 |
Online-Hilfe |
Netzfilter - Beispiele für typische Filterregeln
Im Folgenden sind einige exemplarische Filterregeln aufgeführt, wie sie beispielsweise auch von den Assistenten angelegt werden. Wenn Sie Ihren Router ohne die Unterstützung der Assistenten in Betrieb nehmen, können Sie sich je nach Anwendung an diesen Regeln orientieren.
Regeln für allgemeine Router-Funktionen (in den Werkseinstellungen bereits angelegt)
| aktiv | Typ | IP-Version | Protokoll | Von | Nach | Beschreibung | Kommentar |
| ✔ | INPUT | Alle | TCP | net1 | Port: 80 | Config port: allow HTTP interface | Ermöglicht den lokalen Zugriff auf das Web-Interface über HTTP |
| ✔ | INPUT | Alle | TCP | net1 | Port: 443 | Config port: allow HTTPS interface | Ermöglicht den lokalen Zugriff auf das Web-Interface über HTTPS |
| OUTPUT | Alle | TCP | all, Port: 443 | INSYS Update Server: allow HTTPS | Ermöglicht FW-Download vom Update-Server |
Regeln für allgemeine Router-Funktionen
| aktiv | Typ | IP-Version | Protokoll | Von | Nach | Beschreibung | Kommentar |
| INPUT | Alle | TCP | net1, net2 | Port: 22 | Local access to command line via SSH | Ermöglicht den lokalen Zugriff auf die CLI über SSH | |
| ✔ | INPUT | Alle | ICMP | net1, net2 | ICMP pings from the local net | Ermöglicht das "Anpingen" der Teilnehmer im lokalen Netz | |
| ✔ | INPUT | Alle | UDP | net1 | Port: 67 | DHCP queries from the local net | Ermöglicht das Annehmen von DHCP-Anfragen aus dem lokalen Netz - erforderlich, wenn der Router als DHCP-Server fungieren soll |
| ✔ | INPUT | Alle | UDP | net1, net2 | Port: 53 | DNS queries from the local net | Ermöglicht das Annehmen von DNS-Anfragen aus dem lokalen Netz - erforderlich, wenn der Router als DNS-Relay fungieren soll |
| ✔ | INPUT | Alle | TCP | net1, net2 | Port: 53 | DNS queries from the local net | Ermöglicht das Annehmen von DNS-Anfragen aus dem lokalen Netz - erforderlich, wenn der Router als DNS-Relay fungieren soll |
| INPUT | Alle | UDP | net1, net2 | Port: 123 | NTP queries from the local net | Ermöglicht das Annehmen von NTP-Anfragen aus dem lokalen Netz - erforderlich, wenn der Router als NTP-Zeit-Server fungieren soll | |
| ✔ | OUTPUT | Alle | UDP | net1, Port: 68 | DHCP responses to the local net | Ermöglicht DHCP-Antworten im lokalen Netz - erforderlich, wenn der Router als DHCP-Server fungieren soll | |
| ✔ | OUTPUT | Alle | UDP | lte2, Port: 53 | DNS queries sent by the router | Ermöglicht DNS-Anfragen des Routers im WAN (Mobilfunkverbindung über lte2) - erforderlich, wenn der Router als DNS-Relay fungieren soll | |
| ✔ | OUTPUT | Alle | TCP | lte2, Port: 53 | DNS queries sent by the router | Ermöglicht DNS-Anfragen des Routers im WAN (Mobilfunkverbindung über lte2) - erforderlich, wenn der Router als DNS-Relay fungieren soll | |
| ✔ | OUTPUT | Alle | UDP | lte2, Port: 123 | NTP queries sent by the router | Ermöglicht NTP-Anfragen des Routers im WAN (Mobilfunkverbindung über lte2) - erforderlich, wenn der Router seine Systemzeit aktualisieren soll | |
| ✔ | OUTPUT | Alle | UDP | net3, Port: 53 | DNS queries sent by the router | Ermöglicht DNS-Anfragen des Routers im WAN (Netzwerkverbindung über net3) - erforderlich, wenn der Router als DNS-Relay fungieren soll | |
| ✔ | OUTPUT | Alle | TCP | net3, Port: 53 | DNS queries sent by the router | Ermöglicht DNS-Anfragen des Routers im WAN (Netzwerkverbindung über net3) - erforderlich, wenn der Router als DNS-Relay fungieren soll | |
