Wechseln zu:Navigation, Suche
Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht


Informationen

Letzte Anpassung zur Version: 11.7
Bemerkung: Artikelanpassung
Vorherige Versionen: -

Portfilter Beschreibung

Einführung

Der Portfilter steuert den Datenverkehr, der durch die UTM geht. Dies gilt für Pakete, die ins Internet gesendet werden als auch vom Internet kommen, sowie für die Pakete innerhalb des lokalen Netzwerks.

Portfilter

Wie arbeitet der Portfilter

Die UTM schaut bei ein- und ausgehenden Paketen, anhand von im Paket enthaltende Daten, wie Quelle-IP oder Ziel-IP, von oben nach unten, ob eine passende Vorschrift für das Paket vorhanden ist, und entscheidet dann was mit dem Paket passiert. Diese können bei unzulässigen Paketen verworfen werden (DROP) oder mit einer Bemerkung an den Absender zurückgeschickt werden (REJECT) oder zugelassen wird (ACCEPT). Zusätzlich gibt es noch die Aktion (QOS), falls die Bandbreite der Regel limitiert werden oder (STATELESS), falls Verbindungen statusunabhägig zugelassen werden sollen.

Portfilterregel

Im Reiter Portfilter können sie Regeln erstellen, die den Datenverkehr steuern.

Grundsätzlicher Aufbau einer solchen Regel ist :

Quelle => Ziel => Dienst => Aktion

Typische Beispiele:

Möchte man den Zugriff vom internal-network ins dmz-network erlauben:

.internaldmz.png

Möchte man zum Beispiel, dass aus dem internen Netz HTTP Seiten im Internet erreichbar sind, benötigt man die Regel:

.internalhttp.png

Will man den FTP Traffic aus dem internal-network ins Internet verbieten:

.dropftp.png

Einen Server im internal-network von außen erreichbar machen:

.serverdnat.png

NAT

Die Network Address Translation ist die Umwandlung von IP-Adressen die in einem Netzwerk genutzt werden zu einer anderen IP-Adresse aus einem anderen Netz. Typischerweise bildet man alle intern genutzten privaten IP-Adressen in ein oder mehrere öffentlichen IP-Adressen

Hide NAT

Auch Source NAT genannt, bestimmt wie die Adresse übersetzt werden soll, wenn sie aus einer bestimmten Quelle stammen.

Möchte man zum Beispiel, dass die Pakete aus vom Rechner (192.168.175.10/32) zum Server im dmz-network (192.168.0.1/24) mit der IP-Adresse 192.168.0.254 ankommen sieht die entsprechende Regel so aus:

.snatdmz.png

Dest. NAT

Destination NAT wird meist verwendet, um mehrere Dienste auf unterschiedlichen Servern unter einer öffentlichen IP-Adresse anzubieten.

Möchte man zum Beispiel, vom Internet auf den Dienst SSH (Port 22) des Servers (192.168.0.1/32) über die öffentliche IP-Adresse der Schnittstelle eth0 mit dem Port 10000 zugreifen möchten, würde die Regel so aussehen:

.dnatserver.png

Rule Routing

Unter Rule Routing können sie regelbasiert festlegen, welche Route genommen werden soll. Wollen sie zum Beispiel, dass der gesamte FTP Traffic über eth0 gehen soll, können sie dies mit Hilfe von Rule Routing realisieren. Die entsprechende Regel würde so aussehen:

.ruleroute.png

Netzwerkobjekte

Sind Objekte im Netzwerk wie zum Beispiel Schnittstellen, einzelne Hosts, Netzwerke und setzten sich aus Namen, Adresse und deren Zone zusammen. Netzwerkobjekte werden hauptsächlich benötigt um Portfilterregeln zu erstellen. Sie werden aber auch im HTTP Proxy verwendet.

Netzwerkobjekte erstellen

Um ein Netzwerkobjekt anzulegen klicken sie auf .objadd.png.

Im sich öffnenden Fenster legen sie als erstes den Namen für das Netzwerkobjekt an.

