OPNsense/Firewall/Regeln/Einstellungen
OPNsense/Firewall/Regeln/Einstellungen
Beschreibung
Der Datenverkehr, der durch Ihre Firewall fließt, kann mithilfe von Regeln, die Richtlinien definieren, zugelassen oder abgelehnt werden
- In diesem Abschnitt der Dokumentation werden die verschiedenen Einstellungen nach ihrer Verwendung gruppiert beschrieben
Beschreibende Einstellungen
Einige Einstellungen helfen dabei, Regeln zu identifizieren, ohne den Datenverkehr zu beeinflussen
Einstellung | Beschreibung |
---|---|
Kategorie | Die Kategorie, zu der diese Regel gehört, kann als Filter in der Übersicht verwendet werden |
Beschreibung | Beschreibender Text |
Grundeinstellungen
Nachfolgend finden Sie die am häufigsten verwendeten Einstellungen:
Einstellung | Beschreibung |
---|---|
Aktion | Die auszuführende Aktion |
Deaktiviert | Deaktiviert eine Regel, ohne sie zu entfernen
|
Schnittstelle | Schnittstelle(n), auf die diese Regel angewendet wird
|
TCP/IP-Version | Gilt diese Regel für IPv4, IPv6 oder beides? |
Protokoll | Zu verwendendes Protokoll, am häufigsten werden TCP und UDP verwendet |
Quelle | Quellnetzwerk oder -adresse
|
Quelle / Umkehren | Quellenauswahl umkehren (z. B. nicht 192.168.0.0/24)
|
Ziel | Zielnetzwerk oder -adresse, wie bei der Quelle können Sie auch hier Aliase verwenden
|
Ziel / Umkehren | Wenn der Filter umgekehrt werden soll, können Sie dieses Kontrollkästchen markieren
|
Zielportbereich | Für TCP und/oder UDP können Sie einen Dienst nach Name (http, https) oder Nummer (Bereich) auswählen, Sie können hier auch Aliase verwenden, um die Verwaltung zu vereinfachen |
Protokoll | Erstellt einen Protokolleintrag, wenn diese Regel gilt
|
- Tipp
- Die Verwendung aussagekräftiger Namen erleichtert die Identifizierung des Datenverkehrs in der Live-Protokollansicht
- Tipp
- Mit der Schaltfläche „Auge“ in der rechten oberen Ecke des Bildschirms können Sie Statistiken zur betreffenden Regel anzeigen (Anzahl der Auswertungen, Anzahl der aktiven Zustände und Datenverkehrszähler)
- Tipp
- Sie können mehrere Quellen oder Ziele pro Regel auswählen, beachten Sie jedoch, dass ein verschachtelter Alias möglicherweise die bessere Wahl ist
- Diese Funktion ist besonders nützlich, wenn Sie Sicherheitszonen erstellen möchten
Traffic Shaping (QoS)
Wenn eine Firewall-Regel hinsichtlich der Anzahl der Pakete, die sie im Laufe der Zeit verarbeiten darf, eingeschränkt werden muss, kann die Regel mit dem Traffic Shaper kombiniert werden
Der Prozess der Formung wird im Abschnitt Traffic Shaping unserer Dokumentation erläutert
- Nachfolgend finden Sie die relevanten Eigenschaften für die Firewall-Regel
Einstellung | Beschreibung |
---|---|
Traffic Shaping/Regelrichtung | Pakete, die dieser Regel entsprechen, werden in die konfigurierte Warteschlange oder Pipe geleitet |
Traffic Shaping/umgekehrte Richtung | Pakete, die in die entgegengesetzte Richtung passen, werden in die konfigurierte Warteschlange oder Pipe geleitet |
- Tipp
- Filterregeln sind flexibler als die im Abschnitt „Shaper“ selbst angegebenen, da sie auch mit Aliasen kombiniert werden können
- Obwohl diese Funktion noch recht neu ist, lohnt es sich auf jeden Fall, sie sich anzusehen, wenn Sie einen Traffic Shaper benötigen
Weniger häufig verwendet
Einige Einstellungen sollten in der Regel auf den Standardwerten belassen werden, können aber auch in der normalen Regelkonfiguration festgelegt werden
Einstellung | Beschreibung |
---|---|
Quellportbereich | Bei TCP und/oder UDP können Sie auch nach dem vom Client verwendeten Quellport (Bereich) filtern
|
Quick | Wenn ein Paket einer Regel entspricht, die quick angibt, gewinnt die erste übereinstimmende Regel
|
Richtung | Richtung des Datenverkehrs, siehe auch Richtung |
Hochverfügbarkeit
Die folgenden Optionen werden speziell für HA-Konfigurationen verwendet
Einstellung | Beschreibung |
---|---|
