In der Detailansicht werden Firewall-Regeln bearbeitet oder neu erstellt. Folgende Einstellungen können vorgenommen werden:
▪ | Regel aktivieren: Aktiviert die Firewall-Regel. Deaktivierte Regeln werden nicht berücksichtigt. |
▪ | Quelladresse: Quelladresse (Absender) des Datenpakets. Sie können sowohl einen bereits definierten Host/Netz Alias oder eine Host/Netz Gruppe auswählen. Alternativ ist es möglich, eine frei definierte IP-Adresse, einen IP-Adressbereich oder einen FQDN anzugeben (CUSTOM). Ist die Quelladresse für diese Regel nicht relevant, so wählen Sie aus dem Auswahlfeld die Option ANY. Sollten alle Adressen außer der angegebenen berücksichtigt werden, aktivieren Sie das Kontrollkästchen ausgenommen neben dem Textfeld. |
▪ | Zieladresse: Zieladresse (Empfänger) des Datenpakets. Sie können sowohl einen bereits definierten Host/Netz Alias oder eine Host/Netz Gruppe auswählen. Alternativ ist es möglich, eine frei definierte IP-Adresse, einen IP-Adressbereich oder einen FQDN anzugeben (CUSTOM). Ist die Zieladresse für diese Regel nicht relevant, so wählen Sie aus dem Auswahlfeld die Option ANY. Sollten alle Adressen außer der angegebenen berücksichtigt werden, aktivieren Sie das Kontrollkästchen ausgenommen neben dem Textfeld. |
▪ | Service: Service (Protokoll und Ports) des Datenpakets. Services können frei definiert werden und mehrere Protokolle oder Ports umfassen. Sie finden die Definitionen der Services im Modul Netzwerk. Sollten Sie die Option ANY wählen, so wird dieses Feld bei der Überprüfung des Paketes nicht berücksichtigt. Sollten Sie hier den Service CUSTOM wählen, so wird das Formular automatisch erweitert (Java Script Aktivierung erforderlich). Sollte Java Script nicht aktiviert sein, so betätigen Sie nach der Auswahl des Protokolls die Go! Schaltfläche. Die Optionen, die bei der Auswahl der Protokolle TCP und UDP zusätzlich konfiguriert werden können, werden weiter unten im Punkt Besonderheiten von TCP/UDP näher erläutert. |
▪ | Status: Status der Verbindung für dynamische Paketfilterung. Die möglichen Optionen sind
ANY: Der Status des zu prüfenden Pakets wird ignoriert.
NEW: Behandelt alle Pakete, die das erste Mal mit dieser Adresskombination auf Gibraltar treffen, also beim Aufbau einer neuen Verbindung.
ESTABLISHED und RELATED: Diese Optionen werden im Kapitel Firewallregeln im Punkt Konfiguration des dynamischen Paketfilters erläutert.
INVALID: Behandelt alle Pakete, die mit keiner Gibraltar bekannten Verbindung in Zusammenhang gebracht werden können, jedoch auch nicht eine neue Verbindung aufbauen. |
▪ | Aktion: Aktion die ausgeführt wird, wenn ein Datenpaket die angegebenen Kriterien erfüllt. Die möglichen Aktionen sind ACCEPT, DROP, LOG, REJECT oder NONE, Eine Beschreibung der Aktionen finden Sie im Kapitel Firewallregeln. |
▪ | Kommentar: Kommentar zur Firewall-Regel. Der Kommentar wird als Tooltip in der Regelübersicht angezeigt. |
▪ | Monitoring aktivieren: Aktiviert das Monitoring für die angegebene Regel. Bei aktiviertem Monitoring wird der Traffic auf den die angegebene Regel zutrifft protokolliert und kann in weiterer Folge grafisch ausgewertet werden. Zur Identifikation der Regel im Monitoring-Modul müssen sie einen Namen definieren. |
▪ | Monitoring-Regel für jede IP-Adresse in der Quelladresse erzeugen: Aktivieren Sie dieses Kästchen, wenn Sie für jede IP-Adresse im Quellbereich eine Monitoring Regel erzeugen wollen. Wenn Sie bspw. für das Netz 192.168.0.0/24 eine detaillierte Traffic-Auswertung brauchen, so verwenden Sie diesen Wert für den Quellbereich und aktivieren gleichzeitig diese Option. |
▪ | Monitoring-Regel für jede IP-Adresse in der Zieladresse erzeugen: Aktivieren Sie dieses Kästchen, wenn Sie für jede IP-Adresse im Zielbereich eine Monitoring Regel erzeugen wollen. Wenn Sie bspw. für das Netz 192.168.0.0/24 eine detaillierte Traffic-Auswertung brauchen, so verwenden Sie diesen Wert für den Zielbereich und aktivieren gleichzeitig diese Option. |
ACHTUNG: Wenn Sie beispielsweise den gesamten Traffic des Netzes 192.168.0.0/24 mitprotokollieren wollen, dann brauchen Sie je eine Regel für den eingehenden und für den ausgehenden Verkehr. Bspw. von int -> ext und von ext -> int!
Die Felder, die nur bei Auswahl eines bestimmten Protokolls konfiguriert werden können, sind folgende:
▪ | Auswahl des Protokolls TCP oder UDP: |
Quellport: Im Auswahlfeld Quellport wählen Sie einen der angegebenen Ports aus. Kommt das zu überprüfende Paket vom ausgewählten Port, so werden die weiteren Optionen dieser Regel überprüft. Bei der Auswahl von ANY wird diese Option ignoriert und bei der Überprüfung des Pakets nicht berücksichtigt. Die Option CUSTOM erlaubt die Angabe eines nicht in der Liste angeführten Ports oder eines Portbereichs im nebenstehenden Textfeld. Sie können entweder einen Port von 1 bis 65535 angeben oder einen Bereich. Ein Bereich wird durch die Angabe von Startport und den Endport, getrennt durch einen Doppelpunkt, definiert (z.B.: 2400:2600 bezeichnet die Ports von 2400 bis 2600). Optional besteht die Möglichkeit, alle Ports bis oder ab einem bestimmten Port zu wählen. Durch die Angabe eines Doppelpunkts gefolgt von einer Portnummer werden alle Ports bis zu dieser Nummer berücksichtigt, durch die Angabe einer Portnummer gefolgt von einem Doppelpunkt werden alle Ports ab dieser Portnummer miteinbezogen (z.B.: :500 für alle Ports von 1-500; 500: für alle Ports von 500 bis 65535).
Zielport: Im Auswahlfeld Zielport wählen Sie einen der angegebenen Ports aus. Kommt das zu überprüfende Paket am ausgewählten Port an, so trifft diese Option zu und die restlichen Optionen werden überprüft. Die Auswahl aus dem Auswahlfeld bzw. die Eingabe im Textfeld erfolgt wie beim Quellport.
▪ | Auswahl des Protokolls ICMP: |
ICMP Typ: Wählen Sie den Typ des ICMP Paketes aus der Auswahlliste. Folgende Optionen sind möglich, wobei die Auswahl des Typs ANY auf alle Typen des Pakets zutrifft:
echo-request
echo-reply
destination-unreachable
source-quench
redirect
router-advertisement
router-solicitation
time-exceeded
parameter-problem
timestamp-request
timestamp-reply
address-mask-request
address-mask-reply

|