Zum Inhalt springen

OPNsense/Firewall/Regeln/Einstellungen

Aus Foxwiki

OPNsense/Firewall/Regeln/Einstellungen

Beschreibung

Der Datenverkehr, der durch Ihre Firewall fließt, kann mithilfe von Regeln, die Richtlinien definieren, zugelassen oder abgelehnt werden

  • In diesem Abschnitt der Dokumentation werden die verschiedenen Einstellungen nach ihrer Verwendung gruppiert beschrieben

Beschreibende Einstellungen

Einige Einstellungen helfen dabei, Regeln zu identifizieren, ohne den Datenverkehr zu beeinflussen

Einstellung Beschreibung
Kategorie Die Kategorie, zu der diese Regel gehört, kann als Filter in der Übersicht verwendet werden
Beschreibung Beschreibender Text

Grundeinstellungen

Nachfolgend finden Sie die am häufigsten verwendeten Einstellungen:

Einstellung Beschreibung
Aktion Die auszuführende Aktion
Deaktiviert Deaktiviert eine Regel, ohne sie zu entfernen
  • Dies kann zu Testzwecken und zur einfachen Aktivierung seltener verwendeter Richtlinien praktisch sein
Schnittstelle Schnittstelle(n), auf die diese Regel angewendet wird
  • Sie können Regeln einfach zwischen Schnittstellen kopieren und dieses Feld auf die neue Zielschnittstelle ändern. (Denken Sie daran, die Reihenfolge vor dem Anwenden zu überprüfen
TCP/IP-Version Gilt diese Regel für IPv4, IPv6 oder beides?
Protokoll Zu verwendendes Protokoll, am häufigsten werden TCP und UDP verwendet
Quelle Quellnetzwerk oder -adresse
  • Wenn Sie IPv4 und IPv6 in einer Regel kombinieren, können Sie Aliase verwenden, die beide Adressfamilien enthalten
  • Sie können mehrere Quellen pro Regel auswählen
Quelle / Umkehren Quellenauswahl umkehren (z. B. nicht 192.168.0.0/24)
  • Sie können nur einzelne Quellen umkehren
Ziel Zielnetzwerk oder -adresse, wie bei der Quelle können Sie auch hier Aliase verwenden
  • Sie können mehrere Ziele pro Regel auswählen
Ziel / Umkehren Wenn der Filter umgekehrt werden soll, können Sie dieses Kontrollkästchen markieren
  • Sie können nur einzelne Ziele umkehren
Zielportbereich Für TCP und/oder UDP können Sie einen Dienst nach Name (http, https) oder Nummer (Bereich) auswählen, Sie können hier auch Aliase verwenden, um die Verwaltung zu vereinfachen
Protokoll Erstellt einen Protokolleintrag, wenn diese Regel gilt
  • Mit Firewall ‣ Protokolldateien ‣ Live-Ansicht können Sie überwachen, ob Ihre Regel gilt
Tipp
Die Verwendung aussagekräftiger Namen erleichtert die Identifizierung des Datenverkehrs in der Live-Protokollansicht
Tipp
Mit der Schaltfläche „Auge“ in der rechten oberen Ecke des Bildschirms können Sie Statistiken zur betreffenden Regel anzeigen (Anzahl der Auswertungen, Anzahl der aktiven Zustände und Datenverkehrszähler)
Tipp
Sie können mehrere Quellen oder Ziele pro Regel auswählen, beachten Sie jedoch, dass ein verschachtelter Alias möglicherweise die bessere Wahl ist
  • Diese Funktion ist besonders nützlich, wenn Sie Sicherheitszonen erstellen möchten

Traffic Shaping (QoS)

Wenn eine Firewall-Regel hinsichtlich der Anzahl der Pakete, die sie im Laufe der Zeit verarbeiten darf, eingeschränkt werden muss, kann die Regel mit dem Traffic Shaper kombiniert werden

Der Prozess der Formung wird im Abschnitt Traffic Shaping unserer Dokumentation erläutert

  • Nachfolgend finden Sie die relevanten Eigenschaften für die Firewall-Regel
Einstellung Beschreibung
Traffic Shaping/Regelrichtung Pakete, die dieser Regel entsprechen, werden in die konfigurierte Warteschlange oder Pipe geleitet
Traffic Shaping/umgekehrte Richtung Pakete, die in die entgegengesetzte Richtung passen, werden in die konfigurierte Warteschlange oder Pipe geleitet
Tipp
Filterregeln sind flexibler als die im Abschnitt „Shaper“ selbst angegebenen, da sie auch mit Aliasen kombiniert werden können
  • Obwohl diese Funktion noch recht neu ist, lohnt es sich auf jeden Fall, sie sich anzusehen, wenn Sie einen Traffic Shaper benötigen

