K (Weiterleitung auf UTM/RULE/Implizite Regeln v12.1 entfernt) Markierung: Weiterleitung entfernt |
Keine Bearbeitungszusammenfassung |
||
| Zeile 3: | Zeile 3: | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
{{:UTM/RULE/Implizite_Regeln.lang}} | {{:UTM/RULE/Implizite_Regeln.lang}} | ||
{{var | neu-Eigener Reiter | |||
| GeoIP ist nun in einem eigenen Reiter | |||
| GeoIP now has its own tab }} | |||
{{var | neu-vorausgewählte Gruppe | |||
| In den GeoIP-Einstellungen gibt es nun vordefinierte Gruppe | |||
| In the GeoIP settings there are now preset groups }} | |||
</div>{{Select_lang}} | </div>{{Select_lang}} | ||
{{Header|12. | {{Header|12.4| | ||
* | * {{#var:neu-Eigener Reiter}} | ||
* {{#var:neu- | * {{#var:neu-vorausgewählte Gruppe}} | ||
|[[UTM/RULE/Implizite_Regeln_v12.1 | 12.1]] | |[[UTM/RULE/Implizite_Regeln_v12.2 | 12.2]] | ||
[[UTM/RULE/Implizite_Regeln_v12.1 | 12.1]] | |||
[[UTM/RULE/Implizite_Regeln_v11.7 | 11.7]] | [[UTM/RULE/Implizite_Regeln_v11.7 | 11.7]] | ||
| {{Menu|Firewall|{{#var:Implizite Regeln}} }} | |||
}} | }} | ||
== {{#var:Implizite Regeln}} == | == {{#var:Implizite Regeln}} == | ||
<div class="Einrücken"> | |||
{{#var:Implizite Regeln--Menu}} | |||
< | |||
<br> | <br> | ||
{{Hinweis-neu|!! {{#var:Implizite Regeln--Zonen-Hinweis}}|r}} | |||
<br clear=all></div> | |||
{| class="sptable2 striped pd5 sortable" | {| class="sptable2 striped pd5 sortable Einrücken" | ||
|- | |- | ||
! {{#var:Gruppe}} !! {{#var:Regel}} !! {{#var:desc}} !! {{#var:Protokoll}} !! | ! {{#var:Gruppe}} !! {{#var:Regel}} !! {{#var:desc}} !! {{#var:Protokoll}} !! Port !! {{#var:Default}} | ||
|- | |- | ||
| rowspan="5"| BlockChain || || {{#var:Gruppenaktivierung}} || || || {{ButtonAn|{{#var:ein}} }} | | rowspan="5"| BlockChain || || {{#var:Gruppenaktivierung}} || || || {{ButtonAn|{{#var:ein}} }} | ||
|- | |- | ||
| {{#var:FailToBan_ssh}} || {{#var:FailToBan_ssh--desc}}{{#var:BlockChain--desc}} | | {{#var:FailToBan_ssh}} || {{#var:FailToBan_ssh--desc}}{{#var:BlockChain--desc}} | ||
| TCP || 22 || {{ButtonAn|{{#var:ein}} }} | |||
|- | |- | ||
| {{#var:FailToBan_http_admin}} || {{#var:FailToBan_http_admin--desc}} {{#var:BlockChain--desc}} {{Einblenden|{{#var:Portänderung}}|{{#var:hide}}|true|info}}{{#var:Änderungen http_admin}}</div></span></div> | | {{#var:FailToBan_http_admin}} || {{#var:FailToBan_http_admin--desc}} {{#var:BlockChain--desc}} {{Einblenden|{{#var:Portänderung}}|{{#var:hide}}|true|info}}{{#var:Änderungen http_admin}}</div></span></div> | ||
| TCP || 11115<i class=sup title="{{#var:Defaultwert--desc}}">*</i> || {{ButtonAn|{{#var:ein}} }} | |||
|- | |- | ||
| {{#var:FailToBan_http_user}} || {{#var:FailToBan_http_user--desc}} {{#var:BlockChain--desc}} {{Einblenden|{{#var:Portänderung}}|{{#var:hide}}|true|info}}{{#var:Änderungen http_admin}}</div></span></div> | | {{#var:FailToBan_http_user}} || {{#var:FailToBan_http_user--desc}} {{#var:BlockChain--desc}} {{Einblenden|{{#var:Portänderung}}|{{#var:hide}}|true|info}}{{#var:Änderungen http_admin}}</div></span></div> | ||
| TCP || 443<i class=sup title="{{#var:Defaultwert--desc}}">*</i> || {{ButtonAn|{{#var:ein}} }} | |||
