autogenerierten Regeln lassen sich in einem Dropdownmenü mit diesem Schalter regeln: Ein autogenerierte Regeln anzeigen Default


    Paketfilterregel Einstellungen

    notempty
    Nach dem Bearbeiten oder Hinzufügen einer Regel muss das Regelwerk aktualisiert werden.
    Erst danach werden die Regeln angewendet!
    / Regel hinzufügen Regeln aktualisieren


    notempty
    Man kann Paketfilter-Regeln auch mit Unterstützung des Regelassistenten erstellen.
    notempty
    Neu ab v14.0
     In dem Tabellen-Menü () lässt sich das Layout der Tabelle anpassen. Mehr Informationen sind hier zu finden.
    Allgemein
    Allgemein
    Beschriftung Wert Beschreibung Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Regel Assistent Paketfilterregel-Einstellungen Allgemein
    Aktiv: Ein Nur bei Aktivierung wird auf diese Regel geprüft
    Quelle: internal-network Netzwerkobjekt oder Benutzergruppe, die als Quelle des Datenpaketes zugelassen ist.
    Ziel: internet Netzwerkobjekt oder Benutzergruppe, die als Ziel des Datenpaketes zugelassen ist.
    Dienst:  default-internet Gewünschter Dienst mit hinterlegtem Port (siehe Dienste)
    Netzwerkobjekt hinzufügen / Dienst hinzufügen Öffnet den Dialog zum Hinzufügen eines Netzwerkobjektes oder eines Dienstes
    Netzwerkobjekt wechseln Tauscht die Netzwerkobjekte Quelle und Ziel
    Aktion:
    Aktion
    		ACCEPT ACCEPT Leitet das Paket weiter
    DROP DROP Das Paket wird verworfen
    REJECT REJECT Es wird ein ICMP-Paket an den Absender geschickt, mit dem Hinweis, daß der Port nicht zur Verfügung steht. Im LAN können Reject-Regeln verhindern, daß Clients auf einen Timeout warten müssen.
    QOS QOS Ermöglicht ein Quality of Service Profil anzugeben, daß die Bandbreite für Datenpakete, auf die diese Regel zutrifft limitiert.
    Konfiguration der QoS-Profile im Menü Netzwerk QoS  Bereich Profile
    STATELESS STATELESS Lässt Verbindungen statusunabhägig zu

    notempty
    Option verschoben
    		 QoS Ermöglicht ein Quality of Service Profil anzugeben, daß die Bandbreite für Datenpakete, auf die diese Regel zutrifft limitiert.
    Konfiguration der QoS-Profile im Menü Netzwerk QoS  Bereich Profile
  • Steht nur zur Verfügung, wenn als Aktion QOS ausgewählt wurde.
    • Gruppe: default Paketfilterregeln müssen einer Gruppe zugeordnet werden. Das erleichtert die Übersichtlichkeit beim Ergänzen des Regelwerkes. Außerdem können Regelgruppen mit einem Schalter aktiviert oder deaktiviert werden, notempty
    Neu ab v12.7.0
     sowie die Loggingeinstellung aller beinhalteten Regeln zentral über eine Schaltfläche angepasst werden.
    Log
    Log
    Logging:
    Logging
    		 Gibt an, wie ausführlich ein Zutreffen der Regel protokolliert wird.
    notempty
    Neu ab v12.7.0
     Diese Einstellung ist auch in der Paketfilter Übersicht für einzelne Filter sowie auch komplette Gruppen vorhanden.
    Paketfilterregel-Einstellungen Log
    None Keine Protokollierung (default)
    Short Protokolliert die ersten drei Einträge je Minute
    Long Protokolliert alle Einträge
    Log Alias:
    Log Alias
    notempty
    Neu ab v14.0
    		 default Kurzer (maximal 10 Zeichen langer) Alias für die Paketfilterregel, der im Log statt der Id angezeigt wird.
  • Der Alias muss nicht für diese Regel einzigartig sein.
    • NAT
    [ - ] NAT
    		Die Network Address Translation ist die Umwandlung von IP-Adressen die in einem Netzwerk genutzt werden zu einer anderen IP-Adresse aus einem anderen Netz. Typischerweise bildet man alle intern genutzten privaten IP-Adressen in eine oder mehrere öffentlichen IP-Adressen ab.
    Typ: NONE Es wird kein NAT durchgeführt
    FULLCONENAT Bei Full Cone NAT wird für den Absender der gleiche Port gesetzt, wie für den Empfänger. Allerdings werden als Absender auch andere IPs als die ursprünglich adressierte IP zugelassen. Kann ggf. bei VOIP hilfreich sein.
    Full Cone NAT
    HIDENAT Auch Source NAT genannt. Verbirgt die ursprüngliche IP Adresse hinter der IP-Adresse der verwendeten Schnittstelle.