Als nächstes bestimmen sie den Typ:

Typ Beschreibung
Host ein einzelner Host mit einer IP-Adresse z.B. 192.168.0.13/32
Netzwerk(Addresse) ein komplettes Netzwerk z.B. 192.0.0/24
Netzwerk(Schnittstelle) eine komplettes Netzwerk hinter einer Schnittstelle z.B. hinter eth1
VPN-Host ein einzelner VPN-Host z.B. in der Zone vpn-ipsec
VPN-Netzwek ein komplettes VPN-Netz
Statische Schnittstelle eine IP-Adresse einer Schnittstelle z.B. 192.168.175.1/32
Dynamische Schnittstelle eine dynamische Zuweisung der Adresse des Interfaces

Als letztes wählen sie die Zonen aus, in der das Netzwerkobjekt liegt.

Zusätzlich können sie mehrere Netzwerkobjekte zu Gruppen zusammenfassen, damit mehrere Objekte mit einer Portfilterregel angesprochen werden können.

Wollen sie zum Beispiel ein Netzwerkobjekt haben, mit dem sie ein komplettes Netz, hinter eth3 in der Zone dmz2 abbilden können, sehe das Netzwerkobjekt so aus:

.netobject.png

Dienste

Dienste werden benötigt, um Portfilterregeln zu erstellen, zum Beispiel um bestimmte Ports zu schließen/öffnen. Sie legen das verwendete Protokoll und gegebenenfalls den Port bzw. Portbereich des Dienstes fest. Viele Dienste sind schon vorkonfiguriert wie http, https, ftp, ssh usw. Ist ein Dienst nicht vorhanden können sie diesen einfach erstellen.

Dienst hinzufügen

Benötigen sie nun eine Portfilterregel welche den TCP Port 4321 für ein Gerät öffnet, müssen sie den Dienst neu erstellen. Dazu gehen sie auf .objadd.png und geben dem Dienst ein aussagekräftigen Namen.

Als nächstes wählen sie das gewünschte Protokoll, in unserem Beispiel tcp und den einzelnen Port 4321 aus. Sie können zusätzlich auch den Quellport bzw. Quellbereich auswählen.

.dienst.png

Auch das zusammenfassen von Diensten in Gruppen ist möglich.

Zeitprofil

Zeitprofile dienen dazu Portfilterregeln nur zu festgelegten Zeiten zu aktivieren. Wollen sie zum Beispiel, dass keiner aus dem internal-network von 10 bis 12 Uhr ins Internet darf, erstellen sie als erstes ein Zeitprofil und wählen den Zeitraum aus.

.zeitprofil.png

Als letztes erstellen sie eine Portfilterregel internal-network => internet => any => DROP => Zeitprofil1

.zeitrege.png

Beachten sie hierbei die Arbeitsweise des Portfilters. Die zeitgesteuerte Regel muss in diesem Fall vor der Regel stehen, die den Zugriff erlaubt.

QoS

Quality of Service

Mit QoS limitieren sie die Bandbreite von gesamten Schnittstellen oder Portfilterregeln. Möchte man zum Beispiel, dass eth0 auf 16000kbit/s limitiert ist, und die maximale Bandbreite für http auf 1000kbit/s limitiert ist, erstellen sie zuerst das QoS mit der maximalen Bandbreite von 16000kbit/s. Klicken sie hierfür auf .qosadd.png

.qosgesamt.png

Als nächstes erstellen sie den QoS für die http-Regel mit 1000kbit/s und als Parent den soebend erstellten QoS für die gesamte Bandbreite.

.qoshttp.png

.pregelqos.png

QoS für Schnittstelle

Als nächstes binden sie die QoS auf die Schnittstelle eth0, indem sie unter dem Punkt Netzwerk auf den Reiter Netzwerkkonfiguration gehen.

Bearbeiten sie eth0 und gehen auf den Reiter QoS. Binden sie nun die QoS Regel ein.

.ifqos.png

QoS für Portfilterregel

Zum Schluss müssen sie nur noch die QoS für die http Portfilterregel einbinden. Dazu gehen sie unter Portfilter auf die entsprechende Regel, für die, die Limitierung aktiviert werden soll, und bearbeiten diese . In diesem Beispiel die Regel:

.qosregel.png

und binden die QoS Regel ein.