41. Kapitel - Vollständige Regellisten

Vollständige Firewall-Regellisten erlauben die volle Funktionalität der Firewall einzusetzen und sind daher etwas komplexer zu konfigurieren als die Firewall-Profile.

41.1. Komponenten

Um die Firewall-Konfigurationsoberfläche nicht mit IP-Adressen und Portnummern zu überfrachten, werden IPs, Netze etc. in Netzgruppen sowie Protokolle, Portnummern und -bereiche in Diensten zusammengefasst. Diese werden vorher zentral zusammengestellt und können dann in allen Firewall-Regeln eingesetzt werden. Zusätzlich werden die wichtigsten Dienste bereits in der Grundkonfiguration vordefiniert mit ausgeliefert.

41.1.1. Dienste

Unter „Netzwerk > Firewall > Dienste“ können Protokolle und Portnummern unter einem Dienst-Namen zusammengefasst werden. Dadurch werden sie in Firewall-Regeln nutzbar.

Ein Dienst besteht aus frei eingetragenen Ports und Protokollen ("Freier Dienst") sowie aus anderen, bereits konfigurierten Diensten ("Verwendete Dienste"). Dadurch können Dienste aus mehreren anderen Diensten zusammengesetzt werden. Dies macht vor allem dann Sinn, wenn ein Protokoll aus mehreren Unterprotokollen besteht. Ein gutes Beispiel hierfür ist FTP, welches sich aus der FTP-Kontrollverbindung und der FTP-Datenverbindung zusammensetzt.

Bei den Protokollen TCP und UDP können sowohl Quell- als auch Zielports angegeben werden. Beide Male sind Sie nicht auf einzelne Ports beschränkt, sondern können auch komplette Portbereiche (wie z.B. Zielports 5000 bis 5050 für die Fernwartung des Intra2net Supports) konfigurieren.

[Hinweis]Hinweis

Beachten Sie bitte, dass bei TCP typischerweise nur die Zielports festgelegt sind und der Quellport vom Client frei gewählt werden kann. Daher wird normalerweise nur der Zielport im Intra2net System eingetragen.

41.1.2. Netzgruppen

Unter „Netzwerk > Firewall > Netzgruppen“ können IPs, IP-Netze und IP-Bereiche als Netzgruppe zusammengefasst werden. Dadurch sind sie in Firewall-Regeln nutzbar. Alle Rechner, Netzbereiche, Routings etc., die Sie im Intra2net System in den entsprechenden Menüs eingetragen haben, sind direkt als Netzobjekte in der Firewall verfügbar und müssen nicht zuerst als Netzgruppe konfiguriert werden.

Genau wie bei den Diensten kann eine Netzgruppe andere Netzgruppen enthalten.

Einzelne IPs werden unter "Freier Rechner/Subnetz" mit der Netzmaske 255.255.255.255 eingetragen. Möchten Sie einen Netzbereich konfigurieren, der auch als IP-Netz darstellbar ist (z.B. IPs von 192.168.1.0 bis 192.168.1.255), dann empfiehlt es sich, diesen als IP-Netz mit der passenden Netzmaske (im Beispiel IP 192.168.1.0 mit Netzmaske 255.255.255.0) einzutragen. Dies führt intern zu schlankeren und schnelleren Firewallregeln.

41.1.3. Automatische Objekte

Das Intra2net System fasst ihm bekannte Objekte zu automatischen Objekten zusammen. Einige dieser Objekte hängen auch vom aktuellen Zustand ab, z.B. der aktuellen Internet-IP. Diese können direkt in Firewall-Regeln eingesetzt werden und bedürfen keiner weiteren Konfiguration.

Liste der automatischen Objekte:

ObjektBeschreibung
Rechner und BereicheAlle im Intra2net System definierten Rechner und Bereiche. Bei DHCP-Bereichen betrifft dies nur die belegten IPs.
DHCP-BereicheAlle DHCP-Bereiche (auch die nicht belegten IPs).
Fernzugriff-AnschlüsseIP-Adressen, die für Fernzugriff konfiguriert sind.
Entfernte VPN NetzeDie Netze hinter den aktuell aktiven VPN-Gegenstellen. Bei „LAN zu Host“-Verbindungen ist dies die VPN-Gegenstelle selbst.
IPs des Systems im LANIP-Adressen des Intra2net Systems in allen seinen Netzen vom Typ „LAN mit NAT“ und „LAN ohne NAT“.
Alle lokalen NetzeAlle Netze („LAN mit NAT“ und „LAN ohne NAT“) und Routings.
Broadcast-IPs aller lokalen NetzeBroadcast-IPs aller lokalen Netze.
Aktuelle Internet IPAktuelle IP des Intra2net Systems im Internet. Ist das System offline, so trifft diese Bedingung nicht mehr zu.
InternetAlles außerhalb der lokalen Netze und VPNs.