KKeine Bearbeitungszusammenfassung |
K (Textersetzung - „#WEITERLEITUNG(.*)Preview1260\n“ durch „“) Markierung: Weiterleitung entfernt |
||
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 4: | Zeile 4: | ||
{{:UTM/GeoIP.lang}} | {{:UTM/GeoIP.lang}} | ||
{{var | neu- | {{var | neu-Eigener Reiter | ||
| | | GeoIP ist nun in einem eigenen Reiter | ||
| | | GeoIP now has its own tab }} | ||
{{var | neu- | {{var | neu-vorausgewählte Gruppe | ||
| | | In den GeoIP-Einstellungen gibt es nun vordefinierte Gruppe | ||
| | | In the GeoIP settings there are now preset groups }} | ||
</div><div class="new_design"></div>{{Select_lang}}{{TOC2|cap={{#ev:vimeo|https://vimeo.com/685607720||| {{#var:Video-Anleitung}} |cover=Video GeoIP.png }} }} | |||
</div>{{Select_lang}}{{TOC2|cap={{#ev:vimeo|https://vimeo.com/685607720||| {{#var:Video-Anleitung}} |cover=Video GeoIP.png }} }} | {{Header|12.6.0| | ||
{{Header|12. | * {{#var:neu--rwi}} | ||
* {{#var:neu-- | |[[UTM/GeoIP_v12.4|12.4]] | ||
[[UTM/GeoIP_v12.3|12.3]] | |||
|[[UTM/GeoIP_v12.2.3|12.2.3]] | [[UTM/GeoIP_v12.2.3|12.2.3]] | ||
[[UTM/GeoIP_v12.2.2|12.2.2]] | [[UTM/GeoIP_v12.2.2|12.2.2]] | ||
|{{Menu|Firewall| | |{{Menu-UTM|Firewall|{{#var:Netzwerkobjekte}}}} | ||
}} | }} | ||
Zeile 30: | Zeile 30: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Globale Einstellung--desc}} | {{#var:Globale Einstellung--desc}} | ||
{{Hinweis- | {{Hinweis-box|{{#var:Globale Einstellung--Hinweis}} }} | ||
<br clear=all></div> | <br clear=all></div> | ||
{{:UTM/RULE/Implizite_Regeln-GeoIP}} | {{:UTM/RULE/Implizite_Regeln-GeoIP}} | ||
=== {{#var:GeoIP-basierte | === {{#var:GeoIP-basierte Paketfilter Regeln}} === | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var: | {{#var:Paketfilter basierte Blockade--desc}} | ||
{{Hinweis- | {{Hinweis-box||g}}{{#var:GeoIP--Zone}} | ||
</div> | </div> | ||
==== {{#var:Einrichten weiterer Zonen für GeoIP}} ==== | ==== {{#var:Einrichten weiterer Zonen für GeoIP}} ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{ | {{Bild| {{#var:Einrichten weiterer Zonen für GeoIP--Bild}} | {{#var:Einrichten weiterer Zonen für GeoIP--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close|class=Bild-t}} | ||
{{#var:Einrichten weitere Zonen für GeoIP--desc}} | {{#var:Einrichten weitere Zonen für GeoIP--desc}} | ||
<br> | <br> | ||
Zeile 55: | Zeile 55: | ||
==== {{#var: | ==== {{#var:Paketfilter basierte Blockade}} ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var: | {{#var:Paketfilter basierte Blockade--desc}} | ||
</div> | </div> | ||
{| class="sptable2 pd5 zh1 Einrücken" | {| class="sptable2 pd5 zh1 Einrücken" | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | {{h5| {{#var:GeoIP Schritt 1}} | {{#var:GeoIP Schritt 1}} }} | | colspan="3" | {{h5| {{#var:GeoIP Schritt 1}} |{{#var:GeoIP Schritt 1}} }} | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan=" | | class="Bild" rowspan="7" | {{Bild|{{#var:Gruppe hinzufügen--Bild}}|{{#var:Netzwerkgruppe hinzufügen}}||{{#var:Netzwerkgruppe hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| colspan="3" | {{#var:Gruppe hinzufügen--desc}} | | colspan="3" | {{#var:Gruppe hinzufügen--desc}} | ||
|- | |- | ||
