OPNsense/Firewall/Einstellungen: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite OPNsense:Firewall:Einstellungen nach OPNsense/Firewall:Einstellungen, ohne dabei eine Weiterleitung anzulegen: Textersetzung - „OPNsense:“ durch „OPNsense/“ |
Keine Bearbeitungszusammenfassung |
||
(13 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
=== IPv6-Optionen === | |||
[[File:opnSenseFirewallErweitert.png|mini|500px]] | |||
; Erlaube IPv6 | |||
* Jeglicher IPv6 Verkehr wird durch die Firewall blockiert falls diese Option nicht angehakt ist. | |||
*; Hinweis: Dies deaktiviert nicht alle IPv6-Eigenschaften auf der Firewall, es blockiert nur den Verkehr. | |||
=== Network Address Translation === | |||
; Reflektion für Portweiterleitungen | |||
Dies generiert, sofern aktiviert, automatisch zusätzliche NAT-Weiterleitungsregeln die den Zugang zu Ihren Portweiterleitungen Ihrer externen IP von Ihren internen Netzen aus ermöglicht. | |||
* Individuelle Regeln können konfiguriert werden, um die Systemeinstellungen pro Regel zu überschreiben. | |||
; Reflektion für <nowiki> 1:1 </nowiki> | |||
Aktiviert die automatische Erstellung von zusätzlichen NAT-Weiterleitungsregeln für den Zugang zu 1:1-Zuweisungen Ihrer externen IP-Adressen innerhalb Ihrer internen Netzwerke. | |||
* Individuelle Regeln können konfiguriert werden, um die Systemeinstellungen pro Regel zu überschreiben. | |||
; Automatisches ausgehendes NAT für Reflektion | |||
Erstelle automatisch ausgehende NAT-Regeln, welche Ihren eingehenden NAT-Regeln helfen, indem diese dafür sorgen, dass der Datenverkehr die Firewall über das selbe Subnetz verlässt, über das sie ursprünglich auch angekommen sind. | |||
=== Bogon-Netze === | |||
; Aktualisierungshäufigkeit | |||
Die Häufigkeit, mit der die Listen von reservierten (aber nicht RFC 1918) oder nicht durch die IANA zugewiesenen IP-Adressen aktualisiert werden. | |||
=== Gatewayüberwachung === | |||
; Regeln überspringen | |||
: Regeln überspringen wenn das Gateway inaktiv ist | |||
By default, when a rule has a specific gateway set, and this gateway is down, rule is created and traffic is sent to default gateway. | |||
* This option overrides that behavior and the rule is not created when gateway is down | |||
=== Multi-WAN === | |||
; Fixierte Verbindungen | |||
: Fixierte Verbindungen verwenden | |||
Aufeinander folgende Verbindungen werden an die Server in einem Round-Robin-Verfahren weitergeleitet, wobei Verbindungen von der gleichen Quelle an das gleiche Gateway weitergeleitet werden. | |||
* Diese 'fixierten Verbindung' wird so lange existieren, wie Status sich auf diese Verbindung beziehen. | |||
* Sobald die Status ungültig werden, werden die fixierten Verbindungen ebenfalls ungültig. | |||
* Weitere Verbindungen dieses Hosts werden an den nächsten Host im Sinne des Round-Robin-Verfahrens weitergeleitet. | |||
Setze die Quellenverfolgungsgültigkeitsdauer für fixierte Verbindungen in Sekunden. | |||
* Standardmäßig ist dies 0, sodass Quellenverfolgung entfernt wird, sobald der Status ungültig wird. | |||
* Das Setzen dieser Gültigkeitsdauer auf einen höheren Wert führt dazu, dass die Quell- und Zielbeziehung für eine längere Dauer persistiert wird. | |||
; Gemeinsame Weiterleitung | |||
: Verwende gemeinsame Weiterleitung zwischen Paketfilter, Datenverkehrsoptimierung und Captive-Portal | |||
Using policy routing in the packet filter rules causes packets to skip processing for the traffic shaper and captive portal tasks. | |||
