Firewallregeln

Top  Previous  Next

Auswahl des ein- und ausgehenden Interfaces

 

In der Übersicht "Firewallregeln" finden Sie immer nur jene Regeln, welche für das entsprechende eingehende und ausgehende Interface definiert sind. Eine Gesamtübersicht aller Regeln finden sie in der entsprechenden Registerkarte.

Um eine Filterregel zu erstellen, müssen Sie sowohl das eingehende wie auch das ausgehende Interface auswählen. Die Firewall-Regel gilt dann für jene Datenpakete, die beim eingehenden Interface hereinkommen und beim ausgehenden Interface hinausgehen. Wir nennen den Weg eines Datenpakets einen Track.

 

Sollen zum Beispiel Pakete vom internen Interface auf das externe gefiltert werden, so wählen Sie im Auswahlfeld eingehend den Namen des internen Interfaces aus (z.B. "int0") und im Auswahlfeld ausgehend den Namen des externen Interfaces (z.B. "ext0"). Anschließend betätigen Sie die Schaltfläche Go! und die Anzeige der Filterregeln in der darunterliegenden Elementgruppe wird aktualisiert und jene Regeln werden aufgelistet, die für den ausgewählten Weg bereits gespeichert worden sind.

 

In der Auswahlliste befinden sich auch einige besondere Einträge. Der Listeneintrag "ANY" sollte gewählt werden, wenn Sie die Filterung nicht auf ein spezielles Interface beschränken wollen. Die Filterregeln werden in der Folge auf alle zur Verfügung stehenden Interfaces angewendet.

Der Listeneintrag "LOCAL" bezeichnet jene Pakete, die direkt von Gibraltar bzw. direkt zu Gibraltar gesendet werden. Das können zum Beispiel Zugriffe auf den lokalen Proxy, oder auch zu einem (IPSec-, PPTP-, SSL-) Tunnel gehörige Pakete sein. Sie können also einen Filter auf alle jene Pakete anwenden lassen, die von einem bestimmten Interface auf Gibraltar selbst geschickt werden sollen, indem Sie als eingehendes Interface das Entsprechende auswählen und als ausgehendes Interface "LOCAL" auswählen. Für bereits konfigurierte IPSec Interfaces werden ebenfalls Einträge in den Auswahlfeldern erzeugt (z.B. "ipsec0").

 

HINWEIS: Die Auswahl eingehendes Interface "ANY" und ausgehendes Interface "ANY" bezeichnet FORWARD-Filterregeln (durch die Firewall durchgehende Pakete werden überprüft), bei denen das eingehende und das ausgehende Interface nicht relevant sind. Es können damit jedoch keine INPUT- oder OUTPUT-Filterregeln (für die Firewall bestimmte bzw. von der Firewall kommende Pakete werden überprüft) erzeugt werden.

 

Konfiguration des dynamischen Paketfilters (Stateful Inspection)

 

Die dynamische Paketfilterung erlaubt es, Pakete zu filtern, die einer bereits bestehenden Verbindung zugeordnet werden können (Connection Tracking). Damit ist es möglich, Antwortpakete zu bereits bestehenden Verbindungen automatisch zu erlauben. Es muss keine separate Regel für den Antwortverkehr erstellt werden. Wollen Sie z.B. den Zugriff auf externe Webserver erlauben, so reicht es im Fall von Stateful Inspection, den ausgehenden Datenverkehr den Zielport 80 zu erlauben. Die Antwortpakete der Webserver werden in diesem Fall automatisch akzeptiert und der entsprechenden bestehenden Verbindung zugeordnet.

 

Established erlauben: Es werden alle Pakete erlaubt, die einer bereits bestehenden Verbindung zugeordnet werden können. Beispielsweise wären dies Antwortpakete einer HTTP Anfrage nach außen, wobei Gibraltar diese Antwortpakete des HTTP-Servers an den Client als established erkennt. Die Einstellung gilt für alle Pakete in der aktuellen Kombination von eingehendem und ausgehendem Interface.
Related erlauben: Es wird die Weiterleitung aller Pakete erlaubt, die als zu einer bereits bestehenden Verbindung zugehörig angesehen werden können. Bspw. funktioniert der Verbindungsaufbau bei FTP über den Port 21, die Daten werden über den Port 20 transportiert. Gibraltar erkennt diese zur Kontrollverbindung zugehörige Datenverbindung auf dem Port 20 als related. Die Einstellung gilt für alle Pakete in der aktuellen Kombination von eingehendem und ausgehendem Interface.

 

Ändern der Reihenfolge

 

Firewall-Regeln werden in einer definierten Reihenfolge abgearbeitet. Die Abarbeitungsreihenfolge entspricht der Sortierung in der Übersicht. Wollen Sie also erreichen, dass eine bestimmte Regeln vor oder nach einer anderen Regeln abgearbeitet werden soll, ist es notwendig, die Sortierung nachträglich zu ändern. Sie können dies erreichen indem Sie den Indexeintrag der entsprechenden Regel verändern.

