K (Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“) |
Maltea (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 9: | Zeile 9: | ||
|[[UTM/NET/Zoneneinstellungen_v12.4 | 12.4]] | |[[UTM/NET/Zoneneinstellungen_v12.4 | 12.4]] | ||
[[UTM/NET/Zoneneinstellungen_11.7 | 11.7]] | [[UTM/NET/Zoneneinstellungen_11.7 | 11.7]] | ||
|{{Menu-UTM| | | {{Menu-UTM|Netzwerk|Zoneneinstellungen}} | ||
}} | }} | ||
---- | ---- | ||
=== {{#var:Einleitung}} === | === {{#var:Einleitung}} === | ||
<div class="Einrücken">{{#var:Einleitung--desc}}</div> | <div class="Einrücken"> | ||
{{#var:Einleitung--desc}} | |||
</div> | |||
---- | ---- | ||
=== {{#var:Das Zonenkonzept}} === | === {{#var:Das Zonenkonzept}} === | ||
==== {{#var:Eine neue Zone anlegen}} ==== | ==== {{#var:Eine neue Zone anlegen}} ==== | ||
{{Bild| {{#var:Eine neue Zone anlegen--Bild}}|{{#var:Zone hinzufügen}}||{{#var:Zone hinzufügen}}|{{#var:Netzwerk}}|{{#var:Zoneneinstellungen}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}} | {{Bild| {{#var:Eine neue Zone anlegen--Bild}}|{{#var:Zone hinzufügen}}||{{#var:Zone hinzufügen}}|{{#var:Netzwerk}}|{{#var:Zoneneinstellungen}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}} | ||
<div class="Einrücken">{{#var:Eine neue Zone anlegen--desc}}</div> | <div class="Einrücken"> | ||
<br clear=all> | {{#var:Eine neue Zone anlegen--desc}} | ||
</div><br clear=all> | |||
| Zeile 32: | Zeile 36: | ||
<br> | <br> | ||
{{#var:Die Zonen-Beispiel}} | {{#var:Die Zonen-Beispiel}} | ||
<br> | |||
{{#var:Warum muss zwischen diesen unterschiedlichen}} | {{#var:Warum muss zwischen diesen unterschiedlichen}} | ||
<br> | <br> | ||
| Zeile 59: | Zeile 61: | ||
| colspan="9" class="bc__default" | | | colspan="9" class="bc__default" | | ||
|} | |} | ||
</div> | </div> | ||
| Zeile 65: | Zeile 66: | ||
==== Flags ==== | ==== Flags ==== | ||
{| class="sptable2 pd5 zh1" | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |- | ||
! Flag !! colspan="2" | {{#var:Bedeutung}} | ! Flag !! colspan="2" | {{#var:Bedeutung}} | ||
| class="Bild" rowspan="6" | {{Bild| {{#var:Flags--Bild}} |{{#var:Flags--cap}}||{{#var:Zoneneinstellungen}}|{{#var:Netzwerk}}}} | | class="Bild" rowspan="6" | {{Bild| {{#var:Flags--Bild}} |{{#var:Flags--cap}}||{{#var:Zoneneinstellungen}}|{{#var:Netzwerk}} }} | ||
|- | |- | ||
| {{#var:Kein Flag}} || colspan="2" | {{#var:Kein Flag--desc}} | | {{#var:Kein Flag}} || colspan="2" | {{#var:Kein Flag--desc}} | ||
| Zeile 80: | Zeile 82: | ||
| | | | ||
|} | |} | ||
==== IPv6 ==== | ==== IPv6 ==== | ||
<li class="list--element__alert list--element__hint">{{#var:Hinweis-IPv6}}</li> | <li class="list--element__alert list--element__hint">{{#var:Hinweis-IPv6}}</li> | ||
Aktuelle Version vom 28. Februar 2025, 11:30 Uhr
Letzte Anpassung zur Version: 12.6.0
- Aktualisierung zum Redesign des Webinterfaces
Einleitung
Das Zonenkonzept definiert, über welche Schnittstelle ein Objekt (Host oder Netz) die NextGen UTM erreicht.
Hierzu wird es in der Netzwerkkonfiguration auf ein Interface, sowie im Regelwerk an ein Netzwerkobjekt gebunden.
Das Zonenkonzept
Eine neue Zone anlegen
UTMbenutzer@firewall.name.fqdnNetzwerkZoneneinstellungen 
Zone hinzufügen
Eine neue Zone wird unter angelegt, indem auf die Schaltfläche geklickt wird.
Eine Zone kann nur ohne, oder mit einer bereits erstellten Schnittstelle erstellt werden.