* Using this option enables the sharing of such forwarding decisions between all components to accommodate complex setups. | |||
; Deaktiviere erzwungenen Gateway | |||
: Deaktiviere automatische Regeln, die lokale Dienste dazu zwingen, den zugewiesenen Gateway zu benutzen. | |||
=== Zeitpläne === | |||
; Zeitplanstatus | |||
Standardmäßig löschen Zeitpläne die Status existierender Verbindungen wenn die Ablaufzeit erreicht wurden. | |||
* Diese Option überschreibt dieses Verhalten indem die Status existierender Verbindungen nicht gelöscht werden. | |||
=== Verschiedenes === | |||
; Keep counters | |||
; Debuggen | |||
Set the level of verbosity for various conditions | |||
; Firewall-Optimierungen | |||
Wählen Sie den Typ der Statustabellenoptimierung aus, der verwendet werden soll | |||
normal | |||
: Wie der Name bereits erklärt, ist dies der normale Optimierungsalgorithmus. | |||
hohe Latenz | |||
: Für Verbindungen mit hoher Latenz wie Satellitenverbindungen verwendet. | |||
* Dadurch werden Verbindungen später als sonst verworfen | |||
aggressiv | |||
: Verwirft inaktive Verbindungen schneller. | |||
* Dadurch ist die CPU- und Speichernutzung effizienter, aber legitime Verbindungen können verworfen werden. | |||
konservativ | |||
: Versucht zu verhindern, dass legitime inaktive Verbindungen auf Kosten von erhöhtem Speicher- und CPU-verbrauch verworfen werden. | |||
; Zustände an Schnittstelle binden | |||
Das Verhalten für die Beibehaltung von Zuständen festlegen. | |||
* Standardmäßig sind die Zustände fließend, aber wenn diese Option gesetzt ist, sollten sie der Schnittstelle entsprechen. | |||
Die Standard Option (nicht markiert) vergleicht Zuständen unabhängig vom Interface, was in den meisten Konfigurationen die beste Wahl ist. | |||
; Firewall deaktivieren | |||
: Paketfilterung komplett deaktivieren | |||
Achtung: Dadurch wird das Gerät zur reinen Routingplattform! | |||
Warnung: Dies wird ebenfalls NAT deaktivieren! | |||
Falls Sie nur NAT deaktivieren wollen, aber nicht die Firewallregeln, besuchen Sie die Seite für Ausgehendes NAT. | |||
; Adaptive Firewall-Gültigkeitsdauer | |||
anfang | |||
: ende | |||
Die Gültigkeitsdauer von Status kann adaptiv skaliert werden wenn die Anzahl an Statustabelleneinträgen steigt. | |||
anfang | |||
Wenn die Anazhl an Statuseinträgen diesen Wert überschreitet, beginnt die adaptive Skalierung. | |||
* Alle Gültigkeitdauerwerte werden linear mit dem Faktor (adaptiv.ende - Statusanzahl) / (adaptiv.ende - adaptiv.start) skaliert. | |||
ende | |||
Wenn diese Anzahl an Statuseinträgen erreicht wird, erhalten neue Einträge eine Gültigkeitsdauer von Null. | |||
* Das bedeutet, dass alle Einträge sofort gelöscht werden. | |||
* Dieser Wert wird verwendet, um den Skalierungsfaktor zu definieren und sollte nicht erreicht werden (setze ein niedrigereres Statuslimit, siehe unten). | |||
Hinweis: Leer lassen für den Standardwert (0). | |||
; Maximale Firewall-Status | |||
Maximale Anzahl an Verbindungen, die in der Statustabelle der Firewall gespeichert werden. | |||
Hinweis: Leer lassen für den Standardwert. | |||
* Auf Ihrem System ist die Standardgröße: 802000 | |||
; Maximale Firewall-Fragmente | |||
Setzt die maximale Anzahl an Einträgen im Speicherpool, die zum Fragmentzusammenbau verwendet werden. | |||
Hinweis: Für den Standardwert leer lassen. | |||
; Maximale Firewall-Tabelleneinträge | |||
Maximale Anzahl an Tabelleneinträgen für Systeme wie Alias, sshlockout, bogons etc. in Kombination. | |||
