KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 17: | Zeile 17: | ||
{{var | nftables--Hinweis | {{var | nftables--Hinweis | ||
| Bei Neuinstallationen wird ab v12.7.0 ''nftables'' statt ''iptables'' verwendet. | | Bei Neuinstallationen wird ab v12.7.0 ''nftables'' statt ''iptables'' verwendet. | ||
| | | From v12.7.0, ''nftables'' is used instead of ''iptables'' for new installations. }} | ||
{{var | Umschalten per CLI | {{var | Umschalten per CLI | ||
| Umschalten per CLI | | Umschalten per CLI | ||
| | | Switching via CLI }} | ||
{{var | bzw. | {{var | bzw. | ||
| bzw. | | bzw. | ||
| | | or }} | ||
{{var | nftables--info | {{var | nftables--info | ||
| ''Nftables'' bietet mehr Flexibiltät und aktuellere Kernelunterstützung und wurde als Ablösung von ''iptables'' entwickelt. | | ''Nftables'' bietet mehr Flexibiltät und aktuellere Kernelunterstützung und wurde als Ablösung von ''iptables'' entwickelt. | ||
| | | ''Nftables'' offers more flexibility and more up-to-date kernel support and was developed as a replacement for ''iptables''. }} | ||
{{var | Paketfilter Beschreibung | {{var | Paketfilter Beschreibung | ||
| Paketfilter Beschreibung | | Paketfilter Beschreibung | ||
| Packet filter Description }} | | Packet filter Description }} | ||
{{var | Funktion--desc | {{var | Funktion--desc | ||
| Der Paketfilter steuert den Datenverkehr, der durch die UTM geht. | | Der Paketfilter steuert den Datenverkehr, der durch die UTM geht. | ||
* Alle Netzwerk-Pakete, die durch die UTM gehen, werden gefiltert und nur aufgrund von Paketfilterregeln weitergeleitet | * Alle Netzwerk-Pakete, die durch die UTM gehen, werden gefiltert und nur aufgrund von Paketfilterregeln weitergeleitet | ||
* Dabei ist es unerheblich, ob sich die Zieladresse und Quelladresse des Paketes im gleichen Netzwerk, in einem anderen, lokalen Netzwerk oder im Internet und einem lokalen Netzwerk befindet. | * Dabei ist es unerheblich, ob sich die Zieladresse und Quelladresse des Paketes im gleichen Netzwerk, in einem anderen, lokalen Netzwerk oder im Internet und einem lokalen Netzwerk befindet. | ||
* Anhand von Quell-IP, Ziel-IP und verwendetem Dienst werden die Regeln '''von oben nach unten''' überprüft.<br>Die <nowiki>#</nowiki>laufende Nummer vor einer Regel gibt dabei die Reihenfolge der Regel'''erstellung''' an und bleibt permanent erhalten. Sie gibt nicht die Reihenfolge an, in der die Regel abgearbeitet wird! | * Anhand von Quell-IP, Ziel-IP und verwendetem Dienst werden die Regeln '''von oben nach unten''' überprüft.<br> Die <nowiki>#</nowiki>laufende Nummer vor einer Regel gibt dabei die Reihenfolge der Regel'''erstellung''' an und bleibt permanent erhalten. Sie gibt nicht die Reihenfolge an, in der die Regel abgearbeitet wird! | ||
* Eine angelegte Regel kann mit gedrückter Maustaste auf das Icon {{spc|drag|o|-}} nachträglich in der Reihenfolge verschoben werden. | * Eine angelegte Regel kann mit gedrückter Maustaste auf das Icon {{spc|drag|o|-}} nachträglich in der Reihenfolge verschoben werden. | ||
| The packet filter controls the data traffic that passes through the UTM. | | The packet filter controls the data traffic that passes through the UTM. | ||
* All network packets that pass through the UTM are filtered and only forwarded based on packet filter rules. | * All network packets that pass through the UTM are filtered and only forwarded based on packet filter rules. | ||
* Thereby, it is irrelevant whether the destination address and source address of the packet are in the same network, in another, local network or in the Internet and a local network. | * Thereby, it is irrelevant whether the destination address and source address of the packet are in the same network, in another, local network or in the Internet and a local network. | ||