Die Zonen
Wir unterscheiden zwischen Netzwerk-, Schnittstellen- und VPN-Zonen:
- Netzwerkzonen unterscheiden die Netzwerksegmente, die sich jeweils hinter einer Schnittstelle der Firewall befinden.
- Schnittstellenzonen unterscheiden die Schnittstellen, über die die unterschiedlichen Netzwerkzonen angebunden sind.
- VPN-Zonen unterscheiden verschiedene Netze, die über VPN-Verbindungen angebunden sind.
Die Art einer Zone wird durch Flags gesteuert, welche beim Anlegen der Zone definiert werden.
Die Unterscheidung für den Anwender wird durch Namenskonventionen vereinfacht (Schnittstellen: Präfix „firewall-“, VPN: Präfix „vpn-“).
Durch die Verknüpfung eines Objekts im Regelwerk mit dem Interface über die Zone wird erreicht, dass eine Portfilter-Regel nur dann greift, wenn nicht nur Quelle, Ziel und Dienst auf die Regel passen, sondern die Verbindung auch über die richtigen Interfaces erfolgt.
Hiermit wird allen Angriffen vorgebeugt, die ein IP-Spoofing beinhalten. Die Zuordnung eines Objekts zu einem Interface erfolgt durch die Bindung der Zone auf das Interface einerseits und die Zuordnung des Netzwerkobjekts zu einer Zone andererseits.
Beispiele:
Internal Network: internal
Internal Interface: firewall-internal
External Interface: firewall-external
Internet: external
Mailserver: internal
Webserver in der 1. DMZ: DMZ1
Entferntes IPSec-Subnetz: vpn-ipsec
Warum muss zwischen diesen unterschiedlichen Zonen unterschieden werden?
Hier ein Beispiel für eine Portfilterregel:
| Dadurch werden Verbindungen mit dem Protokoll HTTP aus dem internen Netzwerk ins Internet freigegeben. Die Quelle liegt dabei in der Netzwerkzone "Internal", das Ziel in der Netzwerkzone "External". Quelle und Ziel befinden sich also in unterschiedlichen Zonen, weil sie über unterschiedliche Schnittstellen der Firewall erreicht werden. |
# | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
 |
4 |  internal-network |
 internet |
 HTTP |
Accept | Ein | |||
Wird nun z.B. "www.ttt-point.de" in den Browser eingegeben, erfolgt vor dem Aufbau dieser Verbindung eine Namensauflösung.
Die Dienste der Firewall sind über die jeweiligen Schnittstellen erreichbar.
Ist also die Firewall der DNS-Server im Netzwerk, schickt die Workstation die DNS-Anfrage an das interne Interface der Firewall.
Diese Anfrage muss mit einer Portfilterregel erlaubt werden:
| Diese Regel unterscheidet sich von der vorherigen in einem Detail: Quelle und Ziel der freigegebenen Verbindung befinden sich nicht hinter unterschiedlichen Schnittstellen. Vielmehr befindet sich das Ziel (die Schnittstelle) im gleichen Netzwerksegment wie die Quelle und damit eigentlich in der gleichen Zone! Intern werden jedoch Regeln für Verbindungen zu Netzwerken oder Hosts in einer anderen Tabelle des Portfilters erstellt als solche, die die Firewall selbst zum Ziel haben. Schnittstellen befinden sich also in ihren eigenen Interface-Zonen, so dass hier z.B. die Quelle in der Netzwerk-Zone "Internal" und das Ziel, das Interface der Firewall, in der Zone "firewall-internal" liegt. Quelle und Ziel einer Verbindung, die im Portfilter-Regelwerk freigegeben wird, befinden sich also immer in unterschiedlichen Zonen:
|
# | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
|
4 | internal-network |
 internal-interface |
 DNS |
Accept | Ein | |||
Flags
| Flag | Bedeutung | UTMbenutzer@firewall.name.fqdnNetzwerk  Zoneneinstellungen
| |
|---|---|---|---|
| Kein Flag | Es handelt sich um die Zone eines Netzwerks. | ||
| Interface | Es handelt sich um die Zone zu einer UTM-Schnittstelle. Diese wird in der Regel genutzt, um die Dienste, die die UTM anbietet (Nameserver, Proxy), erreichbar zu machen. | ||
| Policy_IPSec | Es handelt sich um die Zone eines IPSec-VPN Netzwerkes. | ||
| PPP_VPN | Es handelt sich um die Zone in der sich PPTP- oder L2TP-VPN Clients befinden. | ||
IPv6
Es wird bereits anhand der Art der IP festgelegt, ob die Regel nach iptables oder ip6tables geschrieben werden muss.
Bei Neuinstallationen werden keine IPv6 Zonen mehr angelegt.
Existierende Zonen bleiben beim Firmware-Upgrade oder Import einer Konfiguration bestehen.