(Lauritzl verschob die Seite UTM/GeoIP nach UTM/GeoIP v12.2.2) Markierung: Neue Weiterleitung |
K (Weiterleitung auf UTM/GeoIP v12.2.2 entfernt) Markierung: Weiterleitung entfernt |
||
| Zeile 1: | Zeile 1: | ||
# | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{:UTM/GeoIP.lang}} | |||
</div>{{Select_lang}}{{TOC2|cap={{#ev:vimeo|https://vimeo.com/685607720||| {{#var:Video-Anleitung}} }} }} | |||
{{Header|12.2.3| | |||
* {{#var:neu--Netzwerkobjekte per GUI}} | |||
|[[UTM/GeoIP_v12.2.2|12.2.2]] | |||
|new=true}} | |||
<li class="list--element__alert list--element__positiv">{{#var:Erklärung}}{{info|{{#var:Erklärung--info}} }}<p>{{#var:Erklärung--Netzwerkobjekte}}</p> | |||
<p> | |||
<li class="list--element__alert list--element__warning">{{#var:Erklärung--Hinweis}}</li> | |||
</p> | |||
=== {{#var:Globale Einstellung}} === | |||
{{#var:Globale Einstellung--desc}} | |||
{{Hinweis-neu| ! {{#var:Globale Einstellung--Hinweis}} }} | |||
{{:UTM/RULE/Implizite_Regeln-GeoIP}} | |||
=== {{#var:GeoIP-basierte Portfilter Regeln}} === | |||
{{#var:Portfilter basierte Blockade--desc}} | |||
<li class="list--element__alert list--element__hint">{{#var:GeoIP--Zone}}</li> | |||
==== {{#var:Einrichten weiterer Zonen für GeoIP}} ==== | |||
<div class="Einrücken"> | |||
{{#var:Einrichten weitere Zonen für GeoIP--desc}} | |||
<p>{{Hinweis-neu|{{#var:Neu ab v.12.2.3}}|12.2.3|status=neu}}</p> | |||
<div class="Einrücken"> | |||
{{#var:Einrichten weiterer Zonen für GeoIP-Gui--desc}} | |||
</div> | |||
{{#var:Einrichten weitere Zonen für GeoIP-cli--desc}}{{Einblenden|{{#var:CLI-Befehl anzeigen}}|{{#var:hide}}|true|dezent}} | |||
{{#var:CLI-Befehl anzeigen--desc}}<br> | |||
<li class="list--element__alert list--element__warning">{{#var:CLI-Befehl anzeigen--Warnung}}</li> | |||
</div></span></div></div> | |||
==== {{#var:Portfilter basierte Blockade}} ==== | |||
{{#var:Portfilter basierte Blockade--desc}} | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- class="Leerzeile" | |||
| colspan="3" | {{h5| {{#var:GeoIP Schritt 1}} | {{#var:GeoIP Schritt 1}} }} | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="5" | {{Bild | {{#var:Gruppe hinzufügen--Bild}}|{{#var:Gruppe hinzufügen--cap}} }} | |||
|- | |||
| colspan="3" | {{#var:Gruppe hinzufügen--desc}} | |||
|- | |||
| {{b|{{#var:Name}} }} || {{ic|{{#var:Geo-Blocking-Mail}} }} || {{#var:GeoIP-Netzwerkgruppen-Name--desc}} | |||
|- class="Leerzeile" | |||
| colspan="3" | {{button|{{#var:Speichern}} }} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
| colspan="3" | {{h5|{{#var:GeoIP Schritt 2}}|{{#var:GeoIP Schritt 2}} }} | |||
|- | |||
| {{Button||glyph|glyph-class=folder-closed}} → {{Button||glyph|glyph-class=folder-open}} | |||
| {{Button|{{#var:Geo-Blocking-Mail}}|blau}} || {{#var:Netzwerkgruppe öffnen--desc}} | |||
| class="Bild" rowspan="4" | {{Bild | {{#var:GeoIP Schritt 2--Bild}}|{{#var:GeoIP Schritt 2--cap}} }} | |||