|- | |- | ||
| {{#var:FailToBan_smtp}} || {{#var:FailToBan_smtp--desc}} {{#var:BlockChain--desc}} {{Einblenden|{{#var:Portänderung}}|{{#var:hide}}|true|info}}{{#var:Änderungen smtp}}</div></span></div> | | {{#var:FailToBan_smtp}} || {{#var:FailToBan_smtp--desc}} {{#var:BlockChain--desc}} {{Einblenden|{{#var:Portänderung}}|{{#var:hide}}|true|info}}{{#var:Änderungen smtp}}</div></span></div> | ||
| TCP || 25<i class=sup title="{{#var:Defaultwert--desc}}">*</i> || {{ButtonAn|{{#var:ein}} }} | |||
|- | |- | ||
| rowspan="3"| {{#var:CaptivePortal}} || || {{#var:CaptivePortal--desc}} || || || {{ButtonAus|{{#var:aus}} }} | | rowspan="3"| {{#var:CaptivePortal}} || || {{#var:CaptivePortal--desc}} || || || {{ButtonAus|{{#var:aus}} }} | ||
|- | |- | ||
| {{#var:CaptivePortalPage}} || {{#var:CaptivePortalPage--desc}}{{Einblenden|{{#var:Portänderung}}|{{#var:hide}}|true|info}}{{#var:Änderungen captivePortal}}</div></span></div> | | {{#var:CaptivePortalPage}} || {{#var:CaptivePortalPage--desc}}{{Einblenden|{{#var:Portänderung}}|{{#var:hide}}|true|info}}{{#var:Änderungen captivePortal}}</div></span></div> | ||
| TCP || 8085<i class=sup title="{{#var:Defaultwert--desc}}">*</i> || {{ButtonAus|{{#var:aus}} }} | |||
|- | |- | ||
| {{#var:CaptivePortalRedirection}} || {{#var:CaptivePortalRedirection--desc}} || || || {{ButtonAus|{{#var:aus}} }} | | {{#var:CaptivePortalRedirection}} || {{#var:CaptivePortalRedirection--desc}} || || || {{ButtonAus|{{#var:aus}} }} | ||
| Zeile 46: | Zeile 58: | ||
| rowspan="3"| {{#var:IpsecTraffic}} || || {{#var:Gruppenaktivierung}} || || || {{ButtonAus|{{#var:aus}} }} | | rowspan="3"| {{#var:IpsecTraffic}} || || {{#var:Gruppenaktivierung}} || || || {{ButtonAus|{{#var:aus}} }} | ||
|- | |- | ||
| | | Accept || {{#var:IPSec--Accept--desc}} || || || {{ButtonAn|{{#var:ein}} }} | ||
|- | |- | ||
| {{#var:Kein NAT für IPSec Verbindungen}} || {{#var:Kein NAT für IPSec Verbindungen--desc}}<br><li class="list--element__alert list--element__hint small">{{#var:Kein NAT für IPSec Verbindungen--Hinweis}}</li> | | {{#var:Kein NAT für IPSec Verbindungen}} || {{#var:Kein NAT für IPSec Verbindungen--desc}}<br><li class="list--element__alert list--element__hint small">{{#var:Kein NAT für IPSec Verbindungen--Hinweis}}</li> | ||
| Zeile 76: | Zeile 88: | ||
| {{#var:User Interface Portal}} || {{#var:User Interface Portal--desc}} || TCP || 443 || {{ButtonAus|{{#var:aus}} }} | | {{#var:User Interface Portal}} || {{#var:User Interface Portal--desc}} || TCP || 443 || {{ButtonAus|{{#var:aus}} }} | ||
|- | |- | ||
| | | {{#var:Wireguard}} || {{#var:Wireguard--desc}} {{Einblenden|{{#var:Portänderung}}|{{#var:hide}}|true|info}}{{#var:Änderungen wireguard}}</div></span></div> | ||
| UDP || 51280<i class=sup title="{{#var:Defaultwert--desc}}">*</i> || {{ButtonAus|{{#var:aus}} }} | |||
|} | |} | ||
{{:UTM/RULE/Implizite_Regeln-GeoIP}} | {{:UTM/RULE/Implizite_Regeln-GeoIP}} | ||
Version vom 15. Mai 2023, 14:48 Uhr
Implizite Regeln der UTM
Letzte Anpassung: 12.4
Neu:
- GeoIP ist nun in einem eigenen Reiter
- In den GeoIP-Einstellungen gibt es nun vordefinierte Gruppe
Implizite Regeln
Einstellungen im Menü .
