KKeine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
Zeile 5: | Zeile 5: | ||
{{:UTM/RULE/Portfilter.lang}} | {{:UTM/RULE/Portfilter.lang}} | ||
{{var | neu--Netzwerkobjekt Gruppe hinzufügen weggefallen | |||
| [[#Netzwerkobjekte | Funktionen von Netzwerkobjekte aktualisiert]] | |||
| [[#Network_objects | Functions of network objects updated]] }} | |||
{{var | neu--Dienst zu Dienstgruppe | |||
| [[#Dienstgruppen | Dienstgruppen]] und das [[#Dienst_einer_Dienstgruppe_hinzufügen/entfernen | Hinzufügen/Entfernen eines Dienstes einer Dienstgruppe]] aktualisiert | |||
| [[#Service_groups | Service groups]] and the [[#Add/remove_service_from_a_service_group | Add/remove a service from a service group]] updated. }} | |||
{{var | neu--Layout Screenshots Netzwerkobjekte Dienste | |||
| Layout und Screenshots bei den Elementen [[#Netzwerkobjekte | Netzwerkobjekte]] und [[#Dienste | Dienste]] aktualisiert | |||
| Updated layout and screenshots for the [[#Network_objects | Network Objects]] and [[#Services | Services]] elements }} | |||
</div>{{Select_lang}}{{TOC2|Bild={{#var:Portfilter--Bild}}|cap=Menü Portfilter }} | </div>{{Select_lang}}{{TOC2|Bild={{#var:Portfilter--Bild}}|cap=Menü Portfilter }} | ||
{{Header|12. | {{Header|12.4| | ||
* {{#var:neu--Netzwerkobjekt | * {{#var:neu--Netzwerkobjekt Gruppe hinzufügen weggefallen}} | ||
* {{#var:neu-- | * {{#var:neu--Dienst zu Dienstgruppe}} | ||
* {{#var:neu--Layout Screenshots Netzwerkobjekte Dienste}} | |||
* {{#var:neu-- | * {{#var:Kopieren von Regeln im Portfilter}} | ||
* {{#var: | |[[UTM/RULE/Portfilter_v12.2.3 | 12.2]] | ||
[[UTM/RULE/Portfilter_v12.1 | 12.1]] | |||
| | |||
[[UTM/RULE/Portfilter_v11.7 | 11.7]] | [[UTM/RULE/Portfilter_v11.7 | 11.7]] | ||
}} | | {{Menu|Firewall|Portfilter}} }} | ||
---- | ---- | ||
Zeile 33: | Zeile 37: | ||
{{#var:Portfilter-Elemente--desc}} | {{#var:Portfilter-Elemente--desc}} | ||
</div><br clear=all> | </div><br clear=all> | ||
---- | |||
=== {{#var:Portfilterregel}} === | === {{#var:Portfilterregel}} === | ||
{{#var:Portfilterregel--desc}} | <div class="Einrücken"> | ||
{{#var:Portfilterregel--desc}}<br> | |||
{{Hinweis-neu|{{#var:Neu ab}} v12.4|12.4|status=neu}} {{#var:Portfilterregel-Hinweis}}</div> | |||
{| class="Einrücken sptable2 spezial pd5 tr--bc__white zh1" | {| class="Einrücken sptable2 spezial pd5 tr--bc__white zh1" | ||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em; | | class="Leerzeile bc__default" | '''{{#var:Typische Beispiele}}:''' || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | ||
|- | |- | ||
| class="bc__default" | {{#var:Regel--internal-internet}} || {{spc|drag|o|-}} || 7 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|dienste|o|-}} default-internet || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | | class="bc__default" | {{#var:Regel--internal-internet}} || {{spc|drag|o|-}} || 7 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|dienste|o|-}} default-internet || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || class=mw6 | {{Button||class=fas fa-copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|- class="Leerzeile bc__default" | |- class="Leerzeile bc__default" | ||