    Standardfall ist der Datenverkehr von einem internen Netz mit privaten IP Adressen mit dem Internet.
    Die IP aus dem lokalen Netz wird mit der IP derjenigen Schnittstelle maskiert, die den Zugang zum Internet herstellt.

    HideNat
    HIDENAT_EXCLUDE HideNAT Exclude kommt in der Regel in Verbindung mit IPSec-VPN Verbindungen zum Einsatz.
    Damit wird erreicht, daß Datenpakete für die VPN Gegenstelle mit der privaten IP-Adresse durch den VPN Tunnel geleitet werden.
    Andernfalls würden diese, wie alle anderen Pakte in Richtung Internet, mit der öffentlichen WAN IP-Adresse maskiert werden und, da diese mit einer privaten Zieladresse versendet werden, am nächsten Internet Router verworfen.
    Siehe dazu auch den Wikiartikel HideNAT Exclude.
  • Die HideNAT-Exclude Regel muss dabei vor der HideNAT Regel stehen, damit die Ausnahme greift.
    		•
    HideNAT Exclude
    HideNAT Exclude Regel vor HideNAT Regel
    DESTNAT Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten.

    Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) des Servers (198.51.100.1/32) über die öffentliche IP-Adresse der Schnittstelle eth0 mit dem Port 10000 zugreifen möchten, müsste die Regel wie nebenstehend abgebildet angelegt werden.
    Die zugehörigen Netzwerkobjekte und der Dienst auf Port 10000 müssen dazu angelegt sein.
    Destination NAT
    NETMAP NetMap dient dazu zwei gleiche Subnetze miteinander zu verbinden.
    Unter Verwendung von Hilfsnetzwerken (Mapnetz), die auf keiner der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen kollisionsfrei erstellt werden, ohne auf einer der Seiten das Subnetz komplett zu ändern. Eine Anleitung zum Verbinden zweier Netzwerke findet sich in einem eignen Wikiartikel NetMap
    NetMap
    Netzwerkobjekt:  external-interface Netzwerkobjekt, das die Übersetzung der IP Adressen, also das Natten, vornimmt.
    Die IP-Adresse dieses Netzwerkobjektes wird dann als Absender-IP Der Datenpakete im Zielnetz verwendet.
    In der Regel sollte das also die Schnittstelle sein, deren IP Adresse dem Zielnetz bekannt ist, damit Antwortpakete auch korrekt zugestellt werden können.
    Dienst:  ssh Verwendet im lokalen Zielnetzwerk den ausgewählten Dienst. Dieser Wert ist oft (aber keinesfalls immer) identisch mit dem darüberstehenden Dienst des Datenquellpaketes, auf den die Regel überprüft wird.
  • Steht nur zur Verfügung, wenn als
    Typ
     DESTNAT oder NETMAP ausgewählt wurde.
    • Extras
    [ - ] Extras
    Rule Routing
    Rule Routing     		wan0 Im Abschnitt
    [ - ] Extras
     wird im Feld
    Rule Routing
     regelbasiert festgelegt, welche Route IP-Pakete nehmen sollen.
    Im nebenstehenden Beispiel werden alle VOIP-Pakete über die Schnittstelle wan0 geleitet.
  • Das Dropdownfeld gibt nur wan-Schnittstellen zur Auswahl vor.
    Erfolgt der Zugang zum Internet über einen Router, der an einer Ethernet-Schnittstelle angeschlossen ist, kann diese manuell eingetragen werden.
    		•
    Paketfilter Regel mit Rule Routing
    Zeitprofil Zeitprofil Beschränkt die Gültigkeit der Regel auf ein zuvor definiertes Zeitprofil.
    Siehe Abschnitt Zeitprofile.
    Beschreibung
         		Erweiterte Regeldetails anzeigen Ein Alternativer Text, der statt der Regeldetails angezeigt werden kann.
    Die Anzeige der alternativen Texte erfolgt mit der Schaltfläche     		Paketfilter UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Regelbeschreibung in Klartext

    notempty
    Nach dem Bearbeiten oder Hinzufügen einer Regel muss das Regelwerk aktualisiert werden.
    Erst danach werden die Regeln angewendet!
    / Regel hinzufügen Regeln aktualisieren


