OPNsense/Firewall/Regeln/Einstellungen: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „== Einstellungen == Der Datenverkehr, der durch Ihre Firewall fließt, kann mithilfe von Regeln, die Richtlinien definieren, zugelassen oder abgelehnt werden. In diesem Abschnitt der Dokumentation werden die verschiedenen Einstellungen nach ihrer Verwendung gruppiert beschrieben. === Beschreibende Einstellungen === Einige Einstellungen helfen dabei, Regeln zu identifizieren, ohne den Datenverkehr zu beeinflussen. {| class="wikitable sortable options" |…“ |
Keine Bearbeitungszusammenfassung |
||
| (16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''OPNsense/Firewall/Regeln/Einstellungen''' | |||
Der Datenverkehr, der durch Ihre Firewall fließt, kann mithilfe von Regeln, die Richtlinien definieren, zugelassen oder abgelehnt werden | === Beschreibung === | ||
Der Datenverkehr, der durch Ihre Firewall fließt, kann mithilfe von Regeln, die Richtlinien definieren, zugelassen oder abgelehnt werden | |||
* In diesem Abschnitt der Dokumentation werden die verschiedenen Einstellungen nach ihrer Verwendung gruppiert beschrieben | |||
=== Beschreibende Einstellungen === | === Beschreibende Einstellungen === | ||
Einige Einstellungen helfen dabei, Regeln zu identifizieren, ohne den Datenverkehr zu beeinflussen | |||
Einige Einstellungen helfen dabei, Regeln zu identifizieren, ohne den Datenverkehr zu beeinflussen | {| class="wikitable big big" | ||
{| class="wikitable | |||
|- | |- | ||
! Einstellung !! Beschreibung | ! Einstellung !! Beschreibung | ||
|- | |- | ||
| Kategorie || Die Kategorie, zu der diese Regel gehört, kann als Filter in der Übersicht verwendet werden | | Kategorie || Die Kategorie, zu der diese Regel gehört, kann als Filter in der Übersicht verwendet werden | ||
|- | |- | ||
| Beschreibung || Beschreibender Text | | Beschreibung || Beschreibender Text | ||
| Zeile 16: | Zeile 17: | ||
=== Grundeinstellungen === | === Grundeinstellungen === | ||
Nachfolgend finden Sie die am häufigsten verwendeten Einstellungen: | Nachfolgend finden Sie die am häufigsten verwendeten Einstellungen: | ||
{| class="wikitable | {| class="wikitable big options" | ||
|- | |- | ||
! Einstellung !! Beschreibung | ! Einstellung !! Beschreibung | ||
|- | |- | ||
| Aktion || Die auszuführende [https://docs.opnsense.org/manual/firewall.html#firewall-rule-action Aktion] | | Aktion || Die auszuführende [https://docs.opnsense.org/manual/firewall.html#firewall-rule-action Aktion] | ||
|- | |- | ||
| Deaktiviert || Deaktiviert eine Regel, ohne sie zu entfernen | | Deaktiviert || Deaktiviert eine Regel, ohne sie zu entfernen | ||
* Dies kann zu Testzwecken und zur einfachen Aktivierung seltener verwendeter Richtlinien praktisch sein | |||
|- | |- | ||
| Schnittstelle || Schnittstelle(n), auf die diese Regel angewendet wird | | Schnittstelle || Schnittstelle(n), auf die diese Regel angewendet wird | ||
* Sie können Regeln einfach zwischen Schnittstellen kopieren und dieses Feld auf die neue Zielschnittstelle ändern. (Denken Sie daran, die Reihenfolge vor dem Anwenden zu überprüfen | |||
|- | |- | ||
| TCP/IP-Version || Gilt diese Regel für IPv4, IPv6 oder beides? | | TCP/IP-Version || Gilt diese Regel für IPv4, IPv6 oder beides? | ||
|- | |- | ||