 

firewall_regeln

 

Regelübersicht

 

Die Paketfilterregeln werden beim Eintreffen eines Paketes von oben nach unten abgearbeitet, bis die Optionen einer Regel auf das eintreffende Paket zutreffen. Die Reihenfolge der Paketfilterregeln ist daher von großer Bedeutung. Nachdem ein eingehendes und ein ausgehendes Interface in den entsprechenden Auswahlfeldern ausgewählt wurden, werden in der Elementgruppe Firewallregeln die zu diesem Track zugehörigen Paketfilterregeln dargestellt. In der Übersicht der Paketfilterregeln kann die Reihenfolge verändert werden. Auch das Editieren oder Löschen einzelner Regeln wird von hier aus durchgeführt.

 

Regel hinzufügen: Erzeugt eine neue Filterregel am Ende der Liste. Sie werden in die Detailansicht der Regel weitergeleitet. Diese Schaltfläche findet sich sowohl am Anfang als auch am Ende der Übersicht.
Speichern: Speichert die aktuellen Einstellungen der Übersicht und die Reihenfolge der Regeln.

 

In der Übersicht finden Sie folgende Informationen:

 

Aktiv: Aktiviert oder deaktiviert eine Firewall-Regel. Deaktivierte Regeln werden nicht berücksichtigt.
Quelle: Zeigt die Quell IP-Adresse/das Quell Subnetz/den Quell FQDN dieser Regel. Wird keine IP-Adresse angegeben (ANY), so ist die Quelle für diese Regel irrelevant und es werden alle Quelladressen akzeptiert.
Ziel: Zeigt die Ziel IP-Adresse/das Ziel Subnetz/den Ziel FQDN dieser Regel. Wird keine IP-Adresse angegeben (ANY), so ist das Ziel für diese Regel irrelevant und es werden alle Zieladressen akzeptiert.
Service: Service dieser Regel. Wird kein Service angegeben (ANY), so wird dieser ignoriert.
Quellport: Quellport der Regel. Dieser Wert wird nur dargestellt, sofern beim Service der Wert CUSTOM gewählt wurde, da ein Service auch die Quellportdefinitionen enthält.
Zielport: Zielport einer Regel. Dieser Wert wird nur dargestellt, sofern beim Service der Wert CUSTOM gewählt wurde, da ein Service auch die Quellportdefinitionen enthält.
Aktion: Zeigt, wie in weiterer Folge mit dem Paket verfahren werden soll, wenn diese Regel greift. Folgende Werte sind möglich: ACCEPT, DROP, LOG, REJECT und NONE
ACCEPT: Paket wird zur Weiterleitung freigegeben.
DROP: Paket wird verworfen.
LOG: Es wird ein Eintrag in der Syslog-Datei erzeugt. Diese Einstellung sagt aber nichts darüber aus, wie das Paket weiter behandelt wird. Folgt im Anschluss an eine Regel mit einem Target LOG eine Regel mit gleicher Konfiguration nur mit dem Target ACCEPT, so wird zwar ein Eintrag in der LOG Datei erzeugt, anschließend wird das Paket jedoch akzeptiert und weitergeleitet.
REJECT: Verweigert dem Paket die Weiterleitung wie DROP, es wird jedoch gleichzeitig eine ICMP Fehlernachricht ("port-unreachable") an den Sender des Pakets zurückgesendet
NONE: Das Paket wird von dieser Regel ignoriert. Sie benötigen diese Aktion, um bspw. Monitoring Regeln zu erstellen.
Wird hier ein anderer Wert angezeigt (z.B. flood-protect), so handelt es sich um spezielle Regeln, die nicht verändert werden können. Diese Regeln dienen dazu, die Sicherheit und Zuverlässigkeit von Gibraltar zu erhöhen.
Kommentar info: Zeigt einen Tooltip (Bewegen Sie den Mauszeiger über das Symbol) mit dem Kommentar zur entsprechenden Regel. Sie können zu jeder Regel einen eigenen Kommentar erstellen.
Markierte Einträge löschen delete: Markieren Sie jene Einträge in der Elementgruppe durch Aktivieren des Kontrollkästchens, die Sie löschen wollen. Betätigen Sie anschließend die Schaltfläche in der Kopfzeile, um die Elemente zu löschen.
Regel nach oben schieben up und Regel nach unten schieben down: Betätigen Sie eine dieser Schaltflächen, um die entsprechende Regel in der Reihenfolge nach oben bzw. nach unten zu verschieben. Diese Funktionen sind notwendig, da sämtliche Regeln von oben nach unten abgearbeitet werden und jeweils die erste zutreffende Regel ein Paket behandelt.
Regel bearbeiten edit: Betätigen Sie diese Schaltfläche, um die entsprechende Regel zu bearbeiten. Sie werden in die Detailansicht der Regel weitergeleitet.
Regel darunter einfügen insert_below: Betätigen Sie diese Schaltfläche, um nach dieser Regel eine neue Regel einzufügen. Sie werden in die Detailansicht der Regel weitergeleitet.
Regel löschen delete: Betätigen Sie diese Schaltfläche, um die Regel zu löschen. Falls Sie eine Regel nur zeitweilig deaktivieren wollen, siehe oben (Aktiv).