    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden









































    Netzwerkobjekte

  • Menü unter Firewall Netzwerkobjekte
    • Schaltfläche Beschreibung Netzwerkobjekte UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Reiter Netzwerkobjekte
    Bearbeiten Öffnet die Netzwerkgruppe bzw. das Netzwerkobjekt zum Bearbeiten
    Löschen Löscht die Netzwerkgruppe bzw. das Netzwerkobjekt. Das Löschen muss ein weiteres mal bestätigt werden
  • Bei GeoIP-Netzwerkobjekten erfolgt nach Bestätigung das Löschen aller GeoIP-Netzwerkobjekte mit dem gleichen Präfix
    • Gruppe hinzufügen Erzeugt eine neue Netzwerkgruppe, der sofort Netzwerkobjekte hinzugefügt werden können
    GeoIP-Objekte anzeigen Ein
    Bei Deaktivierung Aus: Blendet GeoIP-Objekte zur besseren Übersichtlichkeit aus
    Netzwerkobjekte beinhalten :
    • einen Namen
    • eine Adresse (IP oder Netzwerk), einen Hostnamen oder eine Schnittstelle
    • und eine Zone.

    Netzwerkobjekte werden hauptsächlich benötigt um Paketfilterregeln zu erstellen, sie werden aber auch im HTTP Proxy verwendet.

    Die Mitglieder einer Netzwerkgruppe werden dabei als Label dargestellt.
    Bei Klick auf ein Label werden in der Tabelle Netzwerkobjekte die Details dazu angezeigt.
    notempty

    Neu ab v14.0
    Existieren Netzwerkobjekte, die über die USC erstellt wurden, wird in der Spalte Cloud-verwaltet angezeigt, ob es sich um solche Objekte oder um lokal erstellte Objekte handelt. Cloud-verwaltete Objekte müssen in der Cloud unter  Unified Network Consolekonfig bearbeitet werden.


    Netzwerkgruppen bearbeiten / Hinzufügen

    Netzwerkgruppen bearbeiten / Hinzufügen

    Menü unter Firewall Netzwerkobjekte  Schaltfläche + Gruppe hinzufügen

    Beschriftung Wert Beschreibung Netzwerkgruppen bearbeiten / Hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Dialog Netzwerkgruppe bearbeiten / erstellen
    Name: Geo-DACH Frei wählbarer Name der Netzwerkgruppe
    Netzwerkobjekte: GEOIP: AT (Österreich) GEOIP: CH (Schweiz) GEOIP: DE (Deutschland) In der Klickbox können bestehende Netzwerkobjekte hinzugefügt werden
    Öffnet den Dialog zum Hinzufügen eines weiteren Netzwerkobjektes
    Entfernt ein Netzwerkobjekt aus der Netzwerkgruppe