| {{b|{{#var:Name}} }} || {{ic|{{#var: | | {{b|Name:}} || {{ic|Geo-Blocking-Mail}} || {{#var:GeoIP-Netzwerkgruppen-Name--desc}} | ||
|- | |||
| rowspan="2" | {{b|{{#var:Netzwerkobjekte}}:}} || {{ic|{{cb|GEOIP:AQ (Antarktis)|-|icon=geoip}}|cb|class=available}} || {{#var:Netzwerkobjekte--desc}} | |||
|- | |||
| {{Button|+}} <span class=Hover>{{#var:Objekt hinzufügen}}</span> || {{#var:Objekt hinzufügen--desc}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan=" | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:SpeichernSchließen--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | {{h5|{{#var:GeoIP Schritt 2}}|{{#var:GeoIP Schritt 2}} }} | | colspan="3" | {{h5| {{#var:GeoIP Schritt 2}} |{{#var:GeoIP Schritt 2}} }} | ||
|- | |- | ||
| | | colspan="2" | {{Button||w}} || {{#var:Netzwerkgruppe bearbeiten--desc}} | ||
| {{Button| | | class="Bild" rowspan="4" | {{Bild|{{#var:GeoIP Schritt 2--Bild}}|{{#var:Übersicht Netzwerkgruppen}}||{{#var:Netzwerkobjekte}}|Firewall|icon=fa-play|icon-text={{#var:Regeln aktualisieren}}}} | ||
| class="Bild" rowspan="4" | {{Bild|{{#var:GeoIP Schritt 2--Bild}} }} | |||
|- | |- | ||
| | | colspan="2" | {{Button||trash}} || {{#var:Mültonne--desc}} | ||
|- | |- | ||
| {{b|{{#var:Netzwerkobjekte}}:}} || {{Kasten|GEOIP:AQ|blau}} || {{#var:GeoIP-Objekt anzeigen}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
Zeile 90: | Zeile 93: | ||
|- | |- | ||
| colspan="3" | {{#var:GeoIP Schritt 3--desc}} | | colspan="3" | {{#var:GeoIP Schritt 3--desc}} | ||
| class="Bild" rowspan=" | | class="Bild" rowspan="9" | {{Bild|{{#var:GeoIP Schritt 3--Bild}}|{{#var:Paketfilter Regel hinzufügen}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Quelle}} }} || {{ic|{{#var:GeoIP-Quelle}}|dr|icon=geoips|iconborder=none|class=max-content }} || {{#var:GeoIP-Quelle--desc}} | | {{b|{{#var:Quelle}} }} || {{ic|{{#var:GeoIP-Quelle}}|dr|icon=geoips|iconborder=none|class=max-content }} || {{#var:GeoIP-Quelle--desc}} | ||
Zeile 102: | Zeile 105: | ||
| {{b|{{#var:Logging}} }} || {{Button| SHORT|dr|class=available}} || {{#var:Logging--desc}} | | {{b|{{#var:Logging}} }} || {{Button| SHORT|dr|class=available}} || {{#var:Logging--desc}} | ||
|- | |- | ||
| {{b|{{#var:Gruppe}} }} || {{Button| default|dr|class=available}} || {{#var:Gruppe--desc}} | | {{b|{{#var:Gruppe}} }} || {{Button|default|dr|class=available}} || {{#var:Gruppe--desc}} | ||
|- class="Leerzeile" | |||
|- class=" | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:SpeichernSchließen--desc}} | ||
| colspan=" | |- class="Leerzeile" | ||
|- class=" | | | ||
|- class="Leerzeile" | |||
| colspan="3" | {{h5|{{#var:GeoIP Schritt 4}} | {{#var:GeoIP Schritt 4}} }} | | colspan="3" | {{h5|{{#var:GeoIP Schritt 4}} | {{#var:GeoIP Schritt 4}} }} | ||
|- class="noborder" | |- class="noborder" | ||
| {{Button| {{#var:Regeln aktualisieren}}|play}} | | colspan=3 | {{Button-dialog|{{#var:Regeln aktualisieren}}|fa-play}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