Für bestimmte Anwendungsfälle wurden Implizite Regeln hinzugefügt. Diese Regeln können ganz einfach vom Anwender je nach Bedarf aktiviert oder deaktiviert werden. Einige von diesen Regeln sind bereits default aktiv.
Die Eingangs-Zonen sind für diese Regeln nicht relevant, d.h. bei Aktivierung sind ggf. Ports auf allen Schnittstellen freigegeben.
| Gruppe | Regel | Beschreibung | Protokoll | Port | |
|---|---|---|---|---|---|
| BlockChain | Aktiviert / deaktiviert die gesamte Gruppe | Ein | |||
| Zugriff per ssh.Überwachung mit Fail2Ban Regeln. Konfiguration unter |
TCP | 22 | Ein | ||
| Zugriff über das Admin Interface. Überwachung mit Fail2Ban Regeln. Konfiguration unter Port Änderungen möglich unter |
TCP | 11115* | Ein | ||
| Zugriff über das User Interface. Überwachung mit Fail2Ban Regeln. Konfiguration unter Port Änderungen möglich unter |
TCP | 443* | Ein | ||
| Zugriff über das Mailgateway. Überwachung mit Fail2Ban Regeln. Konfiguration unter Port Änderungen möglich unter Bereich Smarthost |
TCP | 25* | Ein | ||
| Umleitung des Verkehrs auf eine Landingpage ermöglichen | Aus | ||||
| Öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können. Port Änderungen möglich unter Bereich Erweitert |
TCP | 8085* | Aus | ||
| Umleitung des Traffics auf den oben genannten Port. | Aus | ||||
| Akzeptiert Verbindungen mit dem Protokoll IPComp (Komprimierung der Datenpakete, IP-Protokoll Nummer 108) | IPComp | Aus | |||
| Aktiviert / deaktiviert die gesamte Gruppe | Aus | ||||
| Accept | Akzeptiert Ein- und Ausgehend en Datenverkehr einer IPSec-Verbindung | Ein | |||
| Kein NAT für IPSec Verbindungen | Nimmt alle IPSec-Verbindungen vom NAT aus |
Aus | |||
Akzeptiert
|
UDP | 67 | Ein | ||
| 68 | |||||
| Verwirft diese Pakete ohne Logmeldung | UDP | 138 | Ein | ||
| Verwirft diese Pakete ohne Logmeldung | UDP | 137 | Ein | ||
| Verwirft diese Pakete ohne Logmeldung | UDP | 139 | Ein | ||
| VPN | Akzeptiert Verbindungen auf Port 500/UDP | UDP | 500 | Ein | |
| Akzeptiert Verbindungen mit dem Protokoll ESP (50) | ESP | Ein | |||
| Akzeptiert Verbindungen auf Port 4500/UDP | UDP | 4500 | Ein | ||
| Akzeptiert Verbindungen auf Ports, für die eine SSL-VPN-Instanz mit dem Protokoll UDP konfiguriert wurde | UDP | 1194 | Ein | ||
| Akzeptiert Verbindungen auf Ports, für die eine SSL-VPN-Instanz mit dem Protokoll TCP konfiguriert wurde | TCP | 1194 | Ein | ||
| Akzeptiert Verbindungen auf Port 443/TCP. Erforderlich für das User Interface. | TCP | 443 | Aus | ||
| Ermöglicht Verbindungen mit dem Wireguard Protokoll. Port Änderungen möglich unter Schaltfläche Bearbeiten der Verbindung |
UDP | 51280* | Aus |
GeoIP | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdn Firewall  GeoIP
|
|---|---|---|---|
GeoIP |
Aktivierungsstatus der Regeln innerhalb der Kachel | ||
| IPGeoBlockingSrc | Ein | Aktiviert die GeoIP Einstellungen für abgelehnte Quellen | |
| IPGeoBlockingDst | Ein | Aktiviert die GeoIP Einstellungen für abgelehnte Ziele | |
Quellen
| |||
| Systemweit abgelehnte Quellen: | BX (Beliebiges Beispiel) | In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen. | |
| Gruppe: | Alle | Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt. | |
| Hinzufügen | Fügt die Regionen aus der ausgewählten Gruppe hinzu | ||
| Entfernen | Entfernt die Regionen aus der ausgewählten Gruppe | ||
| Ausnahmen: | IP-Adresse | Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden. | |
Ziele
| |||
| Systemweit abgelehnte Ziele: | BX (Beliebiges Beispiel) | In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen. Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode. | |
| Ausnahmen: | IP-Adresse | Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden. | |