Wechseln zu:Navigation, Suche
Wiki
(Die Seite wurde neu angelegt: „== Portfilter Beschreibung UTMv11 == === Einführung === Der Portfilter steuert den Datenverkehr, der durch die UTM geht. Dies gilt für die Daten, die ins I…“)
 
Zeile 10: Zeile 10:
==== Wie arbeitet der Portfilter ====
==== Wie arbeitet der Portfilter ====


Die UTM schaut bei ein- und ausgehenden Paketen, anhand von Quelle Ziel, von oben nach unten, ob eine passende Vorschrift für das Paket vorhanden ist, und entscheidet dann was mit dem Paket passiert. (Das bedeutet, dass wenn eine Regel internal-network => internet => any  => HideNAT => ACCEPT an erster Stelle steht, greift die Regel internal-network => internet => http => HideNAT => DROP nicht).  Dies kann bei unzulässigen Paketen verworfen werden (DROP) oder mit einer Bemerkung an den Absender zurückgeschickt werden (REJECT) oder zugelassen wird (ACCEPT).  
Die UTM schaut bei ein- und ausgehenden Paketen, anhand von Quelle Ziel, '''von oben nach unten''', ob eine passende Vorschrift für das Paket vorhanden ist, und entscheidet dann was mit dem Paket passiert. Dies kann bei unzulässigen Paketen verworfen werden (DROP) oder mit einer Bemerkung an den Absender zurückgeschickt werden (REJECT) oder zugelassen wird (ACCEPT).


==== Portfilterregel ====
==== Portfilterregel ====

Version vom 28. März 2014, 09:52 Uhr

Portfilter Beschreibung UTMv11

Einführung

Der Portfilter steuert den Datenverkehr, der durch die UTM geht. Dies gilt für die Daten, die ins Internet als auch für die Verbindung zwischen LAN.DMZ und WAN.

Portfilter

Wie arbeitet der Portfilter

Die UTM schaut bei ein- und ausgehenden Paketen, anhand von Quelle Ziel, von oben nach unten, ob eine passende Vorschrift für das Paket vorhanden ist, und entscheidet dann was mit dem Paket passiert. Dies kann bei unzulässigen Paketen verworfen werden (DROP) oder mit einer Bemerkung an den Absender zurückgeschickt werden (REJECT) oder zugelassen wird (ACCEPT).

Portfilterregel

Im Reiter Portfilter können sie Regeln erstellen, die den Datenverkehr steuern.

Der Aufbau einer solchen Regel ist immer :

Quelle => Ziel => Dienst => NAT => Aktion

Typische Beispiele: Möchte man zum Beispiel, dass aus dem internen Netz HTTP Seiten im Internet aufrufbar sind, benötigt man die Regel:

Quelle: internal-network (192.168.175.0/24) Ziel: internet (0.0.0.0/0) Dienst: http (Port 80) Hide NAT (external interface) ACCEPT

NAT

Die Network Address Translation ist die Umwandlung von IP-Adressen die in einem Netzwerk genutzt werden zu einer anderen IP-Adresse aus einem anderen Netz. Typischerweise bildet man alle intern genutzten privaten IP-Adressen in ein oder mehrere öffentlichen IP-Adressen

Datei:.nat

Hide NAT

Auch Source NAT genannt, bestimmt wie die Adresse übersetzt werden soll, wenn sie aus einer bestimmten Quelle stammen.

Möchte man zum Beispiel, dass die Pakete aus vom Rechner (192.168.175.10/32) zum Server im dmz-network (192.168.0.1/24) mit der IP-Adresse 192.168.0.254 ankommen sieht die entsprechende Regel so aus:

Datei:.snatdmz

Dest. NAT

Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten.

Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) vom Server (192.168.0.1/32) über die öffentliche IP-Adresse 134.10.10.1 mit dem Port 10000 zugreifen möchten, würde die Regel so aussehen:

Datei:.dnatserver

Hierzu müssen sie

Netzwerkobjekte

Sind Objekte im Netzwerk wie zum Beispiel Schnittstellen, einzelne Hosts, Netzwerke und setzten sich aus Namen, Adresse und deren Zone zusammen. Netzwerkobjekte werden hauptsächlich benötigt um Portfilterregeln zu erstellen. Sie werden aber auch im HTTP Proxy verwendet.