| Protokoll || Zu verwendendes Protokoll, am häufigsten werden TCP und UDP verwendet | | Protokoll || Zu verwendendes Protokoll, am häufigsten werden TCP und UDP verwendet | ||
|- | |- | ||
| Quelle || Quellnetzwerk oder -adresse | | Quelle || Quellnetzwerk oder -adresse | ||
* Wenn Sie IPv4 und IPv6 in einer Regel kombinieren, können Sie Aliase verwenden, die beide Adressfamilien enthalten | |||
* Sie können mehrere Quellen pro Regel auswählen | |||
|- | |- | ||
| Quelle / Umkehren || Quellenauswahl umkehren (z. B. nicht 192.168.0.0/24) | | Quelle / Umkehren || Quellenauswahl umkehren (z. B. nicht 192.168.0.0/24) | ||
* Sie können nur einzelne Quellen umkehren | |||
|- | |- | ||
| Ziel || Zielnetzwerk oder -adresse, wie bei der Quelle können Sie auch hier Aliase verwenden | | Ziel || Zielnetzwerk oder -adresse, wie bei der Quelle können Sie auch hier Aliase verwenden | ||
* Sie können mehrere Ziele pro Regel auswählen | |||
|- | |- | ||
| Ziel / Umkehren || Wenn der Filter umgekehrt werden soll, können Sie dieses Kontrollkästchen markieren | | Ziel / Umkehren || Wenn der Filter umgekehrt werden soll, können Sie dieses Kontrollkästchen markieren | ||
* Sie können nur einzelne Ziele umkehren | |||
|- | |- | ||
| Zielportbereich || Für TCP und/oder UDP können Sie einen Dienst nach Name (http, https) oder Nummer (Bereich) auswählen, Sie können hier auch Aliase verwenden, um die Verwaltung zu vereinfachen | | Zielportbereich || Für TCP und/oder UDP können Sie einen Dienst nach Name (http, https) oder Nummer (Bereich) auswählen, Sie können hier auch Aliase verwenden, um die Verwaltung zu vereinfachen | ||
|- | |- | ||
| Protokoll || Erstellt einen Protokolleintrag, wenn diese Regel gilt | | Protokoll || Erstellt einen Protokolleintrag, wenn diese Regel gilt | ||
* Mit Firewall ‣ Protokolldateien ‣ Live-Ansicht können Sie überwachen, ob Ihre Regel gilt | |||
|} | |} | ||
; Tipp | ; Tipp | ||
: Die Verwendung aussagekräftiger Namen erleichtert die Identifizierung des Datenverkehrs in der Live-Protokollansicht | : Die Verwendung aussagekräftiger Namen erleichtert die Identifizierung des Datenverkehrs in der Live-Protokollansicht | ||
; Tipp | ; Tipp | ||
: Mit der Schaltfläche „Auge“ in der rechten oberen Ecke des Bildschirms können Sie Statistiken zur betreffenden Regel anzeigen (Anzahl der Auswertungen, Anzahl der aktiven Zustände und Datenverkehrszähler) | : Mit der Schaltfläche „Auge“ in der rechten oberen Ecke des Bildschirms können Sie Statistiken zur betreffenden Regel anzeigen (Anzahl der Auswertungen, Anzahl der aktiven Zustände und Datenverkehrszähler) | ||
; Tipp | ; Tipp | ||
: Sie können mehrere Quellen oder Ziele pro Regel auswählen, beachten Sie jedoch, dass ein verschachtelter Alias möglicherweise die bessere Wahl ist | : Sie können mehrere Quellen oder Ziele pro Regel auswählen, beachten Sie jedoch, dass ein verschachtelter Alias möglicherweise die bessere Wahl ist | ||
:* Diese Funktion ist besonders nützlich, wenn Sie [https://docs.opnsense.org/manual/how-tos/security-zones.html Sicherheitszonen] erstellen möchten | |||
=== Traffic Shaping (QoS) === | === Traffic Shaping (QoS) === | ||