Weniger häufig verwendet

Einige Einstellungen sollten in der Regel auf den Standardwerten belassen werden, können aber auch in der normalen Regelkonfiguration festgelegt werden

Einstellung Beschreibung
Quellportbereich Bei TCP und/oder UDP können Sie auch nach dem vom Client verwendeten Quellport (Bereich) filtern
  • Da Sie den Quellport in den meisten Fällen nicht beeinflussen können, wird diese Einstellung in der Regel auf dem Standardwert belassen (any)
Quick Wenn ein Paket einer Regel entspricht, die quick angibt, gewinnt die erste übereinstimmende Regel
  • Wenn quick nicht gesetzt ist, gewinnt die letzte übereinstimmende Regel
  • Wenn Sie sich nicht sicher sind, verwenden Sie am besten quick-Regeln und interpretieren Sie den Regelsatz von oben nach unten
Richtung Richtung des Datenverkehrs, siehe auch Richtung

Hochverfügbarkeit

Die folgenden Optionen werden speziell für HA-Konfigurationen verwendet

Einstellung Beschreibung
Keine XMLRPC-Synchronisierung Deaktivieren Sie die Konfigurationssynchronisierung für diese Regel, wenn die Synchronisierung der Firewall-Regeln unter System ‣ Hochverfügbarkeit ‣ Einstellungen
Zustandstyp / KEIN pfsync Verhindern Sie, dass durch diese Regel erstellte Zustände mit dem anderen Knoten synchronisiert werden

Zeitplan

Regeln können auch so geplant werden, dass sie an bestimmten Tagen oder in bestimmten Zeiträumen aktiv sind

  • Sie können Zeitpläne unter Firewall ‣ Erweitert ‣ Zeitpläne erstellen und einen davon in der Regel auswählen

Richtlinienbasiertes Routing

Diese Funktion kann verwendet werden, um Datenverkehr anhand von detaillierteren Filtern als statische Routen (OSI-Schicht 4 gegenüber OSI-Schicht 3) an ein anderes Gateway weiterzuleiten, und kann zum Aufbau von Multi-WAN-Szenarien mit Gateway-Gruppen verwendet werden

Weitere Informationen zu Multi-WAN finden Sie im Kapitel „Multi-WAN

Einstellung Beschreibung
Gateway Wenn ein Gateway angegeben ist, verwenden Pakete das richtlinienbasierte Routing unter Verwendung des angegebenen Gateways oder der angegebenen Gateway-Gruppe
  • Normalerweise wird diese Option auf der empfangenden Schnittstelle (z. B. LAN) festgelegt, die dann das hier angegebene Gateway auswählt. (Die Standard-Routing-Regeln werden dabei ignoriert.) Nur Pakete, die in die gleiche Richtung wie die Regel fließen, sind von diesem Parameter betroffen, die entgegengesetzte Richtung (Antworten) ist von dieser Option nicht betroffen
Antwort Standardmäßig wird der Datenverkehr immer an das mit der Schnittstelle verbundene Gateway gesendet
  • Wenn Sie aus irgendeinem Grund nicht möchten, dass der Datenverkehr an dieses Gateway weitergeleitet wird, können Sie dieses Verhalten hier deaktivieren oder ein alternatives Ziel festlegen
Hinweis
Wenn Sie das richtlinienbasierte Routing verwenden, vergessen Sie nicht, lokalen Datenverkehr auszuschließen, der nicht weitergeleitet werden soll
  • Dazu können Sie eine Regel mit einer höheren Priorität erstellen und ein Standard Gateway
Tipp
Unserer Erfahrung nach kann die Paketaufzeichnungsfunktion (Schnittstellen ‣ Diagnose ‣ Paketaufzeichnung) ein wertvolles Werkzeug sein, um zu überprüfen, ob der Datenverkehr wirklich in die erwartete Richtung fließt
  • Wählen Sie einfach einen zu überwachenden Host aus und versuchen Sie, einige Pakete auszutauschen
  • Wenn Sie alle Schnittstellen auswählen, können Sie leicht erkennen, wohin der Datenverkehr fließt

Verbindungslimits

Die erweiterten Optionen enthalten einige Einstellungen, um die Verwendung einer Regel zu beschränken oder bestimmte Zeitlimits für sie festzulegen