|- | |||
| {{Kasten|{{#var:Netzwerkobjekte}}|grau}} || {{ic| {{#var:Netzwerkobjekte--val}}|rechts|icon={{spc|fa|o|-|class=glyphicons glyphicons-search glyphicons-size-14}}|iconborder=none|class=available}} || {{#var:Netzwerkobjekte--desc}} | |||
|- | |||
| class=mw13 | {{Button||+}} <span class=Hover>{{#var:Zu Gruppe hinzufügen}}</span>|| {{ic|GEOIP:''XY''|icon=geoip|class=available }} || {{#var:Zu Gruppe hinzufügen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
| colspan="3" | {{h5| {{#var:GeoIP Schritt 3}} | {{#var:GeoIP Schritt 3}} }} | |||
|- | |||
| colspan="3" | {{#var:GeoIP Schritt 3--desc}} | |||
| class="Bild" rowspan="11" | {{Bild | {{#var:GeoIP Schritt 3--Bild}}|{{#var:GeoIP Schritt 3--cap}} }} | |||
|- | |||
| {{b|{{#var:Quelle}} }} || {{ic|{{#var:GeoIP-Quelle}}|dr|icon=geoips|iconborder=none|class=max-content }} || {{#var:GeoIP-Quelle--desc}} | |||
|- | |||
| {{b|{{#var:Ziel}} }} || {{ic|external-interface|dr|icon=interface|iconborder=none|class=available}} || {{#var:Ziel--desc}} | |||
|- | |||
| {{b|{{#var:Dienst}} }} || {{ic|smtp|dr|icon=tcp|iconborder=none |class=available}} || {{#var:Dienst--desc}} | |||
|- | |||
| {{b|{{#var:Aktion}} }} || {{Button|DROP|dr|class=available}} || {{#var:Aktion--desc}} | |||
|- | |||
| {{b|{{#var:Logging}} }} || {{Button| SHORT|dr|class=available}} || {{#var:Logging--desc}} | |||
|- | |||
| {{b|{{#var:Gruppe}} }} || {{Button| default|dr|class=available}} || {{#var:Gruppe--desc}} | |||
|- class="noborder" | |||
| colspan="3" | {{Button|{{#var:Hinzufügen und schließen}} }} | |||
|- class="noborder" | |||
| colspan="3" | {{h5|{{#var:GeoIP Schritt 4}} | {{#var:GeoIP Schritt 4}} }} | |||
|- class="noborder" | |||
| {{Button| {{#var:Regeln aktualisieren}}|play}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
==== {{#var:Beispiel Allow}} ==== | |||
<div class="Einrücken">{{#var:Beispiel Allow--desc}} | |||
</div> | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- class="Leerzeile" | |||
| colspan="3" | {{h5| {{#var:GeoIP Schritt 1}} | {{#var:GeoIP Schritt 1}} }} | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="5" | {{Bild | {{#var:Gruppe hinzufügen-allow--Bild}}|{{#var:Gruppe hinzufügen--cap}} }} | |||
|- | |||
| colspan="3" | {{#var:Gruppe hinzufügen-allow--desc}} | |||
|- | |||
| {{b|{{#var:Name}} }} || {{ic|{{#var:Geo-allow}} }} || {{#var:GeoIP-Netzwerkgruppen-Name--desc}} | |||
|- class="Leerzeile" | |||
| colspan="3" | {{button|{{#var:Speichern}} }} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
| colspan="3" | {{h5|{{#var:GeoIP Schritt 2}}|{{#var:GeoIP Schritt 2}} }} | |||
|- | |||
| {{Button||glyph|glyph-class=folder-closed}} → {{Button||glyph|glyph-class=folder-open}} | |||
| {{Button|{{#var:Geo-allow}}|blau}} || {{#var:Netzwerkgruppe öffnen--desc}} | |||
| class="Bild" rowspan="4" | {{Bild | {{#var:GeoIP-allow Schritt 2--Bild}}|{{#var:GeoIP Schritt 2--cap}} }} | |||