Wenn eine Firewall-Regel hinsichtlich der Anzahl der Pakete, die sie im Laufe der Zeit verarbeiten darf, eingeschränkt werden muss, kann die Regel mit dem Traffic Shaper kombiniert werden | Wenn eine Firewall-Regel hinsichtlich der Anzahl der Pakete, die sie im Laufe der Zeit verarbeiten darf, eingeschränkt werden muss, kann die Regel mit dem Traffic Shaper kombiniert werden | ||
Der Prozess der Formung wird im Abschnitt [https://docs.opnsense.org/manual/shaping.html Traffic Shaping] unserer Dokumentation erläutert | Der Prozess der Formung wird im Abschnitt [https://docs.opnsense.org/manual/shaping.html Traffic Shaping] unserer Dokumentation erläutert | ||
* Nachfolgend finden Sie die relevanten Eigenschaften für die Firewall-Regel | |||
{| class="wikitable | {| class="wikitable big options" | ||
|- | |- | ||
! Einstellung !! Beschreibung | ! Einstellung !! Beschreibung | ||
| Zeile 69: | Zeile 79: | ||
; Tipp | ; Tipp | ||
: Filterregeln sind flexibler als die im Abschnitt „Shaper“ selbst angegebenen, da sie auch mit Aliasen kombiniert werden können | : Filterregeln sind flexibler als die im Abschnitt „Shaper“ selbst angegebenen, da sie auch mit Aliasen kombiniert werden können | ||
:* Obwohl diese Funktion noch recht neu ist, lohnt es sich auf jeden Fall, sie sich anzusehen, wenn Sie einen Traffic Shaper benötigen | |||
=== Weniger häufig verwendet === | === Weniger häufig verwendet === | ||
Einige Einstellungen sollten in der Regel auf den Standardwerten belassen werden, können aber auch in der normalen Regelkonfiguration festgelegt werden | |||
{| class="wikitable big options" | |||
|- | |||
! Einstellung !! Beschreibung | |||
|- | |||
Bei TCP und/oder UDP können Sie auch nach dem vom Client verwendeten Quellport (Bereich) filtern | | Quellportbereich || Bei TCP und/oder UDP können Sie auch nach dem vom Client verwendeten Quellport (Bereich) filtern | ||
* Da Sie den Quellport in den meisten Fällen nicht beeinflussen können, wird diese Einstellung in der Regel auf dem Standardwert belassen (<tt>any</tt>) | |||
Quick | |- | ||
| Quick || Wenn ein Paket einer Regel entspricht, die quick angibt, gewinnt die erste übereinstimmende Regel | |||
Wenn ein Paket einer Regel entspricht, die quick angibt, gewinnt die erste übereinstimmende Regel | * Wenn quick nicht gesetzt ist, gewinnt die letzte übereinstimmende Regel | ||
* Wenn Sie sich nicht sicher sind, verwenden Sie am besten quick-Regeln und interpretieren Sie den Regelsatz von oben nach unten | |||
Richtung | |- | ||
| Richtung || Richtung des Datenverkehrs, siehe auch [https://docs.opnsense.org/manual/firewall.html#firewall-rule-direction Richtung] | |||
Richtung des Datenverkehrs, siehe auch [https://docs.opnsense.org/manual/firewall.html#firewall-rule-direction Richtung] | |} | ||
=== Hochverfügbarkeit === | === Hochverfügbarkeit === | ||
Die folgenden Optionen werden speziell für HA-Konfigurationen verwendet | |||
{| class="wikitable options big" | |||
|- | |||
Keine XMLRPC-Synchronisierung | ! Einstellung !! Beschreibung | ||
|- | |||
Deaktivieren Sie die Konfigurationssynchronisierung für diese Regel, wenn die Synchronisierung der '''Firewall-Regeln''' unter System ‣ Hochverfügbarkeit ‣ Einstellungen | | Keine XMLRPC-Synchronisierung || Deaktivieren Sie die Konfigurationssynchronisierung für diese Regel, wenn die Synchronisierung der '''Firewall-Regeln''' unter System ‣ Hochverfügbarkeit ‣ Einstellungen | ||
|- | |||
