Firewalleinstellungen
Dieser Abschnitt enthält Informationen zur Firewallkonfiguration.
Standard-Firewall festlegen
Der Standardabschnitt deklariert die globalen Firewall-Einstellungen, die nicht zu bestimmten Zonen gehören.
Syntax
|
| Name | Typ | Erforderlich | Standard | Beschreibung |
|---|---|---|---|---|
input | Zeichenfolge | Nein | REJECT | Legt die Richtlinie für die INPUT-Kette der Filtertabelle fest. |
output | Zeichenfolge | Nein | REJECT | Legt die Richtlinie für die OUTPUT-Kette der Filtertabelle fest. |
forward | Zeichenfolge | Nein | REJECT | Legt die Richtlinie für die FORWARD-Kette der Filtertabelle fest. |
syn_flood | Boolescher Wert | Nein | 0 | Aktiviert den SYN-Flutschutz (veraltet aufgrund der „synflood_protect“-Einstellung). |
drop_invalid | Boolescher Wert | Nein | 0 | Löscht ungültige Pakete (die z. B. mit keiner aktiven Verbindung übereinstimmen). |
Befehlsbeispiel:
|
Neue Zone hinzufügen
In diesem Abschnitt werden allgemeine Eigenschaften von test
definiert. Die Optionen „input“ und „output“ legen die Standardrichtlinien für den Datenverkehr fest, der in die Zone eingeht und diese verlässt. Die Option „forward“ beschreibt die Richtlinie für den weitergeleiteten Datenverkehr zwischen verschiedenen Netzwerken innerhalb der Zone. Betroffene Netzwerke geben an, welche verfügbaren Netzwerke zu dieser Zone gehören.
Syntax
|
Parameter | Typ | Erforderlich | Standard | Beschreibung |
|---|---|---|---|---|
Name | Zonenname | Ja | Keine | Eindeutiger Zonenname. Der Firewall-Zonenname darf maximal 11 Zeichen lang sein. |
input | Zeichenfolge | Nein | REJECT | Legt die Richtlinie für die INPUT-Kette der Filtertabelle fest. |
output | Zeichenfolge | Nein | REJECT | Legt die Richtlinie für die OUTPUT-Kette der Filtertabelle fest. |
forward | Zeichenfolge | Nein | REJECT | Legt die Richtlinie für die FORWARD-Kette der Filtertabelle fest. |
masq | Boolescher Wert | Nein | 0 | Gibt an, ob der ausgehende Zonendatenverkehr getarnt werden soll; ist in der WAN-Zone in der Regel aktiviert. |
mtu_fix | Boolescher Wert | Nein | 0 | Aktiviert MSS-Clamping für den ausgehenden Zonendatenverkehr. |
Netz | list | Nein | Keine | Liste der mit dieser Zone verbundenen Schnittstellen. Wenn die Option ausgelassen und keine zusätzlichen* Optionen, Subnetze oder Einheiten angegeben werden, wird standardmäßig der Wert des Namens verwendet. Aliasschnittstellen, die in der Netzwerkkonfiguration definiert werden, können nicht als gültige „eigenständige“ Netzwerke verwendet werden. Verwenden Sie die Listensyntax wie in der UCI beschrieben. |
family | Zeichenfolge | Nein | 0 | Protokollfamilie (IPv4, IPv6 oder beliebig), für die iptables-Regeln generiert werden. |
masq_src | Liste der Subnetze | Nein | 0.0.0.0/0 | Begrenzt die Tarnung auf die angegebenen Quellsubnetze. Negation ist möglich, indem das Subnetz mit dem Präfix „!“ versehen wird; es sind mehrere Subnetze zulässig. |
masq_dest | Liste der Subnetze | Nein | 0.0.0.0/0 | Begrenzt die Tarnung auf die angegebenen Zielsubnetze. Negation ist möglich, indem das Subnetz mit dem Präfix „!“ versehen wird; es sind mehrere Subnetze zulässig. |
conntrack | Boolescher Wert | Nein | „1“ bei Verwendung der Tarnung, andernfalls „0“. | Erzwingt die Verbindungsverfolgung für diese Zone (siehe Hinweis zur Verbindungsverfolgung). |
Protokoll | Boolescher Wert | Nein | 0 | Erstellt Protokollregeln für abgelehnten und gelöschten Datenverkehr in dieser Zone. |
log_limit | Zeichenfolge | Nein | 10/Minute | Begrenzt die Anzahl der Protokollnachrichten pro Intervall. |
Befehlsbeispiel:
|
Neue Weiterleitung hinzufügen
Die Weiterleitungsabschnitte steuern den Datenverkehr zwischen den Zonen und ermöglichen MSS-Clamping für bestimmte Richtungen. Nur eine Richtung wird durch eine Weiterleitungsregel abgedeckt. Um bidirektionalen Datenverkehr zwischen zwei Zonen zu ermöglichen, sind zwei Weiterleitungen erforderlich, wobei „src“ und „dest“ jeweils umgekehrt werden.
Syntax
|
| Parameter | Typ | Erforderlich | Standard | Beschreibung |
|---|---|---|---|---|
src | Zonenname | Ja | Keine | Gibt die Quellzone für den Datenverkehr an. Muss sich auf einen der definierten Zonennamen beziehen. |
dest | Zonenname | Ja | Keine | Gibt die Zielzone für den Datenverkehr an. Muss sich auf einen der definierten Zonennamen beziehen. |
Befehlsbeispiel:
|
Neue Portweiterleitung hinzufügen
Portweiterleitungen (DNAT) werden durch Umleitungsabschnitte definiert. Der gesamte eingehende Datenverkehr in der angegebenen Quellzone, der mit den angegebenen Regeln übereinstimmt, wird an den angegebenen internen Host weitergeleitet. Umleitungen werden gemeinhin auch als „Portweiterleitung“ und „virtuelle Server“ bezeichnet. Portbereiche werden als „start:stop“ angegeben, z. B. 6666:6670. Dies ähnelt der iptables-Syntax.
Syntax
|
| Parameter | Typ | Erforderlich | Standard | Beschreibung |
|---|---|---|---|---|
enabled | Zeichenfolge | Nein | 1 oder ja | Aktiviert die Umleitungsregel oder nicht. |
Name | Zeichenfolge | Nein | Keine | Eindeutiger Umleitungsname. |
proto | Protokollname oder -nummer | Ja | tcp udp | Gleicht den eingehenden Datenverkehr mit dem angegebenen Protokoll ab. |
src | Zonenname | Nein | Ja für DNAT-Ziel | Gibt die Quellzone für den Datenverkehr an. Muss sich auf einen der definierten Zonennamen beziehen. Für typische Portweiterleitungen ist dies normalerweise WAN. |
src_mac | MAC-Adresse | Nein | Keine | Gleicht den eingehenden Datenverkehr von der angegebenen MAC-Adresse ab. |
src_ip | IP-Adresse | Nein | Keine | Gleicht den eingehenden Datenverkehr von der angegebenen Quell-IP-Adresse ab. |
src_port | Port oder Bereich | Nein | Keine | Gleicht den eingehenden Datenverkehr aus dem angegebenen Quell-Port oder -Portbereich (z. B. „5000–5100“) auf dem Clienthost ab. |
src_dip | IP-Adresse | Ja für SNAT-Ziel | Keine | Gleicht bei DNAT den eingehenden Datenverkehr ab, der an die angegebene Ziel-IP-Adresse gerichtet ist. Bei SNAT wird die Quelladresse in die angegebene Adresse umgeschrieben. |
src_dport | Port oder Bereich | Nein | Keine | Gleicht bei DNAT den eingehenden Datenverkehr ab, der an den angegebenen Ziel-Port oder -Portbereich (z. B. „5000–5100“) auf diesem Host gerichtet ist. Bei SNAT werden die Quell-Ports in den angegebenen Wert umgeschrieben. |
dest | Zonenname | Ja für SNAT-Ziel | Keine | Gibt die Zielzone für den Datenverkehr an. Muss sich auf einen der definierten Zonennamen beziehen. Bei DNAT-Ziel bei Verhaltensanpassung; NAT-Reflexion funktioniert nur, wenn dies gleich LAN ist. |
dest_ip | IP-Adresse | Ja für DNAT-Ziel | Keine | Leitet bei DNAT den übereinstimmenden eingehenden Datenverkehr an den angegebenen internen Host um. Gleicht bei SNAT den Datenverkehr ab, der an die angegebene Adresse gerichtet ist. Wenn bei DNAT der dest_ip-Wert mit den lokalen IP-Adressen des Routers übereinstimmt (siehe „ifconfig“), wird die Regel in eine DNAT + Input-„accept“-Regel übersetzt. Andernfalls handelt es sich um eine DNAT + Weiterleitungsregel. |
dest_port | Port oder Bereich | Nein | Keine | Leitet bei DNAT den übereinstimmenden eingehenden Datenverkehr an den angegebenen Port auf dem internen Host um. Gleicht bei SNAT den Datenverkehr an, der an die angegebene Ports gerichtet ist. Es kann nur ein Port oder Bereich angegeben werden (z. B. „5000–5100“), nicht unterschiedliche Ports wie bei Regeln (unten). |
reflection | Boolescher Wert | Nein | 1 | Aktiviert die NAT-Reflexion für diese Umleitung – anwendbar auf DNAT-Ziele. |
Befehlsbeispiel:
|
Neue Datenverkehrsregel hinzufügen
Portweiterleitungen (DNAT) werden durch Umleitungsabschnitte definiert. Der gesamte eingehende Datenverkehr in der angegebenen Quellzone, der mit den angegebenen Regeln übereinstimmt, wird an den angegebenen internen Host weitergeleitet. Umleitungen werden gemeinhin auch als Portweiterleitung
und virtuelle Server
bezeichnet. Portbereiche werden als „start:stop“ angegeben, z. B. 6666:6670. Dies ähnelt der iptables-Syntax.