Keine XMLRPC-Synchronisierung | Deaktivieren Sie die Konfigurationssynchronisierung für diese Regel, wenn die Synchronisierung der Firewall-Regeln unter System ‣ Hochverfügbarkeit ‣ Einstellungen |
Zustandstyp / KEIN pfsync | Verhindern Sie, dass durch diese Regel erstellte Zustände mit dem anderen Knoten synchronisiert werden |
Zeitplan
Regeln können auch so geplant werden, dass sie an bestimmten Tagen oder in bestimmten Zeiträumen aktiv sind
- Sie können Zeitpläne unter Firewall ‣ Erweitert ‣ Zeitpläne erstellen und einen davon in der Regel auswählen
Richtlinienbasiertes Routing
Diese Funktion kann verwendet werden, um Datenverkehr anhand von detaillierteren Filtern als statische Routen (OSI-Schicht 4 gegenüber OSI-Schicht 3) an ein anderes Gateway weiterzuleiten, und kann zum Aufbau von Multi-WAN-Szenarien mit Gateway-Gruppen verwendet werden
Weitere Informationen zu Multi-WAN finden Sie im Kapitel „Multi-WAN“
Einstellung | Beschreibung |
---|---|
Gateway | Wenn ein Gateway angegeben ist, verwenden Pakete das richtlinienbasierte Routing unter Verwendung des angegebenen Gateways oder der angegebenen Gateway-Gruppe
|
Antwort | Standardmäßig wird der Datenverkehr immer an das mit der Schnittstelle verbundene Gateway gesendet
|
- Hinweis
- Wenn Sie das richtlinienbasierte Routing verwenden, vergessen Sie nicht, lokalen Datenverkehr auszuschließen, der nicht weitergeleitet werden soll
- Dazu können Sie eine Regel mit einer höheren Priorität erstellen und ein Standard Gateway
- Tipp
- Unserer Erfahrung nach kann die Paketaufzeichnungsfunktion (Schnittstellen ‣ Diagnose ‣ Paketaufzeichnung) ein wertvolles Werkzeug sein, um zu überprüfen, ob der Datenverkehr wirklich in die erwartete Richtung fließt
- Wählen Sie einfach einen zu überwachenden Host aus und versuchen Sie, einige Pakete auszutauschen
- Wenn Sie alle Schnittstellen auswählen, können Sie leicht erkennen, wohin der Datenverkehr fließt
Verbindungslimits
Die erweiterten Optionen enthalten einige Einstellungen, um die Verwendung einer Regel zu beschränken oder bestimmte Zeitlimits für sie festzulegen
- Die meisten allgemeinen (Standard-)Einstellungen für diese Optionen finden Sie unter Firewall ‣ Einstellungen ‣ Erweitert
Einstellung | Beschreibung |
---|---|
Maximale Zustände | Begrenzt die Anzahl der gleichzeitigen Zustände, die die Regel erstellen kann
|
Maximale Quellknoten | Begrenzt die maximale Anzahl von Quelladressen, die gleichzeitig Einträge in der Zustandstabelle haben können |
Maximal etabliert | Begrenzt die maximale Anzahl gleichzeitiger TCP-Verbindungen, die den 3-Wege-Handshake abgeschlossen haben, die ein einzelner Host herstellen kann |
Max. Quellzustände | Begrenzt die maximale Anzahl gleichzeitiger Zustandseinträge, die eine einzelne Quelladresse mit dieser Regel erstellen kann |
Max. neue Verbindungen | Begrenzt die Rate neuer Verbindungen über einen bestimmten Zeitraum
|
Zustandszeitlimit | Status-Timeout in Sekunden (gilt nur für TCP) |
Erweitert
Einige weniger häufig verwendete Optionen sind unten definiert
Einstellung | Beschreibung |
---|---|
Quell-Betriebssystem | Betriebssysteme können anhand einiger TCP-Felder der ursprünglichen Verbindung identifiziert werden
|
Zulässige Optionen | Standardmäßig blockiert die Firewall IPv4-Pakete mit IP-Optionen oder IPv6-Pakete mit gesetzten Routing-Erweiterungs-Headern
|
TCP-Flags | Wenn bestimmte TCP-Flags gesetzt oder zurückgesetzt werden müssen, können Sie diese hier angeben |
Priorität festlegen | Paketen, die dieser Regel entsprechen, wird eine bestimmte Warteschlangenpriorität zugewiesen
|
Priorität abgleichen | Nur Pakete abgleichen, denen die angegebene Warteschlangenpriorität zugewiesen ist |
Lokales Tag setzen | Pakete, die dieser Regel entsprechen, werden mit der angegebenen Zeichenfolge getaggt
|
Lokales Tag abgleichen | Pakete abgleichen, die zuvor (mit „Lokales Tag setzen“) getaggt wurden |
Status | Beeinflusst den verwendeten Statusverfolgungsmechanismus
|