Hinweis: Für den Standardwert leer lassen. | |||
* Auf Ihrem Sytem ist die Standardgröße: 1000000 | |||
; Filterung statischer Routen | |||
: Umgehe Firewall-Regeln für Verkehr auf der gleichen Schnittstelle | |||
Diese Option wird nur angewandt, falls Sie eine oder mehrere statische Routen definiert haben. | |||
* Falls sie aktiviert ist, wird Datenverkehr, der die Firewall an der gleichen Schnittstelle verlässt, auf der er empfangen wurde, nicht von der Firewall überprüft. | |||
* Dies könnte interessant sein, wenn mehrere Subnetze an der gleichen Schnittstelle angeschlossen wurden. | |||
; Deaktiviere Antwort-an | |||
: Deaktiviere Antwort-an bei WAN-Regeln | |||
Wenn Sie Multi-WAN verwenden, wollen Sie im allgemeinen, sicherstellen, dass Datenverkehr die Firewall auf der gleichen Schnittstelle verlässt, auf der er auch empfangen wurde. | |||
* Falls Sie Brücken verwenden müssen Sie dieses Verhalten deaktivieren, falls die WAN-Gateway-IP sich von der Gateway-IP der Hosts hinter der überbrückten Schnittstelle ist. | |||
; Deaktiviere Anti-Aussperrregel | |||
: Deaktiviere Administrations-Anti-Aussperrregel | |||
Wenn dies Abgewählt ist, wird der Zugriff zur Web-Oberfläche oder SSH-Dienst auf der „LAN“-Schnittstelle unabhängig von den benutzerdefinierten Firewall-Regeln immer erlaubt. | |||
* Wählen Sie diese Box an, um diese automatisch generierten Firewall-Regeln zu deaktivieren. | |||
* Stellen Sie sicher, dass sie eine Firewall-Regel haben, die Ihnen Zugriff gewährt oder Sie werden sich selbst aussperren. | |||
; Alias-Auflösungsintervall | |||
Intervall in Sekunden, der verwendet wird wird um Hostnamen aufzulösen, die als Alias konfiguriert wurden. | |||
Hinweis: Für den Standardwert (300s) leer lassen. | |||
; Zertifikat der Alias-URLs prüfen | |||
: HTTPS-Zertifikate beim Download von Alias-URLs überprüfen | |||
Stellen Sie sicher, dass das Zertifikat für alle HTTPS-Adressen der Aliaslisten gültig ist. | |||
* Falls es das nicht ist, werden sie nicht heruntergeladen. | |||
=== Anti DDOS === | |||
Enable syncookies | |||
When syncookies are active, pf will answer each incoming TCP SYN with a syncookie SYNACK, without allocating any resources. | |||
[[Kategorie:OPNsense/Firewall]] | [[Kategorie:OPNsense/Firewall]] |
Aktuelle Version vom 16. September 2023, 08:49 Uhr
IPv6-Optionen
- Erlaube IPv6
- Jeglicher IPv6 Verkehr wird durch die Firewall blockiert falls diese Option nicht angehakt ist.
- Hinweis
- Dies deaktiviert nicht alle IPv6-Eigenschaften auf der Firewall, es blockiert nur den Verkehr.
Network Address Translation
- Reflektion für Portweiterleitungen
Dies generiert, sofern aktiviert, automatisch zusätzliche NAT-Weiterleitungsregeln die den Zugang zu Ihren Portweiterleitungen Ihrer externen IP von Ihren internen Netzen aus ermöglicht.
- Individuelle Regeln können konfiguriert werden, um die Systemeinstellungen pro Regel zu überschreiben.
- Reflektion für 1:1
Aktiviert die automatische Erstellung von zusätzlichen NAT-Weiterleitungsregeln für den Zugang zu 1:1-Zuweisungen Ihrer externen IP-Adressen innerhalb Ihrer internen Netzwerke.
- Individuelle Regeln können konfiguriert werden, um die Systemeinstellungen pro Regel zu überschreiben.
- Automatisches ausgehendes NAT für Reflektion
Erstelle automatisch ausgehende NAT-Regeln, welche Ihren eingehenden NAT-Regeln helfen, indem diese dafür sorgen, dass der Datenverkehr die Firewall über das selbe Subnetz verlässt, über das sie ursprünglich auch angekommen sind.
