2.6.3. Firewall-Einstellungen

2.6.3.1. Konfiguration

Der erste Abschnitt erlaubt Ihnen administrativen Zugriff (via https und ssh) auf spezifische Netze, soweit verfügbar, (GRÜN, BLAU, OpenVPN, IPsec) zu kontrollieren.

Abbildung 2.43. Firewall-Einstellungen

Firewall settings screenshot


Admin-Netzwerk.  Klicken Sie jedes Netzwerk an, das Sie zum Administrieren öffnen wollen.

Falls Sie SSH Zugriff haben wollen, vergessen Sie nicht, ihn auf der Webseite SSH-Zugriff einzuschalten.

Falls zusätzlich eine MAC-Adresse gesetzt ist, so wird kombiniert; d.h., falls Sie GRÜN und BLAU aktiviert haben und eine MAC-Adresse gesetzt ist, hat nur diese eine Maschine aus den Netzen GRÜN und BLAU administrativen Zugriff.

Zusätzliche Regeln zum Öffnen können immer durch Erstellen von Firewall-Regeln gemacht werden.

Erweiterter Modus.  Wählen Sie diese Checkbox, um folgende zusätzliche, aber selten verwendete, Optionen für das Erstellen von Firewall-Regeln zu benutzen:

  • Option, um das Protokollieren einzuschränken.

  • Option, um einen Zeitrahmen für die Regel festzulegen (z.B. Websurfen ist für die Kinder nur zwischen 19:00 und 21:00 erlaubt).

  • Hinzufügen von eigenen Schnittstellen.

  • Regeln für eigene Schnittstellen erstellen.

  • Einen Quell-Port zu Regeln hinzufügen.

  • Möglichkeit, um Quelle, Ziel, Quell-Port und Ziel-Dienst zu 'Invertieren'.

Einstellungen der Web-GUI.  Klicken Sie diese Box an, um die Schnittstellen-Farben in der Firewall-Regeln-Seite anzuzeigen.

Speichern.  Drücken Sie den Speichern-Button, um Ihre Einstellungen zu speichern.

Zurücksetzen.  Drücken Sie den Zurücksetzen-Button, um die Einstellungen wieder auf die Standardwerte zu setzen.

2.6.3.2. Schnittstellenrichtlinien

Der zweite Abschnitt zeigt die derzeit aktiven Schnittstellen und deren Protokollierungs- und Richtlinien-Einstellungen.

Abbildung 2.44. Schnittstellenrichtlinien

Interface policies screenshot


Für jede Schnittstelle gibt es diverse Einstellungen, die erste (und wichtigste) ist die Richtlinie.

Es gibt drei Richtlinien:

Offen.  Diese Richtlinie öffnet eine Schnittstelle zu einer genauso sicheren oder einer weniger sicheren Schnittstelle. Dies ermöglicht auch Zugriff auf IPCop-Dienste.

Halb offen.  Diese Richtlinie ermöglicht Zugriff auf IPCop-Dienste.

Geschlossen.  Verschließt eine Schnittstelle vollständig. Wenn Zugriff von einer 'Geschlossen'-Schnittstelle nötig ist, muss eine spezielle Regel erstellt werden.

Anmerkung

Es gibt keine Halb offen Richtlinie für ORANGE.

Es gibt nur eine Geschlossen Richtlinie für ROT.

Protokollierung.  Mit einem einfachen Klick ist das Protokollieren an einer Schnittstelle abgeschaltet. (Das verhindert das Auffüllen der Festplatte mit geblockten 'Zugriffs'-Versuchen vom Internet).

Klicken Sie erneut auf die Checkbox, um das Protokollieren einzuschalten.

Standard-'Deny'-Aktion.  REJECT (Zurückweisen) oder DROP (Verwerfen).

Die Empfehlung ist DROP für ROT und REJECT für alle anderen Schnittstellen.

DROP bewirkt ein stilles Verwerfen von einem Paket. REJECT lehnt ein Paket ab und schickt ein ICMP 'port unreachable' an den Sender zurück.

Wahrscheinlich wollen Sie kein REJECT für Pakete aus dem Internet, weil dies möglicherweise zu einem DoS führen kann.

Für interne Schnittstellen ist Zurückweisen eine gute Idee. Ein Client bekommt unmittelbar eine Fehlermeldung und muss nicht auf einen Zeitüberlauf warten.

Adressfilter.  Falls für BLAU der Adressfilter aktiviert ist, haben nur diejenigen Clients, welche auf der Adressfilter-Liste sind, Zugriff gemäß Richtlinie.

Clients welche gemäß Adressfilter-Liste nicht erlaubt sind, können nur DHCP benutzen und IPsec und/oder OpenVPN Tunnel aufbauen.

Falls der Adressfilter nicht eingeschaltet ist, haben alle Clients Zugriff, abhängig von der Richtlinie.

Das alles ist nur wirksam, falls Sie eine Netzwerkkarte BLAU installiert haben.

Aktion.  Klicken Sie auf das gelbes-Bleistift-Icon um eine Richtlinie zu ändern.

2.6.3.3. Standard-Einstellungen

GRÜN ist das einzige standardmäßig aktivierte Administrativ-Netzwerk.

ROT hat ''Geschlossen' als Richtlinie. Alle anderen haben eine 'Offen' Richtlinie.

ROT hat 'DROP' als Standard-'Deny'-Aktion. Alle anderen haben 'REJECT'.

Das Protokollieren ist aktiv auf allen Schnittstellen.

Adressfilter ist eingeschaltet.