Zeile 125: | Zeile 129: | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan=" | | class="Bild" rowspan="6" | {{Bild| {{#var:Gruppe hinzufügen-allow--Bild}}|{{#var:Netzwerkgruppe hinzufügen}}||{{#var:Netzwerkgruppe hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Name}} }} || {{ic|GeoIP-Test|class=available}} || {{#var:GeoIP-Netzwerkgruppen-Name--desc}} | | {{b|{{#var:Name}} }} || {{ic|GeoIP-Test|class=available}} || {{#var:GeoIP-Netzwerkgruppen-Name--desc}} | ||
|- | |- | ||
| {{b|{{#var:Netzwerkobjekte}}:}} || {{ic|GEOIP: | | rowspan="2" | {{b|{{#var:Netzwerkobjekte}}:}} || {{ic|{{cb|GEOIP:AT (Österreich)|-|icon=geoip}} <br>{{cb|GEOIP:DE (Deutschland)|-|icon=geoip}}|cb|class=available}} || {{#var:GeoIPs auswählen}} | ||
|- | |||
| {{Button|+}} <span class=Hover>{{#var:Objekt hinzufügen}}</span> || {{#var:Objekt hinzufügen--desc}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="2" | {{Button|{{#var:Speichern}} }} || {{#var: | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:SpeichernSchließen--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
Zeile 137: | Zeile 143: | ||
| colspan="3" | {{h5| {{#var:GeoIP Schritt 2}} | {{#var:GeoIP Schritt 2}} }} | | colspan="3" | {{h5| {{#var:GeoIP Schritt 2}} | {{#var:GeoIP Schritt 2}} }} | ||
|- | |- | ||
| | | colspan="2" | {{Button||w}} || {{#var:Netzwerkgruppe bearbeiten--desc}} | ||
| {{Button| | | class="Bild" rowspan="5" | {{Bild| {{#var:GeoIP-allow Schritt 2--Bild}}|{{#var:Übersicht Netzwerkgruppen}}||{{#var:Netzwerkobjekte}}|Firewall|icon=fa-play|icon-text={{#var:Regeln aktualisieren}}}} | ||
| class="Bild" rowspan=" | |||
|- | |- | ||
| | | colspan="2" | {{Button||trash}} || {{#var:Mültonne--desc}} | ||
|- | |- | ||
| {{b|{{#var:Netzwerkobjekte}}:}} || {{Kasten|GEOIP:AT|blau}} {{Kasten|GEOIP:DE|blau}} || {{#var:GeoIP-Objekt anzeigen}} | |||
|- class="Leerzeile" | |||
| colspan="3" | <li class="list--element__alert list--element__warning"> {{#var:Hinweis Outlook-App über USA}} {{info|{{#var:Hinweis Outlook-App über USA--info}} </li> }} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | {{h5| {{#var:GeoIP-allow Schritt 3}} | {{#var:GeoIP-allow Schritt 3}} }} | | colspan="3" | {{h5| {{#var:GeoIP-allow Schritt 3}} | {{#var:GeoIP-allow Schritt 3}} }} | ||
|- | |- | ||
| colspan="3" | {{#var:GeoIP-allow Schritt 3--desc}} | | colspan="3" | {{#var:GeoIP-allow Schritt 3--desc}} | ||
| class="Bild" rowspan="11" | {{Bild| {{#var:GeoIP-allow Schritt 3--Bild}} |{{#var: | | class="Bild" rowspan="11" | {{Bild| {{#var:GeoIP-allow Schritt 3--Bild}}|{{#var:Paketfilter Regel hinzufügen}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Quelle}} }} || {{ic|GeoIP-Test|dr|icon={{spc|geoips|o|-}}|iconborder=none|class=max-content }} || {{#var:GeoIP-Quelle--desc}} | | {{b|{{#var:Quelle}} }} || {{ic|GeoIP-Test|dr|icon={{spc|geoips|o|-}}|iconborder=none|class=max-content }} || {{#var:GeoIP-Quelle--desc}} | ||
|- | |- | ||
| {{b|{{#var:Ziel}} }} || {{ic|external-interface|dr|icon= | | {{b|{{#var:Ziel}} }} || {{ic|external-interface|dr|icon=interface|iconborder=none|class=available}} || {{#var:Ziel--allow--desc}} | ||
|- | |- | ||
| {{b|{{#var:Dienst}} }} || {{ic|https|dr|icon={{spc|tcp|o|-}}|iconborder=none |class=mw12}} || {{#var:Dienst--allow--desc}} | | {{b|{{#var:Dienst}} }} || {{ic|https|dr|icon={{spc|tcp|o|-}}|iconborder=none |class=mw12}} || {{#var:Dienst--allow--desc}} | ||