    Netzwerkobjekte erstellen / bearbeiten

    Netzwerkobjekte erstellen / bearbeiten
    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekte erstellen / bearbeiten
    Name: Host-Objekt Frei wählbarer Name für das Netzwerkobjekt.
    OK - nicht wirklich frei: Auch wenn es technisch möglich sein sollte, ist von kryptischen Sonderzeichen wie geschweiften Klammern, Backslashes und Ähnlichem Abstand zu nehmen. Spätestens in einem AD-Umfeld kann so etwas zu Problemen führen.
    Typ: Der Typ bestimmt, wie die Zugehörigkeit zu diesem Netzwerkobjekt festgestellt wird.
    Host Ein einzelner Host mit einer IP-Adresse z.B. 192.0.2.192/32 → 192.0.2.192/--- 
    Netzwerk (Adresse) Ein komplettes Netzwerk, z.B. 192.0.2.0/24
    Es ist ein 24er Netz als Vorgabe eingetragen. Dieses kann aber beliebig geändert werden.
    Netzwerk (Adresse mit beliebiger Subnetzmaske) Netzwerk mit einer beliebigen Subnetzmaske. Dies ist nützlich, wenn sich der Prefix ändern kann. (Beispiel: 192.0.2.0/0.255.255.0 oder 2001:DB8::1234/::FFFF:FFFF)
    Netzwerk (Schnittstelle) Ein komplettes Netzwerk hinter einer Schnittstelle z.B. LAN2
  • Achtung: Beim HideNat wird nur die erste, auf dieser Schnittstelle liegende IP verwendet.
    Bei Verwendung mit HideNat sollte versucht werden, eine Netzwerkadresse zu verwenden.
    • VPN-Host Ein einzelner VPN-Host mit einer IP-Adresse, z.B. 192.0.2.192/32 → 192.0.2.192/--- 
  • Als Zone lassen sich bei diesen Netzwerkobjekten ausschließlich Zonen auswählen, die in der Zonenverwaltung ( Netzwerk Zoneneinstellungen  Schaltfläche ein Flag Policy_IPSEC oder PPP_VPN haben)
    • VPN-Netzwek Ein komplettes VPN-Netzwerk, z.B. 192.0.2.0/24
    Es ist ein 24er Netz als Vorgabe eingetragen. Dieses kann aber beliebig geändert werden.
    Statische Schnittstelle Aus einem Dropdownmenü lässt sich eine konfigurierte IP-Adresse einer Schnittstelle auswählen, z.B. 192.0.2.1/24
    Dynamische Schnittstelle Eine dynamische Zuweisung der Adresse des Interfaces anhand der zugeordneten Zone. Z.B.: 0.0.0.0/. oder eth0
    Hostname Ein Hostname, z.B.: my.host.local
    GeoIP Erzeugt für jedes Land ein Netzwerkobjekt in der angegebenen Zone.
    IP-Adressen werden über Organisationen und Institutionen denen die zugehörigen IP-Netze zugewiesen sind, einem Land zugeordnet.
    Der tatsächliche Standort eines Hosts kann von der Zuordnung abweichen oder z.B. durch einen VPN Tunnel nicht ersichtlich sein!
  • Das Hinzufügen eines Netzwerkobjektes vom Typ GeoIP erzeugt ca. 250 neue Netzwerkobjekte!
    • Adresse: 192.0.2.192 Je nach gewähltem Typ. S.o.
    Schnittstelle:
    nur bei Typ Netzwerk (Schnittstelle) oderDynamische Schnittstelle    		 LAN1 Alle Hosts hinter dieser Schnittstelle gehören zu diesem Netzwerkobjekt
    IP-Adresse:
    nur bei Typ Statische Schnittstelle    		 192.168.175.1 Alle Hosts hinter der Schnittstelle mit dieser IP-Adresse gehören zu diesem Netzwerkobjekt
    Hostname:
    nur bei Typ Hostname    		 my.host.local Hostname des Netzwerkobjektes
    Präfix:
    nur bei Typ GeoIP    		 ext2_ Präfix, das den Netzwerkobjekten vorangestellt wird (zur besseren Identifizierung)
    Beispiel: Präfix ext2_  → Netzwerkobjekt ext2_GEOIP:DE
    Zone: Zone Zone, in der das Netzwerkobjekt liegt.
    Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Packetfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt. Hiermit wird allen Angriffen vorgebeugt, die ein IP-Spoofing beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits.

  • Je nach gewähltem Netzwerktyp wird bereits eine Zone vorgeschlagen oder es erfolgt eine Einschränkung der Zoneauswahl.
    • Gruppen: »internal-networks Netzwerkobjekte können zu Gruppen zusammengefasst werden, um Paketfilterregeln mehreren Objekt zuweisen zu können.
    notempty
    Netzwerkobjekte können auch zu mehreren Gruppen gehören.
    Das kann zu widersprüchlichen Regeln für das selbe Netzwerkobjekt führen, die nicht sofort offensichtlich sind.
    Es gilt (wie bei allen Regeln), daß diejenige Regel ausgeführt wird, die zuerst durchlaufen wird und in dessen Netzwerkgruppe das Netzwerkobjekt enthalten ist.
    Speichern Speichert das Netzwerkobjekt, lässt den Dialog aber geöffnet, um weitere Objekte anlegen zu können.
    Speichern und schließen Speichert das Netzwerkobjekt und schließt den Dialog


    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden






    | Edit service }}












    Dienste

  • Menü Aufruf: Firewall Dienste
    • notempty
    Neu ab v12.7.2:
    Alle ICMP-Dienste sind für IPv4 und IPv6 verfügbar. Die IPv6 Dienste beginnen mit icmpv6- anstatt icmp-.

    Dienste UTMbenutzer@firewall.name.fqdnFirewall Menü Dienste


    Dienste hinzufügen / bearbeiten

    Dienste hinzufügen / bearbeiten

    Ist ein Dienst nicht vorhanden kann dieser mit Objekt hinzufügen angelegt werden.
    Abhängig vom verwendeten Protokoll, lassen sich weitere Einstellungen vornehmen:

    • Ports (TCP und UDP)
    • Pakettypen (ICMP)
    • Protokolltyp (gre)
    Dienst hinzufügen UTMbenutzer@firewall.name.fqdnFirewallDienste
    Name des Dienstes und Protokoll müssen in jedem Falle angegeben werden.
    Dienst hinzufügen UTMbenutzer@firewall.name.fqdnFirewallDienste
    Bei den Protokollen tcp und udp kann die Freigabe auf einen einzelnen Zielport oder auf Portbereiche beschränkt werden. Quellports können beliebig sein (Keine), ein einzelner Port oder ein Portbereich.
    Dienst bearbeiten UTMbenutzer@firewall.name.fqdnFirewallDienste
    Soll ein bestehender Dienst auf einem anderen Port laufen, kann der Dienst bearbeitet und der Port geändert werden.