Syntax
|
| Parameter | Typ | Erforderlich | Standard | Beschreibung |
|---|---|---|---|---|
enabled | Boolescher Wert | Nein | Ja | Aktiviert oder deaktiviert die Regel. |
Name | Zeichenfolge | Nein | Keine | Eindeutiger Regelname. |
family | Zeichenfolge | Nein | Beliebig | Protokollfamilie (IPv4, IPv6 oder beliebig), für die iptables-Regeln generiert werden. |
proto | Protokollname oder -nummer | Nein | tcp udp | Gleicht den eingehenden Datenverkehr mit dem angegebenen Protokoll ab. Kann entweder tcp, udp, tcpudp, udplite, icmp, esp, ah, sctp oder alle sein oder ein numerischer Wert, der eines dieser Protokolle oder ein anderes darstellt. Ein Protokollname von /etc/protocols ist ebenfalls zulässig. Die Zahl 0 entspricht „alle“. |
src | Zonenname | Ja (optional seit Firewall v2, Version 58 und höher) | Keine | Gibt die Quellzone für den Datenverkehr an. Muss sich auf einen der definierten Zonennamen beziehen. |
src_mac | MAC-Adresse | Nein | Keine | Gleicht den eingehenden Datenverkehr von der angegebenen MAC-Adresse ab. |
src_ip | IP-Adresse | Nein | Keine | Gleicht den eingehenden Datenverkehr von der angegebenen Quell-IP-Adresse ab. |
src_port | Port oder Bereich | Nein | Keine | Gleicht den eingehenden Datenverkehr vom angegebenen Quell-Port oder -Portbereich (z. B. „5000:5100“, Portbereich gilt nicht für alle Protokolle) ab, falls ein relevantes Protokoll angegeben ist. Es können mehrere Ports wie „80 443 465“ 1 angegeben werden. |
dest | Zonenname | Nein | Keine | Gibt die Zielzone für den Datenverkehr an. Muss sich auf einen der definierten Zonennamen beziehen oder * für eine beliebige Zone. Sofern angegeben, gilt die Regel für weitergeleiteten Datenverkehr. Andernfalls wird sie als Eingaberegel behandelt. |
dest_ip | IP-Adresse | Nein | Keine | Gleicht den eingehenden Datenverkehr ab, der an die angegebene Ziel-IP-Adresse gerichtet ist. Ohne Zielzone wird dies als Eingaberegel behandelt! |
dest_port | Port oder Bereich | Nein | Keine | Gleicht den eingehenden Datenverkehr am angegebenen Ziel-Port oder -Portbereich (z. B. „5000:5100“, Portbereich gilt nicht für alle Protokolle) ab, falls ein relevantes Protokoll angegeben ist. Es können mehrere Ports wie „80 443 465“ 1 angegeben werden. |
target | Zeichenfolge | Ja | DROP | Aktiviert die NAT-Reflexion für diese Umleitung – anwendbar auf DNAT-Ziele. |
weekdays | Liste der Wochentage | Nein | (immer) | Sofern angegeben, wird nur der Datenverkehr während der angegebenen Wochentage abgeglichen, z. B. So Mo Do Fr für nur sonntags, montags, donnerstags und freitags. Sie können die Liste invertieren, indem Sie ihr ein Ausrufezeichen voranstellen, z. B. „! sat sun“, damit die Werte immer übereinstimmen, außer samstags und sonntags. |
monthdays | Liste mit Datumswerten | Nein | (immer) | Sofern angegeben, wird der Datenverkehr nur während der angegebenen Tage des Monats abgeglichen, z. B. 2 5 30, damit die Werte nur an jedem 2., 5. und 30. Tag des Monats übereinstimmen. Sie können die Liste invertieren, indem Sie ihr ein Ausrufezeichen voranstellen, z. B. „! 31“, damit die Werte immer übereinstimmen, außer am 31. des Monats. |
start_time | Zeit (hh:mm:ss) | Nein | (immer) | Sofern angegeben, wird nur der Datenverkehr nach der angegebenen Tageszeit abgeglichen (jeweils einschließlich). |
stop_time | Zeit (hh:mm:ss) | Nein | (immer) | Sofern angegeben, wird nur der Datenverkehr vor der angegebenen Tageszeit abgeglichen (jeweils einschließlich). |
start_date | Datum (yyyy-mm-dd) | Nein | (immer) | Sofern angegeben, wird nur der Datenverkehr nach dem angegebenen Datum abgeglichen (jeweils einschließlich). |
stop_date | Datum (yyyy-mm-dd) | Nein | (immer) | Sofern angegeben, wird nur der Datenverkehr vor dem angegebenen Datum abgeglichen (jeweils einschließlich). |
utc_time | Boolescher Wert | Nein | 0 | Behandelt alle angegebenen Zeitwerte als UTC-Zeit anstelle der Ortszeit. |
Befehlsbeispiel:
|
Neue Quell-NAT hinzufügen
Die Quell-NAT ändert ein ausgehendes Paket so, dass es so aussieht, als ob das integrierte Switch-System die Quelle des Pakets ist.
Definieren Sie die Quell-NAT für UDP- und TCP-Datenverkehr, der an Port 123 vom Host mit der IP-Adresse 10.55.34.85 geleitet wird. Die Quelladresse wird in 63.240.161.99 umgeschrieben:
|