Zeile 164: | Zeile 171: | ||
| {{b|{{#var:Gruppe}} }} || {{Button| default|dr|class=available}} || {{#var:Gruppe--desc}} | | {{b|{{#var:Gruppe}} }} || {{Button| default|dr|class=available}} || {{#var:Gruppe--desc}} | ||
|- class="noborder" | |- class="noborder" | ||
| colspan=" | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:SpeichernSchließen--desc}} | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{h5|{{#var:GeoIP Schritt 4}} | {{#var:GeoIP Schritt 4}} }} | | colspan="3" | {{h5|{{#var:GeoIP Schritt 4}} | {{#var:GeoIP Schritt 4}} }} | ||
|- class="noborder" | |- class="noborder" | ||
| {{Button| {{#var:Regeln aktualisieren}}|play}} | | colspan=3 | {{Button-dialog|{{#var:Regeln aktualisieren}}|fa-play}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="Leerzeile" | |||
|} | |} | ||
Zeile 177: | Zeile 185: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
<li class="list--element__alert list--element__positiv">{{#var:Datenbank-Update--Hinweis}}</li> | <li class="list--element__alert list--element__positiv">{{#var:Datenbank-Update--Hinweis}}</li> | ||
<p>{{#var:Datenbank-Status per CLI--desc}} | <p>{{#var:Datenbank-Status per CLI--desc}} | ||
<pre> | <pre> | ||
Zeile 206: | Zeile 213: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Potentiell gefährliche IPs sperren--desc}}<br> | {{#var:Potentiell gefährliche IPs sperren--desc}}<br> | ||
{{Hinweis- | {{Hinweis-box|{{#var:CDC-Default--Hinweis}}|fs__icon=em2}} | ||
</div> | </div> |
Aktuelle Version vom 16. Januar 2024, 16:15 Uhr
- Aktualisierung zum Redesign des Webinterfaces
Für jedes Land existiert in der UTM dafür eine GeoIP, in der diese Zuweisungen gespeichert werden.
Diese Datenbank wird regelmäßig unabhängig von der Firmware aktualisiert.Die GeoIPs werden von der UTM dabei wie Netzwerkobjekte der Zone external behandelt. → weitere Zonen
Systemweites Blocking
Unter
lassen sich Regionen systemweit als Quelle oder Ziel blockieren notempty
GeoIP-basierte Paketfilter Regeln
Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.
Hier: Keine Mails aus der Antarktis
Einrichten weiterer Zonen für GeoIP
UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Liegt die Schnittstelle mit dem Internetzugang in einer anderen Zone oder steht an mehreren Schnittstellen mit weiteren Zonen ein Internetzugang bereit, müssen GeoIP-Netzwerkobjekte dort ebenfalls zur Verfügung stehen.
Unter Schaltfläche kann ein Netzwerkobjekt vom Typ hinzugefügt werden.
Dabei muss die Zone angegeben werden, in der diese Objekte liegen sollen.
Ein Präfix ist optional möglich.
Siehe auch Wiki: Paketfilter / Netzwerkobjekte erstellen
node geoip generate zone <zone> name <prefix>
Der Prefixname ist optional, die Zone muss bereits existieren.
Beispiel: node geoip generate zone external2 name EXT2_
Dieser Befehl erzeugt für jede Region ein zusätzliches Netzwerkobjekt in der Zone external2.
Für Deutschland hieße das dann EXT2_GEOIP:DE
Beispiel: Blocking
Bestimmten Regionen soll der Zugriff auf bestimmte Ports verwehrt werden.
Hier: Keine Mails aus der Antarktis
Beispiel: Zugriff erlauben
Der Zugriff aus dem Ausland soll auf ausgewählte Länder beschränkt werden.
