Implizite Regeln

Implizite Regeln der UTM

Letzte Anpassung zur Version: 12.4

Neu:

GeoIP ist nun in einem eigenen Reiter
In den GeoIP-Einstellungen gibt es nun vordefinierte Gruppe

notemptyDieser Artikel bezieht sich auf eine Beta-Version

12.2 12.1 11.7

Implizite Regeln

Einstellungen im Menü Firewall Implizite Regeln .
Für bestimmte Anwendungsfälle wurden Implizite Regeln hinzugefügt. Diese Regeln können ganz einfach vom Anwender je nach Bedarf aktiviert oder deaktiviert werden. Einige von diesen Regeln sind bereits default aktiv.

Die Eingangs-Zonen sind für diese Regeln nicht relevant, d.h. bei Aktivierung sind ggf. Ports auf allen Schnittstellen freigegeben.

Gruppe	Regel	Beschreibung	Protokoll	Port
BlockChain		Aktiviert / deaktiviert die gesamte Gruppe			Ein
		Zugriff per ssh.Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS/IPS Wiki Artikel	TCP	22	Ein
		Zugriff über das Admin Interface. Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS/IPS Wiki Artikel Port Änderungen möglich unter Netzwerk Servereinstellungen	TCP	11115*	Ein
		Zugriff über das User Interface. Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS/IPS Wiki Artikel Port Änderungen möglich unter Netzwerk Servereinstellungen	TCP	443*	Ein
		Zugriff über das Mailgateway. Überwachung mit Fail2Ban Regeln. Konfiguration unter Anwendungen IDS/IPS Wiki Artikel Port Änderungen möglich unter Anwendungen Mailrelay Bereich Smarthost	TCP	25*	Ein
		Umleitung des Verkehrs auf eine Landingpage ermöglichen			Aus
		Öffnet einen eingehenden Port auf dem entsprechenden Interface der Firewall, dass für das Captive Portal vorgesehen ist, um die Landingpage anzeigen zu können. Port Änderungen möglich unter Anwendungen Captive Portal Bereich Erweitert	TCP	8085*	Aus
		Umleitung des Traffics auf den oben genannten Port.			Aus
		Akzeptiert Verbindungen mit dem Protokoll IPComp (Komprimierung der Datenpakete, IP-Protokoll Nummer 108)	IPComp		Aus
		Aktiviert / deaktiviert die gesamte Gruppe			Aus
	Accept	Akzeptiert Ein- und Ausgehend en Datenverkehr einer IPSec-Verbindung			Ein
	Kein NAT für IPSec Verbindungen	Nimmt alle IPSec-Verbindungen vom NAT aus Geänderte Default Einstellung für Neu-Installationen ab v12.5			Aus
		Akzeptiert Anfragen für das Bootstrap Protokoll Bootp zur Übermittlung einer IP Adresse und ggf. weiterer Parameter Anfragen für DHCP (Erweiterung von Bootp)	UDP	67	Ein
				68

		Verwirft diese Pakete ohne Logmeldung	UDP	138	Ein
		Verwirft diese Pakete ohne Logmeldung	UDP	137	Ein
		Verwirft diese Pakete ohne Logmeldung	UDP	139	Ein
VPN		Akzeptiert Verbindungen auf Port 500/UDP	UDP	500	Ein
		Akzeptiert Verbindungen mit dem Protokoll ESP (50)	ESP		Ein
		Akzeptiert Verbindungen auf Port 4500/UDP	UDP	4500	Ein
		Akzeptiert Verbindungen auf Ports, für die eine SSL-VPN-Instanz mit dem Protokoll UDP konfiguriert wurde	UDP	1194	Ein
		Akzeptiert Verbindungen auf Ports, für die eine SSL-VPN-Instanz mit dem Protokoll TCP konfiguriert wurde	TCP	1194	Ein
		Akzeptiert Verbindungen auf Port 443/TCP. Erforderlich für das User Interface.	TCP	443	Aus
		Ermöglicht Verbindungen mit dem Wireguard Protokoll. Port Änderungen möglich unter VPN WireGuard Schaltfläche Bearbeiten der Verbindung	UDP	51280*	Aus

Systemweite Sperrungen
notemptyAufruf Verschoben und Layout aktualisiert zur v14.0.1 Unter Anwendungen IDS/IPS Bereich Systemweite Sperrungen lassen sich systemweite Sperrungen von IP-Adressen bewirken. Es können einzelne IP-Adressen oder ganze GeoIP Gruppen als Quellen und/oder Ziele blockiert werden. notemptyDiese Einstellungen gelten systemweit in allen Zonen und werden vor den Paketfilter-Regeln angewendet!
Beschriftung	Wert	Beschreibung	Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Konfiguration für Systemweite Sperrungen
IP-Adressen IP-Adressen notemptyNeu ab v14.0.1
Quell-Adressen systemweit ablehnen:	Ja	Aktiviert das Ablehnen von IP-Adressen als Quellen
Ziel-Adressen systemweit ablehnen:	Ja	Aktiviert das Ablehnen von IP-Adressen als Ziele
IP-Adressen:	»203.0.113.13	IP-Adressen, die systemweit auf allen Schnittstellen blockiert werden Im Log erscheint dazu unter Alle Paketfilter-Meldungen z.B.: ulgogd REJECT: IPBlockingList_RejectSrc Es können nur einzelne IP-Adressen, keine Range, blockiert werden
GeoIP Quellen GeoIP Quellen
GeoIP Quellen systemweit ablehnen:	Ein	Aktiviert die GeoIP Einstellungen für abgelehnte Quellen
Systemweit abgelehnte Quellen:	»BX (Beliebiges Beispiel)	In der Klickbox können Länder ausgewählt werden, die als Quellen blockiert werden sollen.
Gruppe:	Alle	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
	Hinzufügen	Fügt die Regionen aus der ausgewählten Gruppe hinzu
	Entfernen	Entfernt die Regionen aus der ausgewählten Gruppe
Ausnahmen:	»IP-Adresse	Hier können Ausnahmen für systemweit abgelehnte Quellen definiert werden.
GeoIP Ziele GeoIP Ziele
GeoIP Ziele systemweit ablehnen:	Ein	Aktiviert die GeoIP Einstellungen für abgelehnte Ziele
Systemweit abgelehnte Ziele:	BX (Beliebiges Beispiel)	In der Klickbox können Länder ausgewählt werden, die als Ziele blockiert werden sollen. Damit werden Zugriffe über Browser ebenso unterbunden, wie z.B. nachgeladener Schadcode.
Gruppe:	Alle	Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt.
	Hinzufügen	Fügt die Regionen aus der ausgewählten Gruppe hinzu
	Entfernen	Entfernt die Regionen aus der ausgewählten Gruppe
Ausnahmen:	IP-Adresse	Hier können Ausnahmen für systemweit abgelehnte Ziele definiert werden.
Im Log erscheinen durch GeoIP geblockte Einträge wie folgt: DROP: IPGeoBlockingDst[xy] Lokale IP → Schnittstelle → GeoIP-geblockte IP-Adresse Protokoll Dabei wird mit xy das jeweilige Länderkürzel angezeigt. notemptyNeu ab v14.1.2

Implizite Regeln

Systemweite Sperrungen

IP-Adressen

GeoIP Quellen

GeoIP Ziele