* Based on the source IP, destination IP and service used, the rules are checked '''from top to bottom'''.<br>The sequential number before a rule <nowiki>#</nowiki> indicates the order of rule'''creation''' and is permanently retained. It does not indicate the order in which the rule is processed! | * Based on the source IP, destination IP and service used, the rules are checked '''from top to bottom'''.<br> The sequential number before a rule <nowiki>#</nowiki> indicates the order of rule'''creation''' and is permanently retained. It does not indicate the order in which the rule is processed! | ||
* A rule that has been created can be subsequently moved in the order by holding down the mouse button on the icon {{spc|drag|o|-}}. }} | * A rule that has been created can be subsequently moved in the order by holding down the mouse button on the icon {{spc|drag|o|-}}. }} | ||
{{var | ACCEPT--desc | {{var | ACCEPT--desc | ||
Zeile 60: | Zeile 57: | ||
| Allows connections regardless of status }} | | Allows connections regardless of status }} | ||
{{var | Logging--desc | {{var | Logging--desc | ||
| Gibt an, wie ausführlich ein Zutreffen der Regel protokolliert wird.<br> | | Gibt an, wie ausführlich ein Zutreffen der Regel protokolliert wird.<br> {{Hinweis-box|Neu ab v12.7.0|gr|12.7.0|status=neu}} Diese Einstellung ist auch in der Paketfilter Übersicht für einzelne Filter sowie auch komplette Gruppen vorhanden. | ||
{{Hinweis-box| | | Specifies how extensively the application of the rule is logged.<br> {{Hinweis-box|New as of v12.7.0|gr|12.7.0|status=neu}} This setting is also available in the packet filter overview for individual filters as well as complete groups. }} | ||
| | |||
{{var | Schaltflächenbild einblenden | {{var | Schaltflächenbild einblenden | ||
| Schaltflächenbild einblenden | | Schaltflächenbild einblenden | ||
| | | Show button image }} | ||
{{var | Loggingschaltfläche allgemein--Bild | {{var | Loggingschaltfläche allgemein--Bild | ||
| UTM v12.7.0 Paketfilter Loggingschaltflaeche allgemein.png | | UTM v12.7.0 Paketfilter Loggingschaltflaeche allgemein.png | ||
| | | }} | ||
{{var | Logging--none--desc | {{var | Logging--none--desc | ||
| Keine Protokollierung | | Keine Protokollierung | ||
Zeile 74: | Zeile 70: | ||
{{var | Loggingschaltfläche none--Bild | {{var | Loggingschaltfläche none--Bild | ||
| UTM v12.7.0 Paketfilter Loggingschaltflaeche none.png | | UTM v12.7.0 Paketfilter Loggingschaltflaeche none.png | ||
| | | }} | ||
{{var | Logging--short--desc | {{var | Logging--short--desc | ||
| Protokolliert die ersten die Einträge je Minute | | Protokolliert die ersten die Einträge je Minute | ||
Zeile 91: | Zeile 87: | ||
| Group }} | | Group }} | ||
{{var | Gruppe--desc | {{var | Gruppe--desc | ||
| Paketfilterregeln müssen einer Gruppe zugeordnet werden. Das erleichtert die Übersichtlichkeit beim Ergänzen des Regelwerkes. Außerdem können Regelgruppen mit einem Schalter aktiviert oder deaktiviert werden, {{Hinweis-box|Neu ab v12.7|gr|12.7|status=neu}} sowie die Loggingeinstellung aller beinhalteten Regeln zentral über eine Schaltfläche angepasst werden. | | Paketfilterregeln müssen einer Gruppe zugeordnet werden. Das erleichtert die Übersichtlichkeit beim Ergänzen des Regelwerkes. Außerdem können Regelgruppen mit einem Schalter aktiviert oder deaktiviert werden, {{Hinweis-box|Neu ab v12.7.0|gr|12.7.0|status=neu}} sowie die Loggingeinstellung aller beinhalteten Regeln zentral über eine Schaltfläche angepasst werden. | ||
| | | Packet filter rules must be assigned to a group. This makes it easier to keep track when adding to the set of rules. In addition, rule groups can be activated or deactivated with a switch {{Hinweis-box|New as of v12.7.0|gr|12.7.0|status=neu}} and the logging settings of all rules contained can be adjusted centrally via a button. }} | ||