Zustandstyp / KEIN pfsync | | Zustandstyp / KEIN pfsync || Verhindern Sie, dass durch diese Regel erstellte Zustände mit dem anderen Knoten synchronisiert werden | ||
|} | |||
Verhindern Sie, dass durch diese Regel erstellte Zustände mit dem anderen Knoten synchronisiert werden | |||
=== Zeitplan === | === Zeitplan === | ||
Regeln können auch so geplant werden, dass sie an bestimmten Tagen oder in bestimmten Zeiträumen aktiv sind | |||
Regeln können auch so geplant werden, dass sie an bestimmten Tagen oder in bestimmten Zeiträumen aktiv sind | * Sie können Zeitpläne unter Firewall ‣ Erweitert ‣ Zeitpläne erstellen und einen davon in der Regel auswählen | ||
=== Richtlinienbasiertes Routing === | === Richtlinienbasiertes Routing === | ||
Diese Funktion kann verwendet werden, um Datenverkehr anhand von detaillierteren Filtern als statische Routen ([https://en.wikipedia.org/wiki/OSI_model OSI-Schicht 4 gegenüber OSI-Schicht 3]) an ein anderes Gateway weiterzuleiten, und kann zum Aufbau von Multi-WAN-Szenarien mit Gateway-Gruppen verwendet werden | |||
Weitere Informationen zu Multi-WAN finden Sie im Kapitel „[https://docs.opnsense.org/manual/how-tos/multiwan.html Multi-WAN]“ | |||
{| class="wikitable options big" | |||
|- | |||
! Einstellung !! Beschreibung | |||
|- | |||
| Gateway || Wenn ein Gateway angegeben ist, verwenden Pakete das richtlinienbasierte Routing unter Verwendung des angegebenen Gateways oder der angegebenen Gateway-Gruppe | |||
* Normalerweise wird diese Option auf der empfangenden Schnittstelle (z. B. LAN) festgelegt, die dann das hier angegebene Gateway auswählt. (Die Standard-Routing-Regeln werden dabei ignoriert.) Nur Pakete, die in die gleiche Richtung wie die Regel fließen, sind von diesem Parameter betroffen, die entgegengesetzte Richtung (Antworten) ist von dieser Option nicht betroffen | |||
|- | |||
| Antwort || Standardmäßig wird der Datenverkehr immer an das mit der Schnittstelle verbundene Gateway gesendet | |||
* Wenn Sie aus irgendeinem Grund nicht möchten, dass der Datenverkehr an dieses Gateway weitergeleitet wird, können Sie dieses Verhalten hier deaktivieren oder ein alternatives Ziel festlegen | |||
|} | |||
; Hinweis | |||
: Wenn Sie das richtlinienbasierte Routing verwenden, vergessen Sie nicht, lokalen Datenverkehr auszuschließen, der nicht weitergeleitet werden soll | |||
:* Dazu können Sie eine Regel mit einer höheren Priorität erstellen und ein <tt>Standard</tt> Gateway | |||
; Tipp | |||
: Unserer Erfahrung nach kann die Paketaufzeichnungsfunktion (Schnittstellen ‣ Diagnose ‣ Paketaufzeichnung) ein wertvolles Werkzeug sein, um zu überprüfen, ob der Datenverkehr wirklich in die erwartete Richtung fließt | |||
:* Wählen Sie einfach einen zu überwachenden Host aus und versuchen Sie, einige Pakete auszutauschen | |||
:* Wenn Sie alle Schnittstellen auswählen, können Sie leicht erkennen, wohin der Datenverkehr fließt | |||
Unserer Erfahrung nach kann die Paketaufzeichnungsfunktion (Schnittstellen ‣ Diagnose ‣ Paketaufzeichnung) ein wertvolles Werkzeug sein, um zu überprüfen, ob der Datenverkehr wirklich in die erwartete Richtung fließt | |||
=== Verbindungslimits === | === Verbindungslimits === | ||
Die erweiterten Optionen enthalten einige Einstellungen, um die Verwendung einer Regel zu beschränken oder bestimmte Zeitlimits für sie festzulegen | |||