|- | |||
| {{Kasten|{{#var:Netzwerkobjekte}}|grau}} || {{ic| {{#var:Netzwerkobjekte-allow--val}}|rechts|icon={{spc|fa|o|-|class=glyphicons glyphicons-search glyphicons-size-14}}|iconborder=none|class=available}} || {{#var:Netzwerkobjekte--desc}} | |||
|- | |||
| class=mw13 | {{Button||+}} <span class=Hover>{{#var:Zu Gruppe hinzufügen}}</span>|| {{ic|GEOIP:''XY''|icon={{spc|geoip|o|-}}|class=available }} || {{#var:Zu Gruppe hinzufügen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
| colspan="3" | {{h5| {{#var:GeoIP-allow Schritt 3}} | {{#var:GeoIP-allow Schritt 3}} }} | |||
|- | |||
| colspan="3" | {{#var:GeoIP-allow Schritt 3--desc}} | |||
| class="Bild" rowspan="11" | {{Bild | {{#var:GeoIP-allow Schritt 3--Bild}}|{{#var:GeoIP Schritt 3--cap}} }} | |||
|- | |||
| {{b|{{#var:Quelle}} }} || {{ic|{{#var:Geo-allow}}|dr|icon={{spc|geoips|o|-}}|iconborder=none|class=max-content }} || {{#var:GeoIP-Quelle--desc}} | |||
|- | |||
| {{b|{{#var:Ziel}} }} || {{ic|external-interface|dr|icon={{spc|interface|o|-}} |iconborder=none|class=available}} || {{#var:Ziel--desc}} | |||
|- | |||
| {{b|{{#var:Dienst}} }} || {{ic|https|dr|icon={{spc|tcp|o|-}}|iconborder=none |class=mw12}} || {{#var:Dienst--desc}} | |||
|- | |||
| {{b|{{#var:Aktion}} }} || {{Button|ACCEPT|dr|class=available}} || {{#var:Aktion-allow--desc}} | |||
|- | |||
| {{b|{{#var:Logging}} }} || {{Button| SHORT|dr|class=available}} || {{#var:Logging--desc}} | |||
|- | |||
| {{b|{{#var:Gruppe}} }} || {{Button| default|dr|class=available}} || {{#var:Gruppe--desc}} | |||
|- class="noborder" | |||
| colspan="3" | {{Button|{{#var:Speichern}} }} | |||
|- class="noborder" | |||
| colspan="3" | {{h5|{{#var:GeoIP Schritt 4}} | {{#var:GeoIP Schritt 4}} }} | |||
|- class="noborder" | |||
| {{Button| {{#var:Regeln aktualisieren}}|play}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
=== {{#var:Potentiell gefährliche IPs sperren}} === | |||
<div class="Einrücken"> | |||
{{#var:Potentiell gefährliche IPs sperren--desc}} | |||
<li class="list--element__alert list--element__warning em2">{{#var:CDC-Default--Hinweis}}</li> | |||
</div> | |||
Version vom 21. Juli 2022, 13:57 Uhr
Konfiguration von Zugriffen mittels Geo-IP auf der UTM steuern
Neuer Artikel zur Version: 12.2.3
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.
Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert.IPs, die von der Datenbank nicht erfasst werden, werden von den Regeln nicht berücksichtigt. Die UTM prüft wöchentlich (oder per CLI bei Bedarf) , ob eine neue Datenbank vorliegt.
Die GeoIPs werden von der UTM dabei wie Netzwerkobjekte der Zone external behandelt. → weitere Zonen
Systemweites Blocking
Unter lassen sich Regionen systemweit als Quelle oder Ziel blockieren
Diese Einstellungen gelten systemweit in allen Zonen und werden vor den Paketfilter-Regeln angewendet!