Bogon-Netze
- Aktualisierungshäufigkeit
Die Häufigkeit, mit der die Listen von reservierten (aber nicht RFC 1918) oder nicht durch die IANA zugewiesenen IP-Adressen aktualisiert werden.
Gatewayüberwachung
- Regeln überspringen
- Regeln überspringen wenn das Gateway inaktiv ist
By default, when a rule has a specific gateway set, and this gateway is down, rule is created and traffic is sent to default gateway.
- This option overrides that behavior and the rule is not created when gateway is down
Multi-WAN
- Fixierte Verbindungen
- Fixierte Verbindungen verwenden
Aufeinander folgende Verbindungen werden an die Server in einem Round-Robin-Verfahren weitergeleitet, wobei Verbindungen von der gleichen Quelle an das gleiche Gateway weitergeleitet werden.
- Diese 'fixierten Verbindung' wird so lange existieren, wie Status sich auf diese Verbindung beziehen.
- Sobald die Status ungültig werden, werden die fixierten Verbindungen ebenfalls ungültig.
- Weitere Verbindungen dieses Hosts werden an den nächsten Host im Sinne des Round-Robin-Verfahrens weitergeleitet.
Setze die Quellenverfolgungsgültigkeitsdauer für fixierte Verbindungen in Sekunden.
- Standardmäßig ist dies 0, sodass Quellenverfolgung entfernt wird, sobald der Status ungültig wird.
- Das Setzen dieser Gültigkeitsdauer auf einen höheren Wert führt dazu, dass die Quell- und Zielbeziehung für eine längere Dauer persistiert wird.
- Gemeinsame Weiterleitung
- Verwende gemeinsame Weiterleitung zwischen Paketfilter, Datenverkehrsoptimierung und Captive-Portal
Using policy routing in the packet filter rules causes packets to skip processing for the traffic shaper and captive portal tasks.
- Using this option enables the sharing of such forwarding decisions between all components to accommodate complex setups.
- Deaktiviere erzwungenen Gateway
- Deaktiviere automatische Regeln, die lokale Dienste dazu zwingen, den zugewiesenen Gateway zu benutzen.
Zeitpläne
- Zeitplanstatus
Standardmäßig löschen Zeitpläne die Status existierender Verbindungen wenn die Ablaufzeit erreicht wurden.
- Diese Option überschreibt dieses Verhalten indem die Status existierender Verbindungen nicht gelöscht werden.
Verschiedenes
- Keep counters
- Debuggen
Set the level of verbosity for various conditions
- Firewall-Optimierungen
Wählen Sie den Typ der Statustabellenoptimierung aus, der verwendet werden soll
normal
- Wie der Name bereits erklärt, ist dies der normale Optimierungsalgorithmus.
hohe Latenz
- Für Verbindungen mit hoher Latenz wie Satellitenverbindungen verwendet.
- Dadurch werden Verbindungen später als sonst verworfen
aggressiv
- Verwirft inaktive Verbindungen schneller.
- Dadurch ist die CPU- und Speichernutzung effizienter, aber legitime Verbindungen können verworfen werden.
konservativ
- Versucht zu verhindern, dass legitime inaktive Verbindungen auf Kosten von erhöhtem Speicher- und CPU-verbrauch verworfen werden.
- Zustände an Schnittstelle binden
Das Verhalten für die Beibehaltung von Zuständen festlegen.
- Standardmäßig sind die Zustände fließend, aber wenn diese Option gesetzt ist, sollten sie der Schnittstelle entsprechen.
Die Standard Option (nicht markiert) vergleicht Zuständen unabhängig vom Interface, was in den meisten Konfigurationen die beste Wahl ist.
- Firewall deaktivieren
- Paketfilterung komplett deaktivieren
Achtung: Dadurch wird das Gerät zur reinen Routingplattform! Warnung: Dies wird ebenfalls NAT deaktivieren! Falls Sie nur NAT deaktivieren wollen, aber nicht die Firewallregeln, besuchen Sie die Seite für Ausgehendes NAT.