    Dienstgruppen

    Dienstgruppen

    Dienste lassen sich in Dienstgruppen zusammenfassen. Auch hier gibt es bereits vordefinierte Gruppen, die ergänzt und geändert werden können. Detailanzeige mit Klick auf die Schaltfläche .

    notempty
    Aktualisiert zu v12.7.2:
     Die Dienstgruppe Windows-Domain wurde erweitert.
    Dienste:
        domain-tcp Zielports: 53
        domain-udp Zielports: 53
        ldap-tcp Zielports: 389
        ldap-udp Zielports: 389
      ldap-ssl Zielports: 636
        ms-ds Zielports: 445
        netbios-tcp Zielports: 139
        netbios-udpZielports: 137:138
      netbios-rpc Zielports: 135
      w32time Zielports: 123
        kerberos-tcp Zielports: 88
        kerberos-udp Zielports: 88
      kerberos-password-change-tcp Zielports: 464
      kerberos-password-change-udp Zielports: 464
      ldap-gc Zielports: 3268
      ldap-gc-ssl Zielports: 3269
  • Die Änderungen werden nur bei Neuinstallation wirksam, aktuelle Konfigurationen werden nicht verändert.

    • notempty
    Neu ab v12.7.2:
     Es gibt eine Dienstgruppe namens sp-backup, die die Nutzung von Securepoint Unified Backups ermöglicht.
    Dienste:
      sp-backup-portal Zielports: 8086:8087
      sp-backup-vault Zielports: 2546


    Beispiel: Die Gruppe default-internet enthält z.B. die Dienste:

    Icon Name Protokoll Dienstgruppe bearbeiten UTMbenutzer@firewall.name.fqdnFirewallDienste
    domain-udp udp Port 53
    ftp tcp (ftp) Port 21
    http tcp Port 80
    https tcp Port 443
    icmp-echo-req icmp Pakettyp 8

    Dienst einer Dienstgruppe hinzufügen/entfernen

    • Mit einem Klick in die Klickbox wird der gewünschte Dienst ausgewählt und dadurch hinzugefügt.
    • Wird auf die Schaltfläche geklickt, wird ein neuer Dienst erstellt und anschließend der Dienstgruppe hinzugefügt.
    • Ein Dienst wird mit Klick auf von der Dienstgruppe entfernt.


    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden









    Zeitprofile

    Zeitprofile UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Zeitprofile Übersicht Zeitprofile dienen dazu Paketfilterregeln nur zu festgelegten Zeiten zu aktivieren. Sie können unter Firewall Zeitprofile konfiguriert werden.
    Im abgebildeten Beispiel greift das Profil täglich zwischen 3:00 Uhr und 3:59:59 Uhr sowie werktäglich von 7:00 Uhr bis 17:59:59 Uhr. Dies ist in der Tabelle unter Zeitfenster zu erkennen. Unter Verwendet in Paketfilter-Regeln werden die IDs zusammen mit den Beschreibungen der Paketfilter aufgelistet, für die dieses Zeitprofil eingerichtet ist. Außerdem kann mit einem Klick auf den entsprechenden Eintrag der Paketfilter bearbeitet werden. In der Spalte Name ist ein vergebener Name zu sehen, der das Zeitprofil beschreiben sollte.



    Zeitprofile anlegen

    Zeitprofil hinzufügen UTMbenutzer@firewall.name.fqdnFirewallZeitprofile Zeitprofil hinzufügen

    • Anlegen eines Zeitprofils unter Firewall Zeitprofile  Schaltfläche Zeitprofil hinzufügen.
    • Zeiten auswählen
      • Mit klicken der Maus können einzelne Felder oder Zeitbereiche ausgewählt werden
      • Mit gedrückt halten der Maus können mehrere Felder und Zeitbereich ausgewählt werden
    • Übernehmen der Zeiteinstellungen mit der Schaltfläche Speichern und schließen


    Zeitprofile verwenden

    Zeitprofile können beim Erstellen oder Bearbeiten von Paketfilterregeln unter dem Abschnitt
    Extras
     ausgewählt werden.
    notempty
    Eine Beschreibung der Impliziten Regeln ist hier zu finden.
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/RULE/Paketfilter&oldid=98532