GeoIP | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdn Firewall  GeoIP
|
|---|---|---|---|
GeoIP |
Aktivierungsstatus der Regeln innerhalb der Kachel | ||
| IPGeoBlockingSrc | Ein | Aktiviert die GeoIP Einstellungen für abgelehnte Quellen | |
| IPGeoBlockingDst | Ein | Aktiviert die GeoIP Einstellungen für abgelehnte Ziele | |
Quellen
| |||
| Systemweit abgelehnte Quellen: | BX (Beliebiges Beispiel) | In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen. | |
| Gruppe: | Alle | Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt. | |
| Hinzufügen | Fügt die Regionen aus der ausgewählten Gruppe hinzu | ||
| Entfernen | Entfernt die Regionen aus der ausgewählten Gruppe | ||
| Ausnahmen: | IP-Adresse | Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden. | |
Ziele
| |||
| Systemweit abgelehnte Ziele: | BX (Beliebiges Beispiel) | In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen. Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode. | |
| Ausnahmen: | IP-Adresse | Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden. | |
Einrichten weiterer Zonen für GeoIP
Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.
Unter Schaltfläche kann ein Netzwerkobjekt vom Typ hinzugefügt werden.
Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen.
Ein Präfix ist optional möglich.
Siehe auch Wiki: Paketfilter / Netzwerkobjekte erstellen
node geoip generate zone <zone> name <prefix>
Der Prefixname ist optional, die Zone muss bereits existieren.
Beispiel: node geoip generate zone external2 name EXT2_
Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2.
Für Deutschland hieße das dann EXT2_GEOIP:DE
Schritt 1: Anlegen einer Netzwerkgruppe Schritt 1: Anlegen einer Netzwerkgruppe
| |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Hinzufügen einer Netzwerkgruppe für GeoIPs, die blockiert werden sollen im Abschnitt Netzwerkgruppen mit der Schaltfläche | |||
| Name: | Aussagekräftiger Name für die Netzwerkgruppe | ||
Schritt 2: Übersicht NetzwerkgruppenSchritt 2: Übersicht Netzwerkgruppen
| |||
| → |  | ||
| Netzwerkobjekte | Suchtext für gewünschtes Land | ||
 GEOIP:XY |
|||
Schritt 3: Paketfilter Regel hinzufügen Schritt 3: Paketfilter Regel hinzufügen
| |||
| Neue Paketfilter Regel anlegen unter Schaltfläche |  | ||
| Quelle: |  Geo-Blocking-Mail |
Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen | |
| Ziel: |  external-interface |
Schnittstelle, auf der die zu blockierende Pakete ankommen | |
| Dienst: |  smtp |
Dienst oder Dienstgruppe, der bzw. die blockiert werden soll | |
| Aktion: | Verwirft die Pakete | ||
| Logging: | Gewünschtes Logging wählen | ||
| Gruppe | Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt. | ||
Schritt 4: Regeln aktualisieren Schritt 4: Regeln aktualisieren
| |||
Beispiel: Zugriff erlauben
Der Zugriff aus dem Ausland soll auf ausgewählte Länder beschränkt werden.
Eine Paketfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https.
Hierfür muss unter auf die Schaltfläche geklickt werden
Eine Paketfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https.
Hierfür muss unter auf die Schaltfläche geklickt werden
Schritt 1: Anlegen einer Netzwerkgruppe Schritt 1: Anlegen einer Netzwerkgruppe
| |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Name: | Aussagekräftiger Name für die Netzwerkgruppe | ||
Schritt 2: Übersicht NetzwerkgruppenSchritt 2: Übersicht Netzwerkgruppen
| |||
| → |  | ||
| Netzwerkobjekte | Suchtext für gewünschtes Land | ||
| GEOIP:XY |
|||
Schritt 3: Bestehende Regel bearbeiten Schritt 3: Bestehende Regel bearbeiten
| |||
| Unter Schaltfläche eine neue Regel anlegen oder eine bestehende bearbeiten |  | ||
| Quelle: | |
Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen | |
| Ziel: | external-interface |
Schnittstelle, auf der die zu blockierende Pakete ankommen | |
| Dienst: | https |
Dienst oder Dienstgruppe, der bzw. die blockiert werden soll | |
| Aktion: | Lässt die Pakete durch | ||
| Logging: | Gewünschtes Logging wählen | ||
| Gruppe | Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt. | ||
Schritt 4: Regeln aktualisieren Schritt 4: Regeln aktualisieren
| |||
Potentiell gefährliche IPs sperren
Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden:
Aktivierung unter Bereich Cyber Defence Cloud Schaltfläche Verbindung protokollieren und blockieren: Ja