Eine Paketfilter Regel erlaubt den Zugriff aus dem Internet auf das externe Interface mit https.
Hierfür muss unter auf die Schaltfläche geklickt werden
Schritt 1: Anlegen einer Netzwerkgruppe Schritt 1: Anlegen einer Netzwerkgruppe
| |||
Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte |
---|---|---|---|
Name: | GeoIP-Test | Aussagekräftiger Name für die Netzwerkgruppe | |
Netzwerkobjekte: | ×GEOIP:AT (Österreich) ×GEOIP:DE (Deutschland) |
GeoIPs können nun schon ausgewählt werden. Alternativ können die GeoIPs auch im folgenden Schritt hinzugefügt werden. | |
Objekt hinzufügen | Öffnet den Dialog um ein Netzwerkobjekt hinzuzufügen | ||
Speichern und schließen | Speichert die Einstellungen und schließt das Fenster | ||
Schritt 2: Übersicht Netzwerkgruppen Schritt 2: Übersicht Netzwerkgruppen
| |||
Öffnet das Bearbeitungsfenster erneut und es können z.B. weitere Regionen hinzugefügt werden. | UTMbenutzer@firewall.name.fqdnFirewall | ||
Netzwerkobjekte: | GEOIP:AT GEOIP:DE | Zeigt das Netzwerkobjekt rechts an inkl. Adresse und Zone. | |
Die Outlook-App von Microsoft baut keine direkte Verbindung auf, sondern leitet den gesamten Verkehr über Microsoft-Server. Deren Standort ist (Stand 08.2022) in den USA. Dort werden auch die Zugangsdaten gespeichert! Siehe auch https://www.heise.de/mac-and-i/meldung/Microsofts-Outlook-App-schleust-E-Mails-ueber-Fremd-Server-2533240.html | |||
Schritt 3: Bestehende Regel bearbeiten Schritt 3: Bestehende Regel bearbeiten
| |||
Unter | Schaltfläche eine neue Regel anlegen oder eine bestehende bearbeitenUTMbenutzer@firewall.name.fqdnFirewallPaketfilter | ||
Quelle: | GeoIP-Test | Im Dropdown-Menü im Abschnitt GeoIP Netzwerkgruppen die gewünschte Gruppe auswählen | |
Ziel: | external-interface | Schnittstelle, auf der die zu erlaubenden Pakete ankommen | |
Dienst: | https | Dienst oder Dienstgruppe, der bzw. die erlaubt werden soll | |
Aktion: | Lässt die Pakete durch | ||
Logging: | Gewünschtes Logging wählen | ||
Gruppe | Auswahl aus voreingestellten Gruppen, welche z.B. alle Länder eines Kontinents auswählt. | ||
Speichern und schließen | Speichert die Einstellungen und schließt das Fenster | ||
Schritt 4: Regeln aktualisieren Schritt 4: Regeln aktualisieren
| |||
Datenbank-Update per CLI
Der Status der Datenbank kann abgefragt werden mit dem Befehl:
geolocation info
cli> geolocation info attribute |value -------------------+----- IP4 Database Status|need update IP4 Last Update |2023-02-14 09:36:22.060000000 +0100 IP6 Database Status|need update IP6 Last Update |2023-02-14 09:36:22.700000000 +0100
Die Meldung need update erscheint, wenn es ein Update zur Verfügung steht.
Ein Update der Datenbank erfolgt mit dem CLI-Befehl:
geolocation update Achtung: Die Statusmeldung erfolgt mit einer kleinen Verzögerung von wenigen Sekunden.
cli> geolocation update OK cli> geolocation info attribute |value -------------------+----- IP4 Database Status|ok IP4 Last Update |2023-03-26 07:54:29.339700632 +0200 IP6 Database Status|ok IP6 Last Update |2023-03-26 07:54:29.899700632 +0200
Potentiell gefährliche IPs sperren
Unabhängig von der geographischen Zuordnung einer IP können über die Cyber Defence Cloud IPs gesperrt werden, die als potentiell bedrohlich erkannt wurden:
Aktivierung unter Bereich Cyber Defence Cloud Schaltfläche Verbindung protokollieren und blockieren: Ja