{{var | Regel-Ausnahme | {{var | Regel-Ausnahme | ||
| Soll für eine Regel ein Ausnahme erstellt werden, muss zunächst die (speziellere) Ausnahme definiert sein und danach erst die allgemeinere Regel. <br>Trifft für ein Paket die Ausnahme Regel zu, wird die angegebene Aktion ausgeführt und der Paketfilter beendet. <br>Trifft die Ausnahme Regel nicht zu, wird anschließend die allgemeinere Regel überprüft. <br>Trifft diese dann zu wird die dort angegebene Aktion ausgeführt. | | Soll für eine Regel ein Ausnahme erstellt werden, muss zunächst die (speziellere) Ausnahme definiert sein und danach erst die allgemeinere Regel. <br>Trifft für ein Paket die Ausnahme Regel zu, wird die angegebene Aktion ausgeführt und der Paketfilter beendet. <br>Trifft die Ausnahme Regel nicht zu, wird anschließend die allgemeinere Regel überprüft. <br>Trifft diese dann zu wird die dort angegebene Aktion ausgeführt. | ||
Zeile 123: | Zeile 119: | ||
| UTM v12.7.0 Paketfilter Uebersicht.png | | UTM v12.7.0 Paketfilter Uebersicht.png | ||
| UTM v12.7.0 Paketfilter Uebersicht-en.png }} | | UTM v12.7.0 Paketfilter Uebersicht-en.png }} | ||
{{var | Regeln aktualisieren | {{var | Regeln aktualisieren | ||
| Regeln aktualisieren | | Regeln aktualisieren | ||
| Update rules }} | | Update rules }} | ||
{{var | Typ | {{var | Typ | ||
| Typ | | Typ | ||
| Type }} | | Type }} | ||
{{var | Paketfilterregel | {{var | Paketfilterregel | ||
| Paketfilterregel | | Paketfilterregel | ||
Zeile 206: | Zeile 193: | ||
| UTM v12.7.0 Paketfilter HIDENAT.png | | UTM v12.7.0 Paketfilter HIDENAT.png | ||
| UTM v12.7.0 Paketfilter HIDENAT-en.png }} | | UTM v12.7.0 Paketfilter HIDENAT-en.png }} | ||
{{var | Dest. NAT--desc | {{var | Dest. NAT--desc | ||
| Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten.<br><br> Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) des Servers (198.51.100.1/32) über die öffentliche IP-Adresse der Schnittstelle eth0 mit dem Port 10000 zugreifen möchten, müsste die Regel wie nebenstehend abgebildet angelegt werden.<br> Die zugehörigen Netzwerkobjekte und der Dienst auf Port 10000 müssen dazu angelegt sein. | | Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten.<br><br> Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) des Servers (198.51.100.1/32) über die öffentliche IP-Adresse der Schnittstelle eth0 mit dem Port 10000 zugreifen möchten, müsste die Regel wie nebenstehend abgebildet angelegt werden.<br> Die zugehörigen Netzwerkobjekte und der Dienst auf Port 10000 müssen dazu angelegt sein. | ||
| Destination NAT is usually used to offer several services on different servers under one public IP address.<br><br> For example, if you want to access the SSH service (port 22) of the server (198.51.100.1/32) from the Internet via the public IP address of the eth0 interface with port 10000, the rule would have to be created as shown opposite.<br>The associated network objects and the service on port 10000 must be created for this. }} | | Destination NAT is usually used to offer several services on different servers under one public IP address.<br><br> For example, if you want to access the SSH service (port 22) of the server (198.51.100.1/32) from the Internet via the public IP address of the eth0 interface with port 10000, the rule would have to be created as shown opposite.<br>The associated network objects and the service on port 10000 must be created for this. }} | ||
{{var | Dest. NAT--Bild | {{var | Dest. NAT--Bild | ||
| UTM v12.7.0 Paketfilter DESTNAT.png | | UTM v12.7.0 Paketfilter DESTNAT.png | ||
Zeile 224: | Zeile 205: | ||
| UTM v12.7.0 Paketfilter FULLCONENAT.png | | UTM v12.7.0 Paketfilter FULLCONENAT.png | ||
| UTM v12.7.0 Paketfilter FULLCONENAT-en.png }} | | UTM v12.7.0 Paketfilter FULLCONENAT-en.png }} | ||