  • Die meisten allgemeinen (Standard-)Einstellungen für diese Optionen finden Sie unter Firewall ‣ Einstellungen ‣ Erweitert
Einstellung Beschreibung
Maximale Zustände Begrenzt die Anzahl der gleichzeitigen Zustände, die die Regel erstellen kann
  • Wenn dieses Limit erreicht ist, werden weitere Pakete, die einen Zustand erstellen würden, erst dann mit dieser Regel abgeglichen, wenn die bestehenden Zustände abgelaufen sind
Maximale Quellknoten Begrenzt die maximale Anzahl von Quelladressen, die gleichzeitig Einträge in der Zustandstabelle haben können
Maximal etabliert Begrenzt die maximale Anzahl gleichzeitiger TCP-Verbindungen, die den 3-Wege-Handshake abgeschlossen haben, die ein einzelner Host herstellen kann
Max. Quellzustände Begrenzt die maximale Anzahl gleichzeitiger Zustandseinträge, die eine einzelne Quelladresse mit dieser Regel erstellen kann
Max. neue Verbindungen Begrenzt die Rate neuer Verbindungen über einen bestimmten Zeitraum
  • Die Verbindungsrate ist ein Näherungswert, der als gleitender Durchschnitt berechnet wird. (Anzahl der Verbindungen / Sekunden) Gilt nur für TCP-Verbindungen
Zustandszeitlimit Status-Timeout in Sekunden (gilt nur für TCP)

Erweitert

Einige weniger häufig verwendete Optionen sind unten definiert

Einstellung Beschreibung
Quell-Betriebssystem Betriebssysteme können anhand einiger TCP-Felder der ursprünglichen Verbindung identifiziert werden
  • Diese Fingerabdrücke können auch zum Abgleichen des Datenverkehrs verwendet werden. (Ausführlichere Informationen finden Sie in der pf.os-Manpage
Zulässige Optionen Standardmäßig blockiert die Firewall IPv4-Pakete mit IP-Optionen oder IPv6-Pakete mit gesetzten Routing-Erweiterungs-Headern
  • Wenn Sie eine Anwendung haben, die solche Pakete benötigt (z. B. Multicast oder IGMP), können Sie diese Option aktivieren
TCP-Flags Wenn bestimmte TCP-Flags gesetzt oder zurückgesetzt werden müssen, können Sie diese hier angeben
Priorität festlegen Paketen, die dieser Regel entsprechen, wird eine bestimmte Warteschlangenpriorität zugewiesen
  • Wenn das Paket über eine VLAN-Schnittstelle übertragen wird, wird die Warteschlangenpriorität als Prioritätscode in den 802.1Q-VLAN-Header geschrieben
  • Wenn zwei Prioritäten angegeben sind, werden Pakete mit einem TOS von „lowdelay“ und TCP-ACKs ohne Datenpayload der zweiten Priorität zugewiesen
Priorität abgleichen Nur Pakete abgleichen, denen die angegebene Warteschlangenpriorität zugewiesen ist
Lokales Tag setzen Pakete, die dieser Regel entsprechen, werden mit der angegebenen Zeichenfolge getaggt
  • Das Tag fungiert als interne Markierung, mit der diese Pakete später identifiziert werden können
  • Dies kann beispielsweise verwendet werden, um Vertrauen zwischen Schnittstellen herzustellen und um festzustellen, ob Pakete durch Übersetzungsregeln verarbeitet wurden
  • Tags sind „sticky“, d. h., das Paket wird auch dann getaggt, wenn die Regel nicht die letzte übereinstimmende Regel ist
  • Weitere Übereinstimmungsregeln können das Tag durch ein neues ersetzen, entfernen jedoch kein zuvor angewendetes Tag
  • Ein Paket erhält immer nur ein Tag gleichzeitig
Lokales Tag abgleichen Pakete abgleichen, die zuvor (mit „Lokales Tag setzen“) getaggt wurden
Status Beeinflusst den verwendeten Statusverfolgungsmechanismus
  • Die folgenden Optionen sind verfügbar
  • Im Zweifelsfall ist es in der Regel am besten, die Standardeinstellung beizubehalten. Status beibehalten
  • Status beibehalten ‣ wird für die statusorientierte Verbindungsverfolgung verwendet
  • Sloppy state ‣ funktioniert wie „keep state“, überprüft jedoch keine Sequenznummern
  • Verwenden Sie diese Option, wenn die Firewall nicht alle Pakete sieht
  • Synproxy state ‣ leitet eingehende TCP-Verbindungen weiter, um Server vor gefälschten TCP-SYN-Floods zu schützen
  • Diese Option umfasst die Funktionen von „keep state“ und „modulate state“ kombiniert
  • None ‣ Verwendet keine Statusmechanismen zur Nachverfolgung
Abgerufen von „https://wiki.foxtom.de/index.php?title=OPNsense/Firewall/Regeln/Einstellungen&oldid=147385