* Die meisten allgemeinen (Standard-)Einstellungen für diese Optionen finden Sie unter Firewall ‣ Einstellungen ‣ Erweitert | |||
{| class="wikitable options big" | |||
|- | |||
Maximale Zustände | ! Einstellung !! Beschreibung | ||
|- | |||
Begrenzt die Anzahl der gleichzeitigen Zustände, die die Regel erstellen kann | | Maximale Zustände || Begrenzt die Anzahl der gleichzeitigen Zustände, die die Regel erstellen kann | ||
* Wenn dieses Limit erreicht ist, werden weitere Pakete, die einen Zustand erstellen würden, erst dann mit dieser Regel abgeglichen, wenn die bestehenden Zustände abgelaufen sind | |||
Maximale Quellknoten | |- | ||
| Maximale Quellknoten || Begrenzt die maximale Anzahl von Quelladressen, die gleichzeitig Einträge in der Zustandstabelle haben können | |||
Begrenzt die maximale Anzahl von Quelladressen, die gleichzeitig Einträge in der Zustandstabelle haben können | |- | ||
| Maximal etabliert || Begrenzt die maximale Anzahl gleichzeitiger TCP-Verbindungen, die den 3-Wege-Handshake abgeschlossen haben, die ein einzelner Host herstellen kann | |||
Maximal etabliert | |- | ||
| Max. Quellzustände || Begrenzt die maximale Anzahl gleichzeitiger Zustandseinträge, die eine einzelne Quelladresse mit dieser Regel erstellen kann | |||
Begrenzt die maximale Anzahl gleichzeitiger TCP-Verbindungen, die den 3-Wege-Handshake abgeschlossen haben, die ein einzelner Host herstellen kann | |- | ||
| Max. neue Verbindungen || Begrenzt die Rate neuer Verbindungen über einen bestimmten Zeitraum | |||
Max. Quellzustände | * Die Verbindungsrate ist ein Näherungswert, der als gleitender Durchschnitt berechnet wird. (Anzahl der Verbindungen / Sekunden) Gilt nur für TCP-Verbindungen | ||
|- | |||
Begrenzt die maximale Anzahl gleichzeitiger Zustandseinträge, die eine einzelne Quelladresse mit dieser Regel erstellen kann | | Zustandszeitlimit || Status-Timeout in Sekunden (gilt nur für TCP) | ||
|} | |||
Max. neue Verbindungen | |||
Begrenzt die Rate neuer Verbindungen über einen bestimmten Zeitraum | |||
Zustandszeitlimit | |||
Status-Timeout in Sekunden (gilt nur für TCP) | |||
=== Erweitert === | === Erweitert === | ||
Einige weniger häufig verwendete Optionen sind unten definiert | |||
{| class="wikitable options big" | |||
|- | |||
! Einstellung !! Beschreibung | |||
|- | |||
| Quell-Betriebssystem || Betriebssysteme können anhand einiger TCP-Felder der ursprünglichen Verbindung identifiziert werden | |||
* Diese Fingerabdrücke können auch zum Abgleichen des Datenverkehrs verwendet werden. (Ausführlichere Informationen finden Sie in der [https://www.freebsd.org/cgi/man.cgi?query=pf.os pf.os]-Manpage | |||
|- | |||
| Zulässige Optionen || Standardmäßig blockiert die Firewall IPv4-Pakete mit IP-Optionen oder IPv6-Pakete mit gesetzten Routing-Erweiterungs-Headern | |||
* Wenn Sie eine Anwendung haben, die solche Pakete benötigt (z. B. Multicast oder IGMP), können Sie diese Option aktivieren | |||
|- | |||
| TCP-Flags || Wenn bestimmte TCP-Flags gesetzt oder zurückgesetzt werden müssen, können Sie diese hier angeben | |||
|- | |||
| Priorität festlegen || Paketen, die dieser Regel entsprechen, wird eine bestimmte Warteschlangenpriorität zugewiesen | |||
* Wenn das Paket über eine VLAN-Schnittstelle übertragen wird, wird die Warteschlangenpriorität als Prioritätscode in den 802.1Q-VLAN-Header geschrieben | |||