{{var | HideNAT Exclude--desc | {{var | HideNAT Exclude--desc | ||
| HideNAT Exclude kommt in der Regel in Verbindung mit IPSec-VPN Verbindungen zum Einsatz. <br>Damit wird erreicht, daß Datenpakete für die VPN Gegenstelle mit der privaten IP-Adresse durch den VPN Tunnel geleitet werden.<br> Andernfalls würden diese, wie alle anderen Pakte in Richtung Internet, mit der öffentlichen WAN IP-Adresse maskiert werden und, da diese mit einer privaten Zieladresse versendet werden, am nächsten Internet Router verworfen.<br> Siehe dazu auch den [[UTM/RULE/Hidenat_Exclude | Wikiartikel HideNAT Exclude]]. | | HideNAT Exclude kommt in der Regel in Verbindung mit IPSec-VPN Verbindungen zum Einsatz. <br>Damit wird erreicht, daß Datenpakete für die VPN Gegenstelle mit der privaten IP-Adresse durch den VPN Tunnel geleitet werden.<br> Andernfalls würden diese, wie alle anderen Pakte in Richtung Internet, mit der öffentlichen WAN IP-Adresse maskiert werden und, da diese mit einer privaten Zieladresse versendet werden, am nächsten Internet Router verworfen.<br> Siehe dazu auch den [[UTM/RULE/Hidenat_Exclude | Wikiartikel HideNAT Exclude]]. | ||
Zeile 236: | Zeile 214: | ||
| UTM v12.1 Portfilter Hidenat Exclude-Regelübersicht.png | | UTM v12.1 Portfilter Hidenat Exclude-Regelübersicht.png | ||
| UTM v12.1 Portfilter Hidenat Exclude-Regelübersicht-en.png }} | | UTM v12.1 Portfilter Hidenat Exclude-Regelübersicht-en.png }} | ||
{{var | NetMap--desc | {{var | NetMap--desc | ||
| NetMap dient dazu zwei gleiche Subnetze miteinander zu verbinden.<br> | | NetMap dient dazu zwei gleiche Subnetze miteinander zu verbinden.<br> | ||
Zeile 247: | Zeile 222: | ||
| UTM v12.7.0 Paketfilter NETMAP.png | | UTM v12.7.0 Paketfilter NETMAP.png | ||
| UTM v12.7.0 Paketfilter NETMAP-en.png }} | | UTM v12.7.0 Paketfilter NETMAP-en.png }} | ||
{{var | HideNAT Exclude--Hinweis | {{var | HideNAT Exclude--Hinweis | ||
| Die HideNAT-Exclude Regel muss dabei '''vor''' der HideNAT Regel stehen, damit die Ausnahme greift. | | Die HideNAT-Exclude Regel muss dabei '''vor''' der HideNAT Regel stehen, damit die Ausnahme greift. | ||
Zeile 270: | Zeile 242: | ||
{{var | Regel Einstellungen | {{var | Regel Einstellungen | ||
| Regel Einstellungen | | Regel Einstellungen | ||
| | | Rule settings }} | ||
{{var | Netzwerkobjekt | {{var | Netzwerkobjekt | ||
| Netzwerkobjekt | | Netzwerkobjekt | ||
Zeile 336: | Zeile 308: | ||
{{var | Allgemein--cap | {{var | Allgemein--cap | ||
| Paketfilterregel-Einstellungen {{Reiter|Allgemein}} | | Paketfilterregel-Einstellungen {{Reiter|Allgemein}} | ||
| | | Packet filter rule settings {{Reiter|General}} }} | ||
{{var | Dienst--desc | {{var | Dienst--desc | ||
| Gewünschter Dienst mit hinterlegtem Port (siehe [[#Dienste | Dienste]]) | | Gewünschter Dienst mit hinterlegtem Port (siehe [[#Dienste | Dienste]]) | ||
Zeile 349: | Zeile 321: | ||
| Es wird kein NAT durchgeführt | | Es wird kein NAT durchgeführt | ||
| No NAT is performed }} | | No NAT is performed }} | ||
{{var | Netzwerkobjekt wechseln | {{var | Netzwerkobjekt wechseln | ||
| Netzwerkobjekt wechseln | | Netzwerkobjekt wechseln | ||
Zeile 375: | Zeile 332: | ||
{{var | Logging Slider | {{var | Logging Slider | ||
| Das Logging lässt sich direkt in der Übersicht für einzelne Regeln oder Regelgruppen verändern (siehe Abschnitt [[#Logging | Logging]] {{Logging-Slider|4}} ) | | Das Logging lässt sich direkt in der Übersicht für einzelne Regeln oder Regelgruppen verändern (siehe Abschnitt [[#Logging | Logging]] {{Logging-Slider|4}} ) | ||
| | | Logging can be changed directly in the overview for individual rules or rule groups (see section [[#Logging | Logging]] {{Logging-Slider|4}} }} | ||
---- | ---- |
UTM/RULE/Paketfilter.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki