OPNsense/Firewall/Regeln/Einstellungen: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „== Einstellungen == Der Datenverkehr, der durch Ihre Firewall fließt, kann mithilfe von Regeln, die Richtlinien definieren, zugelassen oder abgelehnt werden. In diesem Abschnitt der Dokumentation werden die verschiedenen Einstellungen nach ihrer Verwendung gruppiert beschrieben. === Beschreibende Einstellungen === Einige Einstellungen helfen dabei, Regeln zu identifizieren, ohne den Datenverkehr zu beeinflussen. {| class="wikitable sortable options" |…“ |
|||
| Zeile 75: | Zeile 75: | ||
Einige Einstellungen sollten in der Regel auf den Standardwerten belassen werden, können aber auch in der normalen Regelkonfiguration festgelegt werden. | Einige Einstellungen sollten in der Regel auf den Standardwerten belassen werden, können aber auch in der normalen Regelkonfiguration festgelegt werden. | ||
{| class="wikitable sortable options" | |||
|- | |||
Bei TCP und/oder UDP können Sie auch nach dem vom Client verwendeten Quellport (Bereich) filtern. Da Sie den Quellport in den meisten Fällen nicht beeinflussen können, wird diese Einstellung in der Regel auf dem Standardwert belassen (<tt>any</tt>). | ! Einstellung !! Beschreibung | ||
|- | |||
Quick | | Quellportbereich || Bei TCP und/oder UDP können Sie auch nach dem vom Client verwendeten Quellport (Bereich) filtern. Da Sie den Quellport in den meisten Fällen nicht beeinflussen können, wird diese Einstellung in der Regel auf dem Standardwert belassen (<tt>any</tt>). | ||
|- | |||
Wenn ein Paket einer Regel entspricht, die quick angibt, gewinnt die erste übereinstimmende Regel. Wenn quick nicht gesetzt ist, gewinnt die letzte übereinstimmende Regel. Wenn Sie sich nicht sicher sind, verwenden Sie am besten quick-Regeln und interpretieren Sie den Regelsatz von oben nach unten. | | Quick || Wenn ein Paket einer Regel entspricht, die quick angibt, gewinnt die erste übereinstimmende Regel. Wenn quick nicht gesetzt ist, gewinnt die letzte übereinstimmende Regel. Wenn Sie sich nicht sicher sind, verwenden Sie am besten quick-Regeln und interpretieren Sie den Regelsatz von oben nach unten. | ||
|- | |||
Richtung | | Richtung || Richtung des Datenverkehrs, siehe auch [https://docs.opnsense.org/manual/firewall.html#firewall-rule-direction Richtung]. | ||
|} | |||
Richtung des Datenverkehrs, siehe auch [https://docs.opnsense.org/manual/firewall.html#firewall-rule-direction Richtung]. | |||
=== Hochverfügbarkeit === | === Hochverfügbarkeit === | ||
Version vom 14. Mai 2025, 07:30 Uhr
Einstellungen
Der Datenverkehr, der durch Ihre Firewall fließt, kann mithilfe von Regeln, die Richtlinien definieren, zugelassen oder abgelehnt werden. In diesem Abschnitt der Dokumentation werden die verschiedenen Einstellungen nach ihrer Verwendung gruppiert beschrieben.
Beschreibende Einstellungen
Einige Einstellungen helfen dabei, Regeln zu identifizieren, ohne den Datenverkehr zu beeinflussen.
| Einstellung | Beschreibung |
|---|---|
| Kategorie | Die Kategorie, zu der diese Regel gehört, kann als Filter in der Übersicht verwendet werden |
| Beschreibung | Beschreibender Text |
Grundeinstellungen
Nachfolgend finden Sie die am häufigsten verwendeten Einstellungen:
| Einstellung | Beschreibung |
|---|---|
| Aktion | Die auszuführende Aktion. |
| Deaktiviert | Deaktiviert eine Regel, ohne sie zu entfernen. Dies kann zu Testzwecken und zur einfachen Aktivierung seltener verwendeter Richtlinien praktisch sein. |
| Schnittstelle | Schnittstelle(n), auf die diese Regel angewendet wird. Sie können Regeln einfach zwischen Schnittstellen kopieren und dieses Feld auf die neue Zielschnittstelle ändern. (Denken Sie daran, die Reihenfolge vor dem Anwenden zu überprüfen. |
| TCP/IP-Version | Gilt diese Regel für IPv4, IPv6 oder beides? |
| Protokoll | Zu verwendendes Protokoll, am häufigsten werden TCP und UDP verwendet. |
| Quelle | Quellnetzwerk oder -adresse. Wenn Sie IPv4 und IPv6 in einer Regel kombinieren, können Sie Aliase verwenden, die beide Adressfamilien enthalten. Sie können mehrere Quellen pro Regel auswählen. |
| Quelle / Umkehren | Quellenauswahl umkehren (z. B. nicht 192.168.0.0/24). Sie können nur einzelne Quellen umkehren. |
| Ziel | Zielnetzwerk oder -adresse, wie bei der Quelle können Sie auch hier Aliase verwenden. Sie können mehrere Ziele pro Regel auswählen. |
| Ziel / Umkehren | Wenn der Filter umgekehrt werden soll, können Sie dieses Kontrollkästchen markieren. Sie können nur einzelne Ziele umkehren. |
| Zielportbereich | Für TCP und/oder UDP können Sie einen Dienst nach Name (http, https) oder Nummer (Bereich) auswählen, Sie können hier auch Aliase verwenden, um die Verwaltung zu vereinfachen. |
| Protokoll | Erstellt einen Protokolleintrag, wenn diese Regel gilt. Mit Firewall ‣ Protokolldateien ‣ Live-Ansicht können Sie überwachen, ob Ihre Regel gilt. |
- Tipp
- Die Verwendung aussagekräftiger Namen erleichtert die Identifizierung des Datenverkehrs in der Live-Protokollansicht.
- Tipp
- Mit der Schaltfläche „Auge“ in der rechten oberen Ecke des Bildschirms können Sie Statistiken zur betreffenden Regel anzeigen (Anzahl der Auswertungen, Anzahl der aktiven Zustände und Datenverkehrszähler).
- Tipp
- Sie können mehrere Quellen oder Ziele pro Regel auswählen, beachten Sie jedoch, dass ein verschachtelter Alias möglicherweise die bessere Wahl ist. Diese Funktion ist besonders nützlich, wenn Sie Sicherheitszonen erstellen möchten.
Traffic Shaping (QoS)
Wenn eine Firewall-Regel hinsichtlich der Anzahl der Pakete, die sie im Laufe der Zeit verarbeiten darf, eingeschränkt werden muss, kann die Regel mit dem Traffic Shaper kombiniert werden.
Der Prozess der Formung wird im Abschnitt Traffic Shaping unserer Dokumentation erläutert. Nachfolgend finden Sie die relevanten Eigenschaften für die Firewall-Regel.
| Einstellung | Beschreibung |
|---|---|
| Traffic Shaping/Regelrichtung | Pakete, die dieser Regel entsprechen, werden in die konfigurierte Warteschlange oder Pipe geleitet |
| Traffic Shaping/umgekehrte Richtung | Pakete, die in die entgegengesetzte Richtung passen, werden in die konfigurierte Warteschlange oder Pipe geleitet |
- Tipp
- Filterregeln sind flexibler als die im Abschnitt „Shaper“ selbst angegebenen, da sie auch mit Aliasen kombiniert werden können. Obwohl diese Funktion noch recht neu ist, lohnt es sich auf jeden Fall, sie sich anzusehen, wenn Sie einen Traffic Shaper benötigen.
Weniger häufig verwendet
Einige Einstellungen sollten in der Regel auf den Standardwerten belassen werden, können aber auch in der normalen Regelkonfiguration festgelegt werden.
| Einstellung | Beschreibung |
|---|---|
| Quellportbereich | Bei TCP und/oder UDP können Sie auch nach dem vom Client verwendeten Quellport (Bereich) filtern. Da Sie den Quellport in den meisten Fällen nicht beeinflussen können, wird diese Einstellung in der Regel auf dem Standardwert belassen (any). |
| Quick | Wenn ein Paket einer Regel entspricht, die quick angibt, gewinnt die erste übereinstimmende Regel. Wenn quick nicht gesetzt ist, gewinnt die letzte übereinstimmende Regel. Wenn Sie sich nicht sicher sind, verwenden Sie am besten quick-Regeln und interpretieren Sie den Regelsatz von oben nach unten. |
| Richtung | Richtung des Datenverkehrs, siehe auch Richtung. |
Hochverfügbarkeit
Die folgenden Optionen werden speziell für HA-Konfigurationen verwendet.
Keine XMLRPC-Synchronisierung
Deaktivieren Sie die Konfigurationssynchronisierung für diese Regel, wenn die Synchronisierung der Firewall-Regeln unter System ‣ Hochverfügbarkeit ‣ Einstellungen
Zustandstyp / KEIN pfsync
Verhindern Sie, dass durch diese Regel erstellte Zustände mit dem anderen Knoten synchronisiert werden.
Zeitplan
Regeln können auch so geplant werden, dass sie an bestimmten Tagen oder in bestimmten Zeiträumen aktiv sind. Sie können Zeitpläne unter Firewall ‣ Erweitert ‣ Zeitpläne erstellen und einen davon in der Regel auswählen.
Richtlinienbasiertes Routing
Diese Funktion kann verwendet werden, um Datenverkehr anhand von detaillierteren Filtern als statische Routen (OSI-Schicht 4 gegenüber OSI-Schicht 3) an ein anderes Gateway weiterzuleiten, und kann zum Aufbau von Multi-WAN-Szenarien mit Gateway-Gruppen verwendet werden.
Weitere Informationen zu Multi-WAN finden Sie im Kapitel „Multi-WAN“.
Gateway
Wenn ein Gateway angegeben ist, verwenden Pakete das richtlinienbasierte Routing unter Verwendung des angegebenen Gateways oder der angegebenen Gateway-Gruppe. Normalerweise wird diese Option auf der empfangenden Schnittstelle (z. B. LAN) festgelegt, die dann das hier angegebene Gateway auswählt. (Die Standard-Routing-Regeln werden dabei ignoriert.) Nur Pakete, die in die gleiche Richtung wie die Regel fließen, sind von diesem Parameter betroffen, die entgegengesetzte Richtung (Antworten) ist von dieser Option nicht betroffen.
Antwort
Standardmäßig wird der Datenverkehr immer an das mit der Schnittstelle verbundene Gateway gesendet. Wenn Sie aus irgendeinem Grund nicht möchten, dass der Datenverkehr an dieses Gateway weitergeleitet wird, können Sie dieses Verhalten hier deaktivieren oder ein alternatives Ziel festlegen.
Hinweis
Wenn Sie das richtlinienbasierte Routing verwenden, vergessen Sie nicht, lokalen Datenverkehr auszuschließen, der nicht weitergeleitet werden soll. Dazu können Sie eine Regel mit einer höheren Priorität erstellen und ein Standard Gateway
Unserer Erfahrung nach kann die Paketaufzeichnungsfunktion (Schnittstellen ‣ Diagnose ‣ Paketaufzeichnung) ein wertvolles Werkzeug sein, um zu überprüfen, ob der Datenverkehr wirklich in die erwartete Richtung fließt. Wählen Sie einfach einen zu überwachenden Host aus und versuchen Sie, einige Pakete auszutauschen. Wenn Sie alle Schnittstellen auswählen, können Sie leicht erkennen, wohin der Datenverkehr fließt.
Verbindungslimits
Die erweiterten Optionen enthalten einige Einstellungen, um die Verwendung einer Regel zu beschränken oder bestimmte Zeitlimits für sie festzulegen. Die meisten allgemeinen (Standard-)Einstellungen für diese Optionen finden Sie unter Firewall ‣ Einstellungen ‣ Erweitert
Maximale Zustände
Begrenzt die Anzahl der gleichzeitigen Zustände, die die Regel erstellen kann. Wenn dieses Limit erreicht ist, werden weitere Pakete, die einen Zustand erstellen würden, erst dann mit dieser Regel abgeglichen, wenn die bestehenden Zustände abgelaufen sind.