* Wenn zwei Prioritäten angegeben sind, werden Pakete mit einem TOS von „lowdelay“ und TCP-ACKs ohne Datenpayload der zweiten Priorität zugewiesen | |||
|- | |||
| Priorität abgleichen || Nur Pakete abgleichen, denen die angegebene Warteschlangenpriorität zugewiesen ist | |||
|- | |||
| Lokales Tag setzen || Pakete, die dieser Regel entsprechen, werden mit der angegebenen Zeichenfolge getaggt | |||
* Das Tag fungiert als interne Markierung, mit der diese Pakete später identifiziert werden können | |||
* Dies kann beispielsweise verwendet werden, um Vertrauen zwischen Schnittstellen herzustellen und um festzustellen, ob Pakete durch Übersetzungsregeln verarbeitet wurden | |||
* Tags sind „sticky“, d. h., das Paket wird auch dann getaggt, wenn die Regel nicht die letzte übereinstimmende Regel ist | |||
* Weitere Übereinstimmungsregeln können das Tag durch ein neues ersetzen, entfernen jedoch kein zuvor angewendetes Tag | |||
* Ein Paket erhält immer nur ein Tag gleichzeitig | |||
|- | |||
| Lokales Tag abgleichen || Pakete abgleichen, die zuvor (mit „Lokales Tag setzen“) getaggt wurden | |||
|- | |||
| Status || Beeinflusst den verwendeten Statusverfolgungsmechanismus | |||
* Die folgenden Optionen sind verfügbar | |||
* Im Zweifelsfall ist es in der Regel am besten, die Standardeinstellung beizubehalten. <tt>Status beibehalten</tt> | |||
* Status beibehalten ‣ wird für die statusorientierte Verbindungsverfolgung verwendet | |||
* Sloppy state ‣ funktioniert wie „keep state“, überprüft jedoch keine Sequenznummern | |||
* Verwenden Sie diese Option, wenn die Firewall nicht alle Pakete sieht | |||
* Synproxy state ‣ leitet eingehende TCP-Verbindungen weiter, um Server vor gefälschten TCP-SYN-Floods zu schützen | |||
* Diese Option umfasst die Funktionen von „keep state“ und „modulate state“ kombiniert | |||
* None ‣ Verwendet keine Statusmechanismen zur Nachverfolgung | |||
|} | |||
[[Kategorie:OPNsense/Firewall]] | |||
Aktuelle Version vom 25. Juni 2025, 15:24 Uhr
OPNsense/Firewall/Regeln/Einstellungen
Beschreibung
Der Datenverkehr, der durch Ihre Firewall fließt, kann mithilfe von Regeln, die Richtlinien definieren, zugelassen oder abgelehnt werden
- In diesem Abschnitt der Dokumentation werden die verschiedenen Einstellungen nach ihrer Verwendung gruppiert beschrieben
Beschreibende Einstellungen
Einige Einstellungen helfen dabei, Regeln zu identifizieren, ohne den Datenverkehr zu beeinflussen
| Einstellung | Beschreibung |
|---|---|
| Kategorie | Die Kategorie, zu der diese Regel gehört, kann als Filter in der Übersicht verwendet werden |
| Beschreibung | Beschreibender Text |
Grundeinstellungen
Nachfolgend finden Sie die am häufigsten verwendeten Einstellungen:
| Einstellung | Beschreibung |
|---|---|
| Aktion | Die auszuführende Aktion |
| Deaktiviert | Deaktiviert eine Regel, ohne sie zu entfernen
|
| Schnittstelle | Schnittstelle(n), auf die diese Regel angewendet wird
|
| TCP/IP-Version | Gilt diese Regel für IPv4, IPv6 oder beides? |
| Protokoll | Zu verwendendes Protokoll, am häufigsten werden TCP und UDP verwendet |
| Quelle | Quellnetzwerk oder -adresse
|
| Quelle / Umkehren | Quellenauswahl umkehren (z. B. nicht 192.168.0.0/24)
|
| Ziel | Zielnetzwerk oder -adresse, wie bei der Quelle können Sie auch hier Aliase verwenden