| colspan="9" | | | colspan="9" | | ||
|- | |- | ||
| class="bc__default" | {{#var:Regel--internal-dmz1}} || {{spc|drag|o|-}} || 8 || {{spc|net|o|-}} internal-network || {{spc|net|o|-}} dmz1-network || {{spc|other|o|-}} any || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | | class="bc__default" | {{#var:Regel--internal-dmz1}} || {{spc|drag|o|-}} || 8 || {{spc|net|o|-}} internal-network || {{spc|net|o|-}} dmz1-network || {{spc|other|o|-}} any || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || class=mw6 | {{Button||class=fas fa-copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|- class="Leerzeile bc__default" | |- class="Leerzeile bc__default" | ||
| colspan="9" | | | colspan="9" | | ||
|- | |- | ||
| class="bc__default" | {{#var:Regel--internet-server-ssh}} || {{spc|drag|o|-}} || 9 || {{spc|world|o|-}} internet || {{spc|net|o|-}} internal-network || {{spc|tcp|o|-}} ssh || {{Kasten|DN ➞|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | | class="bc__default" | {{#var:Regel--internet-server-ssh}} || {{spc|drag|o|-}} || 9 || {{spc|world|o|-}} internet || {{spc|net|o|-}} internal-network || {{spc|tcp|o|-}} ssh || {{Kasten|DN ➞|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || class=mw6 | {{Button||class=fas fa-copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|- class="Leerzeile bc__default" | |- class="Leerzeile bc__default" | ||
| colspan="9" | | | colspan="9" | | ||
|- | |- | ||
| rowspan="3" class="bc__default" | {{#var:Regel--internet-ohne-ftp}}<br><li class="list--element__alert list--element__hint">{{#var:Regel--internet-ohne-ftp--Hinweis}}</li> || {{spc|drag|o|-}} || 10 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|tcp|o|-}} ftp || || {{Kasten|Drop|gelb}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | | rowspan="3" class="bc__default" | {{#var:Regel--internet-ohne-ftp}}<br><li class="list--element__alert list--element__hint">{{#var:Regel--internet-ohne-ftp--Hinweis}}</li> || {{spc|drag|o|-}} || 10 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|tcp|o|-}} ftp || || {{Kasten|Drop|gelb}} || {{ButtonAn|{{#var:ein}} }} || class=mw6 | {{Button||class=fas fa-copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|- class="no1cell" | |- class="no1cell" | ||
| {{spc|drag|o|-}} || 7 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|dienste|o|-}} default-internet || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | | {{spc|drag|o|-}} || 7 || {{spc|net|o|-}} internal-network || {{spc|world|o|-}} internet || {{spc|dienste|o|-}} default-internet || {{Kasten|HN|blau}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || class=mw6 | {{Button||class=fas fa-copy}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|- class="Leerzeile bc__default" | |- class="Leerzeile bc__default" | ||
| | | | ||
Zeile 73: | Zeile 80: | ||
</div> | </div> | ||
{{h4| {{#var:Portfilterregel-Einstellungen}} | {{#var:Portfilterregel-Einstellungen-h4 Format}} }} | |||
<div class="Einrücken"> | <div class="Einrücken"> | ||
Zeile 157: | Zeile 164: | ||
| {{#var:Rule Routing--desc}} | | {{#var:Rule Routing--desc}} | ||