Maximale Quellknoten
Begrenzt die maximale Anzahl von Quelladressen, die gleichzeitig Einträge in der Zustandstabelle haben können.
Maximal etabliert
Begrenzt die maximale Anzahl gleichzeitiger TCP-Verbindungen, die den 3-Wege-Handshake abgeschlossen haben, die ein einzelner Host herstellen kann.
Max. Quellzustände
Begrenzt die maximale Anzahl gleichzeitiger Zustandseinträge, die eine einzelne Quelladresse mit dieser Regel erstellen kann.
Max. neue Verbindungen
Begrenzt die Rate neuer Verbindungen über einen bestimmten Zeitraum. Die Verbindungsrate ist ein Näherungswert, der als gleitender Durchschnitt berechnet wird. (Anzahl der Verbindungen / Sekunden) Gilt nur für TCP-Verbindungen.
Zustandszeitlimit
Status-Timeout in Sekunden (gilt nur für TCP)
Erweitert
Einige weniger häufig verwendete Optionen sind unten definiert.
Quell-Betriebssystem
Betriebssysteme können anhand einiger TCP-Felder der ursprünglichen Verbindung identifiziert werden. Diese Fingerabdrücke können auch zum Abgleichen des Datenverkehrs verwendet werden. (Ausführlichere Informationen finden Sie in der pf.os-Manpage.
Zulässige Optionen
Standardmäßig blockiert die Firewall IPv4-Pakete mit IP-Optionen oder IPv6-Pakete mit gesetzten Routing-Erweiterungs-Headern. Wenn Sie eine Anwendung haben, die solche Pakete benötigt (z. B. Multicast oder IGMP), können Sie diese Option aktivieren.
TCP-Flags
Wenn bestimmte TCP-Flags gesetzt oder zurückgesetzt werden müssen, können Sie diese hier angeben.
Priorität festlegen
Paketen, die dieser Regel entsprechen, wird eine bestimmte Warteschlangenpriorität zugewiesen. Wenn das Paket über eine VLAN-Schnittstelle übertragen wird, wird die Warteschlangenpriorität als Prioritätscode in den 802.1Q-VLAN-Header geschrieben. Wenn zwei Prioritäten angegeben sind, werden Pakete mit einem TOS von „lowdelay“ und TCP-ACKs ohne Datenpayload der zweiten Priorität zugewiesen.
Priorität abgleichen
Nur Pakete abgleichen, denen die angegebene Warteschlangenpriorität zugewiesen ist.
Lokales Tag setzen
Pakete, die dieser Regel entsprechen, werden mit der angegebenen Zeichenfolge getaggt. Das Tag fungiert als interne Markierung, mit der diese Pakete später identifiziert werden können. Dies kann beispielsweise verwendet werden, um Vertrauen zwischen Schnittstellen herzustellen und um festzustellen, ob Pakete durch Übersetzungsregeln verarbeitet wurden. Tags sind „sticky“, d. h., das Paket wird auch dann getaggt, wenn die Regel nicht die letzte übereinstimmende Regel ist. Weitere Übereinstimmungsregeln können das Tag durch ein neues ersetzen, entfernen jedoch kein zuvor angewendetes Tag. Ein Paket erhält immer nur ein Tag gleichzeitig.
Lokales Tag abgleichen
Pakete abgleichen, die zuvor (mit „Lokales Tag setzen“) getaggt wurden.
Status
Beeinflusst den verwendeten Statusverfolgungsmechanismus. Die folgenden Optionen sind verfügbar. Im Zweifelsfall ist es in der Regel am besten, die Standardeinstellung beizubehalten. Status beibehalten* Status beibehalten ‣ wird für die statusorientierte Verbindungsverfolgung verwendet.
- Sloppy state ‣ funktioniert wie „keep state“, überprüft jedoch keine Sequenznummern. Verwenden Sie diese Option, wenn die Firewall nicht alle Pakete sieht.
- Synproxy state ‣ leitet eingehende TCP-Verbindungen weiter, um Server vor gefälschten TCP-SYN-Floods zu schützen. Diese Option umfasst die Funktionen von „keep state“ und „modulate state“ kombiniert.
- None ‣ Verwendet keine Statusmechanismen zur Nachverfolgung.