|
| Ziel / Umkehren | Wenn der Filter umgekehrt werden soll, können Sie dieses Kontrollkästchen markieren
|
| Zielportbereich | Für TCP und/oder UDP können Sie einen Dienst nach Name (http, https) oder Nummer (Bereich) auswählen, Sie können hier auch Aliase verwenden, um die Verwaltung zu vereinfachen |
| Protokoll | Erstellt einen Protokolleintrag, wenn diese Regel gilt
|
- Tipp
- Die Verwendung aussagekräftiger Namen erleichtert die Identifizierung des Datenverkehrs in der Live-Protokollansicht
- Tipp
- Mit der Schaltfläche „Auge“ in der rechten oberen Ecke des Bildschirms können Sie Statistiken zur betreffenden Regel anzeigen (Anzahl der Auswertungen, Anzahl der aktiven Zustände und Datenverkehrszähler)
- Tipp
- Sie können mehrere Quellen oder Ziele pro Regel auswählen, beachten Sie jedoch, dass ein verschachtelter Alias möglicherweise die bessere Wahl ist
- Diese Funktion ist besonders nützlich, wenn Sie Sicherheitszonen erstellen möchten
Traffic Shaping (QoS)
Wenn eine Firewall-Regel hinsichtlich der Anzahl der Pakete, die sie im Laufe der Zeit verarbeiten darf, eingeschränkt werden muss, kann die Regel mit dem Traffic Shaper kombiniert werden
Der Prozess der Formung wird im Abschnitt Traffic Shaping unserer Dokumentation erläutert
- Nachfolgend finden Sie die relevanten Eigenschaften für die Firewall-Regel
| Einstellung | Beschreibung |
|---|---|
| Traffic Shaping/Regelrichtung | Pakete, die dieser Regel entsprechen, werden in die konfigurierte Warteschlange oder Pipe geleitet |
| Traffic Shaping/umgekehrte Richtung | Pakete, die in die entgegengesetzte Richtung passen, werden in die konfigurierte Warteschlange oder Pipe geleitet |
- Tipp
- Filterregeln sind flexibler als die im Abschnitt „Shaper“ selbst angegebenen, da sie auch mit Aliasen kombiniert werden können
- Obwohl diese Funktion noch recht neu ist, lohnt es sich auf jeden Fall, sie sich anzusehen, wenn Sie einen Traffic Shaper benötigen
Weniger häufig verwendet
Einige Einstellungen sollten in der Regel auf den Standardwerten belassen werden, können aber auch in der normalen Regelkonfiguration festgelegt werden
| Einstellung | Beschreibung |
|---|---|
| Quellportbereich | Bei TCP und/oder UDP können Sie auch nach dem vom Client verwendeten Quellport (Bereich) filtern
|
| Quick | Wenn ein Paket einer Regel entspricht, die quick angibt, gewinnt die erste übereinstimmende Regel
|
| Richtung | Richtung des Datenverkehrs, siehe auch Richtung |
Hochverfügbarkeit
Die folgenden Optionen werden speziell für HA-Konfigurationen verwendet
| Einstellung | Beschreibung |
|---|---|
| Keine XMLRPC-Synchronisierung | Deaktivieren Sie die Konfigurationssynchronisierung für diese Regel, wenn die Synchronisierung der Firewall-Regeln unter System ‣ Hochverfügbarkeit ‣ Einstellungen |
| Zustandstyp / KEIN pfsync | Verhindern Sie, dass durch diese Regel erstellte Zustände mit dem anderen Knoten synchronisiert werden |
Zeitplan
Regeln können auch so geplant werden, dass sie an bestimmten Tagen oder in bestimmten Zeiträumen aktiv sind
- Sie können Zeitpläne unter Firewall ‣ Erweitert ‣ Zeitpläne erstellen und einen davon in der Regel auswählen
Richtlinienbasiertes Routing