<li class="list--element__alert list--element__hint">{{#var:Rule Routing--Hinweis}}</li> | <li class="list--element__alert list--element__hint">{{#var:Rule Routing--Hinweis}}</li> | ||
| class="Bild" rowspan=" | | class="Bild" rowspan="4" | {{Bild|{{#var:Rule Routing--Bild}} |{{#var:Rule Routing--cap}} }} | ||
|- | |- | ||
| {{h5|{{#var:QOS}}}}{{b|{{#var:QOS}} }} | | {{h5|{{#var:QOS}}}}{{b|{{#var:QOS}} }} | ||
Zeile 172: | Zeile 179: | ||
| {{ic|{{#var:Beschreibung--val}} }} | | {{ic|{{#var:Beschreibung--val}} }} | ||
| {{#var:Beschreibung--desc}} | | {{#var:Beschreibung--desc}} | ||
| class="Bild" rowspan=" | | class="Bild" rowspan="2" | {{Bild|{{#var:Beschreibung--Bild}} |{{#var:Beschreibung-cap}} }} | ||
|- class="Leerzeile" | |||
| colspan="3" | <br><br><br>{{Hinweis-neu| !!! {{#var:Regeln aktualisieren--Hinweis}}<br>{{Button||w}} / {{Button|{{#var:Regel hinzufügen}}|+}} → {{Button| {{#var:Regeln aktualisieren}}|play}} |g|class=}} | |||
|} | |} | ||
---- | ---- | ||
{{h3 | {{#var:Netzwerkobjekte}}| {{Reiter| {{#var:Netzwerkobjekte}} }} }} | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
{| class="sptable2 pd5 Einrücken" | |||
|- | |- | ||
! {{#var:Schaltfläche}} !! {{#var:desc}} | ! {{#var:Schaltfläche}} !! {{#var:desc}} | ||
| | | class="Bild" rowspan="6"| {{Bild|{{#var:Netzwerkobjekte--Bild}} | {{#var:Netzwerkobjekte--cap}} }} | ||
| {{ | |||
|- | |- | ||
| {{Button||w}} <span class=Hover>{{#var:Bearbeiten}}</span> || {{#var:Bearbeiten--desc}} | | {{Button||w}} <span class=Hover>{{#var:Bearbeiten}}</span> || {{#var:Bearbeiten--desc}} | ||
Zeile 192: | Zeile 198: | ||
| {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || {{#var:Löschen--desc}}<li class="list--element__alert list--element__hint">{{#var:Löschen--Hinweis-GeoIP}}</li> | | {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || {{#var:Löschen--desc}}<li class="list--element__alert list--element__hint">{{#var:Löschen--Hinweis-GeoIP}}</li> | ||
|- | |- | ||
| {{Button|{{#var:Gruppe hinzufügen}}|addfolder}} || {{#var:Gruppe hinzufügen--desc}} | | {{Button|{{#var:Gruppe hinzufügen}}|addfolder|class=mw11}} || {{#var:Gruppe hinzufügen--desc}} | ||
|- | |- | ||
| {{Button||dro|glyph-class=cogwheels|fs=14}} {{Hinweis-neu|{{#var:neu ab}} 12.2.3|12.3|status=neu}} || {{ic| {{#var:GeoIP-Objekte anzeigen}} {{ButtonAn|{{#var:ein}} }} |Anw=UMA}}<br>{{#var:GeoIP-Objekte anzeigen--desc}} | | {{Button||dro|glyph-class=cogwheels|fs=14}} {{Hinweis-neu|{{#var:neu ab}} 12.2.3|12.3|status=neu}} || {{ic| {{#var:GeoIP-Objekte anzeigen}} {{ButtonAn|{{#var:ein}} }} |Anw=UMA}}<br>{{#var:GeoIP-Objekte anzeigen--desc}} | ||
|- class="Leerzeile" | |||
| colspan="2" | {{#var:Netzwerkobjekte--desc}} | |||
|} | |} | ||
{| class="sptable2 pd5 Einrücken" | {| class="sptable2 pd5 zh1 Einrücken" | ||
|- class="Leerzeile" | |||
| colspan="3" | | |||
{{h4| {{#var:Netzwerkgruppe bearbeiten}} | {{#var:Netzwerkgruppe bearbeiten--h4}} }} | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="5" | {{Bild | {{#var:Netzwerkgruppe bearbeiten--Bild}}|{{#var:Netzwerkgruppe bearbeiten--cap}} }} | |||
|- | |||
| {{b|{{#var:Name}}:}} || {{ic|Geo-DACH|class=available}} || {{#var:ng-Name--desc}} | |||
