Eigene Firewall-Regeln
Die TightGate™-Firewall generiert für alle Menüeinträge automatisch alle notwendigen Firewall-Regeln. Diese können jedoch um individuelle Regelsätze erweitert werden. Um eine neue Firewall-Regel zu erstellen oder eine bestehende zu konfigurieren, melden Sie sich bitte als Benutzer config an und wählen dann den Menüpunkt Einstellungen>Custom Settings aus. Dort finden Sie Untermenüs für weitere Netzwerkanschlüsse, eigene Durchleitungs-, Eingangs- und Ausgangsregeln, sowie für eigene Routingregeln.
Um eine neue Regel zu erstellen wählen Sie bitte jeweils den Menüpunkt Neu aus. Um eine bestehende Regel zu konfigurieren navigieren Sie bitte auf die zu ändernde Regel und wählen Sie diese aus. Es erscheint ein Menü, wo Sie einzelne Änderungen vornehmen können.
Anleitung zu Erstellung einer neuen Firewall-Durchleitungs-Regel:
- Wählen Sie bitte aus dem Custom Settings-Menü Custom Forward Rules den Menüpunkt Neu aus. Sie werden nun nach der Nummer der neuen Regel gefragt. Bitte beachten Sie, dass die Nummerierung der Regel gleichzeitig die Priorität der Ausführung festlegt.
Die Regeln werden immer in Reihenfolge ihrer Nummern abgearbeitet, und zwar vor allen anderen FORWARDING-Regeln, aber nach den ESTABLISHED-Regeln. Das bedeutet, dass nur neue Verbindungen über diese Regeln kontrolliert werden.
Hinweis: Es ist nicht ratsam die erste Regel mit 1 zu nummerieren, da sonst keine Regeln mehr mit höherer Priorität angelegt werden können. Beginnen Sie die Nummerierung mit 100. Die höchste erlaubte Nummer ist 1000. Sie können die Nummern selbstverständlich auch nachträglich ändern.
- Geben Sie der Regel einen Namen. Dieser sollte so gewählt werden, dass Sie an Hand des Namens erkennen können, welche Regelung Sie getroffen haben.
- Wählen Sie ein Protokoll aus, für welches die Regel gelten soll. Wenn die Regel für alle Protokolle gelten soll, so wählen Sie bitte all (Alle Pakete) aus.
- Als nächstes werden Sie nach der IP-Adresse des Absenders der Pakete gefragt. Die IP-Adresse wird in der Form a.b.c.d/validbits angegeben. Wenn Sie diese Eingabe leer lassen, gilt die Regel für alle Absender.
Beispiel:
| Adressen im Netzwerk | IP-Adresse | Valid Bits | Eintragung in Firewall-Regel |
|---|---|---|---|
| 0.0.0.1 – 255.255.255.254 | alle | 0 | 0.0.0.0/0 oder leer |
| 192.0.0.1 bis 192.255.255.254 | 192.0.0.1 | 8 | 192.0.0.1/8 |
| 192.168.0.1 bis 192.168.255.254 | 192.168.1.1 | 16 | 192.168.0.1/16 |
| 192.168.0.1 bis 192.168.0.254 | 192.168.0.1 | 24 | 192.168.0.1/24 |
| 192.168.7.12 | 192.168.7.12 | 32 | 192.168.7.12/32 oder 192.168.7.12 |
- Im nächsten Eingabefeld werden Sie nach der IP-Adresse des Empfängers gefragt. Tragen Sie diese bitte in analoger Form zur Absender IP-Adresse ein. Wenn Sie diese Eingabe leer lassen, gilt die Regel für alle Empfänger.
- Absender-Ports für das jeweilige Protokoll. Wenn Sie diese Eingabe leer lassen, gilt die Regel für alle Absender-Ports. Einige Protokolle kennen keine Ports, dort werden keine Ports abgefragt.
- Empfänger Ports für das jeweilige Protokoll. Wenn Sie diese Eingabe leer lassen, gilt die Regel für alle Empfänger-Ports.
- Bitte die Regelwirkung auswählen. Folgende Behandlungsweisen stehen zur Auswahl:
- Accept » Alle Pakete werden durchgelassen
- Drop » Die Pakete werden ignoriert und fallen gelassen
- Reject » Die Pakete werden zurückgewiesen
- Log » Die Pakete werden protokolliert, jedoch nur die Pakete, die eine neue Verbindung öffnen. Achtung: Bei der Wirkung Log geht es anschließend weiter zur nächsten Regel!
- Redirect (nur Input-Regel für tcp und udp): Umleitung auf einen lokalen Port, z.B. für transparente Proxies.
Wenn Sie Pakete protokollieren und dann ablehnen möchten, benötigen Sie zwei Regeln: Die erste Regel protokolliert, die zweite lehnt ab.
ACHTUNG
Wenn Sie alle Einstellungen vorgenommen haben, verlassen Sie das Menü. Speichern Sie nun alle Änderungen über den Menüpunkt Speichern ab und wenden Sie diese mit dem Menüpunkt Sanft Anwenden an. Erst nach dem Anwenden werden die Einstellungen wirksam.