- Adaptive Firewall-Gültigkeitsdauer
anfang
- ende
Die Gültigkeitsdauer von Status kann adaptiv skaliert werden wenn die Anzahl an Statustabelleneinträgen steigt.
anfang
Wenn die Anazhl an Statuseinträgen diesen Wert überschreitet, beginnt die adaptive Skalierung.
- Alle Gültigkeitdauerwerte werden linear mit dem Faktor (adaptiv.ende - Statusanzahl) / (adaptiv.ende - adaptiv.start) skaliert.
ende
Wenn diese Anzahl an Statuseinträgen erreicht wird, erhalten neue Einträge eine Gültigkeitsdauer von Null.
- Das bedeutet, dass alle Einträge sofort gelöscht werden.
- Dieser Wert wird verwendet, um den Skalierungsfaktor zu definieren und sollte nicht erreicht werden (setze ein niedrigereres Statuslimit, siehe unten).
Hinweis: Leer lassen für den Standardwert (0).
- Maximale Firewall-Status
Maximale Anzahl an Verbindungen, die in der Statustabelle der Firewall gespeichert werden. Hinweis: Leer lassen für den Standardwert.
- Auf Ihrem System ist die Standardgröße: 802000
- Maximale Firewall-Fragmente
Setzt die maximale Anzahl an Einträgen im Speicherpool, die zum Fragmentzusammenbau verwendet werden. Hinweis: Für den Standardwert leer lassen.
- Maximale Firewall-Tabelleneinträge
Maximale Anzahl an Tabelleneinträgen für Systeme wie Alias, sshlockout, bogons etc. in Kombination. Hinweis: Für den Standardwert leer lassen.
- Auf Ihrem Sytem ist die Standardgröße: 1000000
- Filterung statischer Routen
- Umgehe Firewall-Regeln für Verkehr auf der gleichen Schnittstelle
Diese Option wird nur angewandt, falls Sie eine oder mehrere statische Routen definiert haben.
- Falls sie aktiviert ist, wird Datenverkehr, der die Firewall an der gleichen Schnittstelle verlässt, auf der er empfangen wurde, nicht von der Firewall überprüft.
- Dies könnte interessant sein, wenn mehrere Subnetze an der gleichen Schnittstelle angeschlossen wurden.
- Deaktiviere Antwort-an
- Deaktiviere Antwort-an bei WAN-Regeln
Wenn Sie Multi-WAN verwenden, wollen Sie im allgemeinen, sicherstellen, dass Datenverkehr die Firewall auf der gleichen Schnittstelle verlässt, auf der er auch empfangen wurde.
- Falls Sie Brücken verwenden müssen Sie dieses Verhalten deaktivieren, falls die WAN-Gateway-IP sich von der Gateway-IP der Hosts hinter der überbrückten Schnittstelle ist.
- Deaktiviere Anti-Aussperrregel
- Deaktiviere Administrations-Anti-Aussperrregel
Wenn dies Abgewählt ist, wird der Zugriff zur Web-Oberfläche oder SSH-Dienst auf der „LAN“-Schnittstelle unabhängig von den benutzerdefinierten Firewall-Regeln immer erlaubt.
- Wählen Sie diese Box an, um diese automatisch generierten Firewall-Regeln zu deaktivieren.
- Stellen Sie sicher, dass sie eine Firewall-Regel haben, die Ihnen Zugriff gewährt oder Sie werden sich selbst aussperren.
- Alias-Auflösungsintervall
Intervall in Sekunden, der verwendet wird wird um Hostnamen aufzulösen, die als Alias konfiguriert wurden. Hinweis: Für den Standardwert (300s) leer lassen.
- Zertifikat der Alias-URLs prüfen
- HTTPS-Zertifikate beim Download von Alias-URLs überprüfen
Stellen Sie sicher, dass das Zertifikat für alle HTTPS-Adressen der Aliaslisten gültig ist.
- Falls es das nicht ist, werden sie nicht heruntergeladen.
Anti DDOS
Enable syncookies When syncookies are active, pf will answer each incoming TCP SYN with a syncookie SYNACK, without allocating any resources.