|- | |||
| {{b|{{#var:Netzwerkobjekte}}: }} || {{ic| {{cb|{{spc|geoip|o|-}} GEOIP: DE ({{#var:Deutschland}})|-}} |cb|class=mw16}} || {{#var:Netzwerkgruppe bearbeiten--desc}} | |||
|- | |||
| {{Button||+}} || colspan="2" | {{#var:Netzwerkgruppe-Plus--desc}} | |||
|- | |||
| <span class="cb small">✕</span> || colspan="2" | {{#var:Netzwerkobjekt entfernen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
| colspan="3" | | |||
{{h4| {{#var:Netzwerkobjekte erstellen}} | {{#var:Netzwerkobjekte erstellen--h4}} }} | |||
{{#var:Menu--Objekt hinzufügen}} | |||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
Zeile 212: | Zeile 239: | ||
| {{Button|{{#var:Host--val}}|dr|w=13.3em}} || {{#var:Host--desc}} | | {{Button|{{#var:Host--val}}|dr|w=13.3em}} || {{#var:Host--desc}} | ||
|- | |- | ||
| {{Button|{{#var:Netzwerk- | | {{Button|{{#var:Netzwerk-Adresse--val}}|dr|w=13.3em}} || {{#var:Netzwerk-Addresse--desc}} | ||
|- | |- | ||
| <span id="netzwerk-beliebig"></span>{{Button|{{#var:Netzwerk-Subnetz-beliebig--val}}|dr|w=13.3em}} || {{Hinweis-neu|{{#var:ab}} v12 |12.3}}{{#var:Netzwerk-Subnetz-beliebig--desc}} | | <span id="netzwerk-beliebig"></span>{{Button|{{#var:Netzwerk-Subnetz-beliebig--val}}|dr|w=13.3em}} || {{Hinweis-neu|{{#var:ab}} v12 |12.3}}{{#var:Netzwerk-Subnetz-beliebig--desc}} | ||
Zeile 258: | Zeile 285: | ||
| colspan="2"| {{Button|{{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | | colspan="2"| {{Button|{{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | ||
|} | |} | ||
</div> | |||
</div> | |||
---- | ---- | ||
{{h3 | {{#var:Dienste}} | {{Reiter|{{#var:Dienste}} }} }} | |||
<div class="Einrücken"> | |||
{{pt3|{{#var:Dienste--Bild}} }} | {{pt3|{{#var:Dienste--Bild}} }} | ||
{{#var:Dienste--desc}} | |||
<br clear=all> | |||
{{h4| {{#var:Dienst hinzufügen}} | {{#var:Dienst hinzufügen--4}} }} | |||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Dienst hinzufügen--desc}} | {{#var:Dienst hinzufügen--desc}} | ||
Zeile 275: | Zeile 304: | ||
| {{#var:Dienst-tcp--bearbeiten--Bild}} | {{#var:Dienst-tcp--bearbeiten--cap}} | | {{#var:Dienst-tcp--bearbeiten--Bild}} | {{#var:Dienst-tcp--bearbeiten--cap}} | ||
|i=3}} | |i=3}} | ||
<br clear=all> | |||
</div> | </div> | ||
{{h4| {{#var:Dienste--Gruppen}} | {{spc|{{#var:Dienste--Gruppen}}|gr }} }} | |||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Dienste--Gruppen--desc}}<br> | {{#var:Dienste--Gruppen--desc}}<br> | ||
{{#var:Dienste--Gruppen--Beispiel}} | {{#var:Dienste--Gruppen--Beispiel}} | ||
{| class=" | {| class="sptable2 pd5 zh1 einrücken" | ||
|- | |- | ||
! {{#var:Icon}} !! {{#var:Name}} !! {{#var:Protokoll}} !! | ! {{#var:Icon}} !! {{#var:Name}} !! {{#var:Protokoll}} !! | ||
| class="Bild" rowspan="7"| {{Bild|{{#var:Dienstgruppe default-internet--Bild}} }} | |||
|- | |- | ||
| {{spc|udp|o|-}} || domain-udp || udp || Port 53 | | {{spc|udp|o|-}} || domain-udp || udp || Port 53 | ||
Zeile 294: | Zeile 325: | ||
|- | |- | ||
| {{spc|icmp|o|-}} || icmp-echo-req || icmp || Pakettyp 8 | | {{spc|icmp|o|-}} || icmp-echo-req || icmp || Pakettyp 8 | ||
|- class="Leerzeile" | |||
| | |||
|} | |} | ||
<br clear=all> | |||