Diese Funktion kann verwendet werden, um Datenverkehr anhand von detaillierteren Filtern als statische Routen (OSI-Schicht 4 gegenüber OSI-Schicht 3) an ein anderes Gateway weiterzuleiten, und kann zum Aufbau von Multi-WAN-Szenarien mit Gateway-Gruppen verwendet werden
Weitere Informationen zu Multi-WAN finden Sie im Kapitel „Multi-WAN“
| Einstellung | Beschreibung |
|---|---|
| Gateway | Wenn ein Gateway angegeben ist, verwenden Pakete das richtlinienbasierte Routing unter Verwendung des angegebenen Gateways oder der angegebenen Gateway-Gruppe
|
| Antwort | Standardmäßig wird der Datenverkehr immer an das mit der Schnittstelle verbundene Gateway gesendet
|
- Hinweis
- Wenn Sie das richtlinienbasierte Routing verwenden, vergessen Sie nicht, lokalen Datenverkehr auszuschließen, der nicht weitergeleitet werden soll
- Dazu können Sie eine Regel mit einer höheren Priorität erstellen und ein Standard Gateway
- Tipp
- Unserer Erfahrung nach kann die Paketaufzeichnungsfunktion (Schnittstellen ‣ Diagnose ‣ Paketaufzeichnung) ein wertvolles Werkzeug sein, um zu überprüfen, ob der Datenverkehr wirklich in die erwartete Richtung fließt
- Wählen Sie einfach einen zu überwachenden Host aus und versuchen Sie, einige Pakete auszutauschen
- Wenn Sie alle Schnittstellen auswählen, können Sie leicht erkennen, wohin der Datenverkehr fließt
Verbindungslimits
Die erweiterten Optionen enthalten einige Einstellungen, um die Verwendung einer Regel zu beschränken oder bestimmte Zeitlimits für sie festzulegen
- Die meisten allgemeinen (Standard-)Einstellungen für diese Optionen finden Sie unter Firewall ‣ Einstellungen ‣ Erweitert
| Einstellung | Beschreibung |
|---|---|
| Maximale Zustände | Begrenzt die Anzahl der gleichzeitigen Zustände, die die Regel erstellen kann
|
| Maximale Quellknoten | Begrenzt die maximale Anzahl von Quelladressen, die gleichzeitig Einträge in der Zustandstabelle haben können |
| Maximal etabliert | Begrenzt die maximale Anzahl gleichzeitiger TCP-Verbindungen, die den 3-Wege-Handshake abgeschlossen haben, die ein einzelner Host herstellen kann |
| Max. Quellzustände | Begrenzt die maximale Anzahl gleichzeitiger Zustandseinträge, die eine einzelne Quelladresse mit dieser Regel erstellen kann |
| Max. neue Verbindungen | Begrenzt die Rate neuer Verbindungen über einen bestimmten Zeitraum
|
| Zustandszeitlimit | Status-Timeout in Sekunden (gilt nur für TCP) |
Erweitert
Einige weniger häufig verwendete Optionen sind unten definiert
| Einstellung | Beschreibung |
|---|---|
| Quell-Betriebssystem | Betriebssysteme können anhand einiger TCP-Felder der ursprünglichen Verbindung identifiziert werden
|
| Zulässige Optionen | Standardmäßig blockiert die Firewall IPv4-Pakete mit IP-Optionen oder IPv6-Pakete mit gesetzten Routing-Erweiterungs-Headern
|
| TCP-Flags | Wenn bestimmte TCP-Flags gesetzt oder zurückgesetzt werden müssen, können Sie diese hier angeben |
| Priorität festlegen | Paketen, die dieser Regel entsprechen, wird eine bestimmte Warteschlangenpriorität zugewiesen
|
| Priorität abgleichen | Nur Pakete abgleichen, denen die angegebene Warteschlangenpriorität zugewiesen ist |
| Lokales Tag setzen | Pakete, die dieser Regel entsprechen, werden mit der angegebenen Zeichenfolge getaggt
|
| Lokales Tag abgleichen | Pakete abgleichen, die zuvor (mit „Lokales Tag setzen“) getaggt wurden |
| Status | Beeinflusst den verwendeten Statusverfolgungsmechanismus
|