Netzwerkobjekte erstellen

Um ein Netzwerkobjekt anzulegen klicken sie auf Datei:.addnetobj.png.

Im sich öffnenden Fenster legen sie als erstes den Namen für das Netzwerkobjekt an.

Als nächstes bestimmen sie den Typ:

Host : ein einzelner Host mit einer IP-Adresse z.B. 192.168.0.13/32 Netzwerk(Addresse) : ein komplettes Netzwerk z.B. 192.0.0/24 Netzwerk(Schnittstelle) : eine komplettes Netzwerk hinter einer Schnittstelle z.B. hinter eth1 VPN-Host : ein einzelner VPN-Host z.B. in der Zone vpn-ipsec VPN-Netzwek : ein komplettes VPN-Netz Statische Schnittstelle : eine IP-Adresse einer Schnittstelle z.B. 192.168.175.1/32 Dynamische Schnittstelle : eine dynamische Zuweisung der Adresse des Interfaces

Als letztes wählen sie die Zonen aus, in der das Netzwerkobjekt liegt.

Zusätzlich können sie mehrere Netzwerkobjekte zu Gruppen zusammenfassen, damit mehrere Objekte mit einer Portfilterregel angesprochen werden können.

Dienste

Dienste werden benötigt, um Portfilterregeln zu erstellen, zum Beispiel um bestimmte Ports zu schließen/öffnen. Sie legen das verwendete Protokoll und gegebenenfalls den Port bzw. Portbereich des Dienstes fest. Viele Dienste sind schon vorkonfiguriert wie http, https, ftp, ssh usw. Ist ein Dienst nicht vorhanden können sie diesen einfach erstellen.

Dienst hinzufügen

Benötigen sie nun eine Portfilterregel welche den TCP Port 4321 für ein Gerät öffnet, müssen sie den Dienst neu erstellen. Dazu gehen sie auf .objadd.png und geben dem Dienst ein aussagekräftigen Namen.

Als nächstes wählen sie das gewünschte Protokoll, in unserem Beispiel tcp und den einzelnen Port 4321 aus. Sie können zusätzlich auch den Quellport bzw. Quellbereich auswählen.

.dienst.png

Auch das zusammenfassen von Diensten in Gruppen ist möglich.

Zeitprofil

Zeitprofile dienen dazu Portfilterregeln nur zu festgelegten Zeiten zu aktivieren. Wollen sie zum Beispiel, dass keiner aus dem internal-network von 10 bis 12 Uhr nicht ins Internet darf, erstellen sie als erstes ein Zeitprofil und wählen den Zeitraum aus.

.zeitprofil.png

Als letztes erstellen sie eine Portfilterregel internal-network => internet => any => DROP => Zeitprofil1

Datei:.zeitrege.pngl

Beachten sie hierbei die Arbeitsweise des Portfilters. Die zeitgesteuerte Regel muss in diesem Fall vor der Regel stehen, die den Zugriff erlaubt.

QoS

Quality of Service

Mit QoS limitieren sie die Bandbreite von gesamten Schnittstellen oder Portfilterregeln. Möchte man zum Beispiel, dass eth0 auf 16000kbit/s limitiert ist, und die maximale Bandbreite für http auf 1000kbit/s limitiert ist, erstellen sie zuerst das QoS mit der maximalen Bandbreite von 16000kbit/s.

.qosgesamt.png

Als nächstes erstellen sie den QoS für die http-Regel mit 1000kbit/s und als Parent den soebend erstellten QoS für die gesamte Bandbreite.

.qoshttp.png

QoS für Schnittstelle

Als nächstes binden sie die QoS auf die Schnittstelle eth0, indem sie unter dem Punkt Netzwerk auf den Reiter Netzwerkkonfiguration gehen.

Bearbeiten sie eth0 Datei:.bearbeiten.png und gehen auf den Reiter QoS. Binden sie nun die QoS Regel ein.

.ifqos.png

QoS für Portfilterregel

Zum Schluss müssen sie nur noch die QoS für die http Portfilterregel einbinden. Dazu gehen sie unter Portfilter auf die entsprechende Regel, für die, die Limitierung aktiviert werden soll, und bearbeiten diese Datei:.bearbeiten.png. In diesem Beispiel die Regel .qosregel.png

und binden die QoS Regel in die Regel ein.

.pregelqos.png