{{h5| {{#var:Dienst einer Dienstgruppe hinzufügen/entfernen}} | {{#var:Dienst einer Dienstgruppe hinzufügen/entfernen}} <small>{{Hinweis-neu|{{#var:geaendert}}|12.4|status=update}}</small>}} | |||
<div class="einrücken"> | |||
{{#var:Dienst einer Dienstgruppe hinzufügen/entfernen--desc}} | {{#var:Dienst einer Dienstgruppe hinzufügen/entfernen--desc}} | ||
</div> | </div> | ||
</div> | |||
</div> | |||
---- | ---- | ||
{{h3| {{#var:Zeitprofile}} | {{Reiter|{{#var:Zeitprofile}} }} }} | |||
{{pt3| {{#var:Zeitprofile--Bild}} | {{#var:Zeitprofile}} }} | {{pt3| {{#var:Zeitprofile--Bild}} | {{#var:Zeitprofile}} }} | ||
<div class="Einrücken"> | <div class="Einrücken"> |
Version vom 15. Mai 2023, 14:00 Uhr
- Funktionen von Netzwerkobjekte aktualisiert
- Dienstgruppen und das Hinzufügen/Entfernen eines Dienstes einer Dienstgruppe aktualisiert
- Layout und Screenshots bei den Elementen Netzwerkobjekte und Dienste aktualisiert
- Kopieren von Regeln im Portfilter
Portfilter Beschreibung
Der Portfilter steuert den Datenverkehr, der durch die UTM geht.
- Alle Netzwerk-Pakete, die durch die UTM gehen, werden gefiltert und nur aufgrund von Portfilterregeln weitergeleitet
- Dabei ist es unerheblich, ob sich die Zieladresse und Quelladresse des Paketes im gleichen Netzwerk, in einem anderen, lokalen Netzwerk oder im Internet und einem lokalen Netzwerk befindet.
- Anhand von Quell-IP, Ziel-IP und verwendetem Dienst werden die Regeln von oben nach unten überprüft.
Die #laufende Nummer vor einer Regel gibt dabei die Reihenfolge der Regelerstellung an und bleibt permanent erhalten. Sie gibt nicht die Reihenfolge an, in der die Regel abgearbeitet wird!
- Eine angelegte Regel kann mit gedrückter Maustaste auf das Icon nachträglich in der Reihenfolge verschoben werden.
Trifft für ein Paket die Ausnahme Regel zu, wird die angegebene Aktion ausgeführt und der Portfilter beendet.
Trifft die Ausnahme Regel nicht zu, wird anschließend die allgemeinere Regel überprüft.
Trifft diese dann zu wird die dort angegebene Aktion ausgeführt.
- Zwei Netzwerkobjekte (Quelle / Ziel)
- einen Dienst
- ggf. Angaben zum NAT-Typ (Network Address Translation)
- ggf. Rule Routing
- ggf. ein QoS-Profil, daß die zur Verfügung gestellte Bandbreite für bestimmte Datenpakete reguliert
- ggf. ein Zeitprofil, zu dem die Regel angewendet werden soll
- eine Aktion, die ausgeführt werden soll
- Angaben zum Logging
- die Zuordnung zu einer Regel-Gruppe
Portfilterregel
Die Grundstruktur einer Regel ist :
Quelle → Ziel → Dienst → Aktion
Autogenerierte Regeln
autogeneriert Die UTM verfügt ab Werk über autogenerierte Regeln.
Diese Regeln lassen zunächst jeden Datenverkehr in die bestehenden Netze zu und geben für interne Netze auch zusätzlich die Proxy-und DNS-Dienste der jeweiligen Schnittstelle frei
Sie lassen sich nicht bearbeiten und müssen unbedingt durch individualisierte Regeln ersetzt und anschließend deaktiviert oder gelöscht werden!
Die Sichtbarkeit der autogenerierte Regeln lassen sich in einem Dropdownmenü Ein autogenerierte Regeln anzeigen Default
mit diesem Schalter regeln:Portfilterregel Einstellungen
Erst danach werden die Regeln angewendet!
/ →
Allgemein
| |||
Beschriftung | Wert | Beschreibung | |
---|---|---|---|
Aktiv | Ein | Nur bei Aktivierung wird auf diese Regel geprüft | |
Quelle | internal-network | Netzwerkobjekt oder Benutzergruppe, die als Quelle des Datenpaketes zugelassen ist. | |
Ziel | internet | Netzwerkobjekt oder Benutzergruppe, die als Ziel des Datenpaketes zugelassen ist. | |
Dienst | default-internet | Gewünschter Dienst mit hinterlegtem Port (siehe Reiter Dienste) | |
Netzwerkobjekt hinzufügen / Dienst hinzufügen | Öffnet den Dialog zum Hinzufügen eines Netzwerkobjektes oder eines Dienstes | ||
Netzwerkobjekt wechseln ab 12.2.3 |
Tauscht die Netzwerkobjekte Quelle und Ziel | ||
Aktion | ACCEPT Leitet das Paket weiter | ||
DROP Das Paket wird verworfen | |||
REJECT Es wird ein ICMP-Paket an den Absender geschickt, mit dem Hinweis, daß der Port nicht zur Verfügung steht. Im LAN können Reject-Regeln verhindern, daß Clients auf einen Timeout warten müssen. | |||
QOS Ermöglicht ein Quality of Service Profil anzugeben, daß die Bandbreite für Datenpakete, auf die diese Regel zutrifft limitiert. Konfiguration der QoS-Profile im Menü Reiter Profile | |||
STATELESS Lässt Verbindungen statusunabhägig zu | |||
Logging | Keine Protokollierung (default) | ||
Protokolliert die ersten die Einträge je Minute | |||
Protokolliert alle Einträge | |||
Gruppe | Portfilterregeln müssen einer Gruppe zugeordnet werden. Das erleichtert die Übersichtlichkeit beim Ergänzen des Regelwerkes. Außerdem können Regelgruppen mit einem Schalter aktiviert oder deaktiviert werden. | ||
NATNAT
|
Die Network Address Translation ist die Umwandlung von IP-Adressen die in einem Netzwerk genutzt werden zu einer anderen IP-Adresse aus einem anderen Netz. Typischerweise bildet man alle intern genutzten privaten IP-Adressen in eine oder mehrere öffentlichen IP-Adressen ab. | ||
Typ | None |
Es wird kein NAT durchgeführt | |
Hide NAT |
Auch Source NAT genannt. Verbirgt die ursprüngliche IP Adresse hinter der IP-Adresse der verwendeten Schnittstelle. Standardfall ist der Datenverkehr von einem internen Netz mit privaten IP Adressen mit dem Internet. |
||
Dest. NAT |
Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten. Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) des Servers (198.51.100.1/32) über die öffentliche IP-Adresse der Schnittstelle eth0 mit dem Port 10000 zugreifen möchten, müsste die Regel wie nebenstehend abgebildet angelegt werden. |
||
HideNAT Exclude |
HideNAT Exclude kommt in der Regel in Verbindung mit IPSec-VPN Verbindungen zum Einsatz. Damit wird erreicht, daß Datenpakete für die VPN Gegenstelle mit der privaten IP-Adresse durch den VPN Tunnel geleitet werden. Andernfalls würden diese, wie alle anderen Pakte in Richtung Internet, mit der öffentlichen WAN IP-Adresse maskiert werden und, da diese mit einer privaten Zieladresse versendet werden, am nächsten Internet Router verworfen. Siehe dazu auch den Wikiartikel HideNAT Exclude. |
||
NetMap |
NetMap dient dazu zwei gleiche Subnetze miteinander zu verbinden. Unter Verwendung von Hilfsnetzwerken (Mapnetz), die auf keiner der zu verbindenden Gegenstellen eingerichtet sind, können diese Verbindungen kollisionsfrei erstellt werden, ohne auf einer der Seiten das Subnetz komplett zu ändern. Eine Anleitung zum Verbinden zweier Netzwerke findet sich in einem eignen Wikiartikel NetMap |
||
Full Cone NAT |
Bei Full Cone NAT wird für den Absender der gleiche Port gesetzt, wie für den Empfänger. Allerdings werden als Absender auch andere IPs als die ursprünglich adressierte IP zugelassen. Kann ggf. bei VOIP hilfreich sein. | ||
Netzwerkobjekt | external-interface | Netzwerkobjekt, das die Übersetzung der IP Adressen, also das Natten, vornimmt. Die IP-Adresse dieses Netzwerkobjektes wird dann als Absender-IP Der Datenpakete im Zielnetz verwendet. In der Regel sollte das also die Schnittstelle sein, deren IP Adresse dem Zielnetz bekannt ist, damit Antwortpakete auch korrekt zugestellt werden können. | |
Dienst | ssh | Verwendet im lokalen Zielnetzwerk den ausgewählten Dienst. Dieser Wert ist oft (aber keinesfalls immer) identisch mit dem darüberstehenden Dienst des Datenquellpaketes, auf den die Regel überprüft wird. Typ oder ausgewählt wurde. | |
Extras
| |||
Rule RoutingRule Routing |
wan0 | Im Abschnitt [-] Extras wird im Feld Rule Routing regelbasiert festgelegt, welche Route IP-Pakete nehmen sollen.Im nebenstehenden Beispiel werden alle VOIP-Pakete über die Schnittstelle wan0 geleitet. Erfolgt der Zugang zum Internet über einen Router, der an einer Ethernet-Schnittstelle angeschlossen ist, kann diese manuell eingetragen werden. |
|
QOSQOS |
Ermöglicht ein Quality of Service Profil anzugeben, daß die Bandbreite für Datenpakete, auf die diese Regel zutrifft limitiert. Konfiguration der QoS-Profile im Menü Reiter Profile | ||
ZeitprofilZeitprofil |
Beschränkt die Gültigkeit der Regel auf ein zuvor definiertes Zeitprofil. Siehe Abschnitt Zeitprofile. | ||
BeschreibungBeschreibung
|
Beschreibung der Regel | Alternativer Text, der statt der Regeldetails angezeigt werden kann. Die Anzeige der alternativen Texte erfolgt mit der Schaltfläche |
|
Nach dem Bearbeiten oder Hinzufügen einer Regel muss das Regelwerk aktualisiert werden.
Erst danach werden die Regeln angewendet! / → |
Netzwerkobjekte
Dienste
Dienste hinzufügen / bearbeiten
Ist ein Dienst nicht vorhanden kann dieser mit
Abhängig vom verwendeten Protokoll, lassen sich weitere Einstellungen vornehmen:
- Ports (TCP und UDP)
- Pakettypen (ICMP)
- Protokolltyp (gre)
Dienstgruppen
Dienste lassen sich in Dienstgruppen zusammenfassen. Auch hier gibt es bereits vordefinierte Gruppen, die ergänzt und geändert werden können. Detailanzeige mit Klick auf die Schaltfläche
Beispiel: Die Gruppe default-internet enthält z.B. die Dienste:
Icon | Name | Protokoll | ||
---|---|---|---|---|
domain-udp | udp | Port 53 | ||
ftp | tcp (ftp) | Port 21 | ||
http | tcp | Port 80 | ||
https | tcp | Port 443 | ||
icmp-echo-req | icmp | Pakettyp 8 | ||
Dienst einer Dienstgruppe hinzufügen/entfernen
- Mit einem Klick in die Klickbox wird der gewünschte Dienst ausgewählt und dadurch hinzugefügt.
- Wird auf die Schaltfläche geklickt, wird ein neuer Dienst erstellt und anschließend der Dienstgruppe hinzugefügt.
- Ein Dienst wird mit Klick auf ✕ von der Dienstgruppe entfernt.
Zeitprofile
Zeitprofile dienen dazu Portfilterregeln nur zu festgelegten Zeiten zu aktivieren. Im abgebildeten Beispiel greift das Profil täglich zwischen 3:00 Uhr und 3:59:59 Uhr sowie werktäglich von 7:00 Uhr bis 17:59:59 Uhr.
Zeitprofile anlegen
- Anlegen eines Zeitprofils mit der Schaltfläche
- Zeiten auswählen
- Mit der Maus können einzelne Felder oder Zeitbereiche ausgewählt werden geändert in v12.2.2
- Mit der Taste Strg und der Maus können mehrere Felder und Zeitbereich ausgewählt werden geändert in v12.2.2
- Übernehmen der Zeiteinstellungen mit der Schaltfläche
Zeitprofile verwenden