| ✔ | OUTPUT | Alle | UDP | net3, Port: 123 | NTP queries sent by the router | Ermöglicht NTP-Anfragen des Routers im WAN (Netzwerkverbindung über net3) - erforderlich, wenn der Router seine Systemzeit aktualisieren soll |
Regeln für die Kommunikation zwischen den Netzwerken und dem WAN
| aktiv | Typ | IP-Version | Protokoll | Von | Nach | Beschreibung | Kommentar |
| ✔ | FORWARD | Alle | Alle | net1, net2 | net1, net2 | Traffic between the local nets | Ermöglicht die Kommunikation zwischen den Netzen net1 und net2 |
| ✔ | FORWARD | Alle | Alle | net1, net2 | lte2 | Traffic from local net into the WAN | Ermöglicht die Kommunikation zwischen den Netzen net1 bzw. net2 und dem WAN (Mobilfunkverbindung über lte2) |
| ✔ | FORWARD | Alle | Alle | net1, net2 | net3 | Traffic from local net into the WAN | Ermöglicht die Kommunikation zwischen den Netzen net1 bzw. net2 und dem WAN (Netzwerkverbindung über net3) |
Regeln für OpenVPN-Verbindungen zur icom Connectivity Suite - VPN
| aktiv | Typ | IP-Version | Protokoll | Von | Nach | Beschreibung | Kommentar |
| ✔ | OUTPUT | Alle | UDP | Port: 2043 | OpenVPN (tunnel establishment) | Ermöglicht den Aufbau von VPN-Verbindungen zur icom Connectivity Suite - VPN und den Schlüsselaustausch | |
| ✔ | OUTPUT | Alle | Alle | openvpn1 | Traffic through the OpenVPN tunnel sent by the router | Ermöglicht den Versand sämtlicher Daten durch VPN-Tunnel openvpn1 | |
| ✔ | INPUT | Alle | Alle | openvpn1 | Traffic through the OpenVPN tunnel to the router | Ermöglicht den Empfang sämtlicher Daten durch VPN-Tunnel openvpn1 | |
| ✔ | FORWARD | Alle | Alle | net1 | openvpn1 | Traffic from the local net1 through the OpenVPN tunnel | Ermöglicht das Routen sämtlicher Daten aus dem lokalen Netz net1 durch VPN-Tunnel openvpn1 |
| ✔ | FORWARD | Alle | Alle | net2 | openvpn1 | Traffic from the local net2 through the OpenVPN tunnel | Ermöglicht das Routen sämtlicher Daten aus dem lokalen Netz net2 durch VPN-Tunnel openvpn1 |
| ✔ | FORWARD | Alle | Alle | openvpn1 | net1 | Traffic through the OpenVPN tunnel to the local net1 | Ermöglicht das Routen sämtlicher Daten durch VPN-Tunnel openvpn1 in das lokale Netz net1 |
| ✔ | FORWARD | Alle | Alle | openvpn1 | net2 | Traffic through the OpenVPN tunnel to the local net2 | Ermöglicht das Routen sämtlicher Daten durch VPN-Tunnel openvpn1 in das lokale Netz net2 |
Regeln für OpenVPN-Verbindungen
| aktiv | Typ | IP-Version | Protokoll | Von | Nach | Beschreibung | Kommentar |
| ✔ | OUTPUT | Alle | UDP | Port: 1194 | lte2, Port: 1194 | OpenVPN (tunnel establishment) | Ermöglicht den Aufbau von VPN-Verbindungen und den Schlüsselaustausch |
| ✔ | OUTPUT | Alle | Alle | openvpn1 | Traffic through the OpenVPN tunnel sent by the router | Ermöglicht den Versand sämtlicher Daten durch VPN-Tunnel openvpn1 | |
| ✔ | INPUT | Alle | Alle | openvpn1 | Traffic through the OpenVPN tunnel to the router | Ermöglicht den Empfang sämtlicher Daten durch VPN-Tunnel openvpn1 | |
| ✔ | FORWARD | Alle | Alle | net1, net2 | openvpn1 | Traffic from the local net through the OpenVPN tunnel | Ermöglicht das Routen sämtlicher Daten aus den lokalen Netzen net1 bzw. net2 durch VPN-Tunnel openvpn1 |
| ✔ | FORWARD | Alle | Alle | openvpn1 | net1, net2 | Traffic through the OpenVPN tunnel to the local net | Ermöglicht das Routen sämtlicher Daten durch VPN-Tunnel openvpn1 in die lokalen Netze net1 bzw. net2 |
Regeln für IPsec-Verbindungen
| aktiv | Typ | IP-Version | Protokoll | Von | Nach | Beschreibung | Kommentar |
| ✔ | OUTPUT | Alle | UDP | lte2, Port: 500 | IPsec (tunnel establishment) | Ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch (Mobilfunkverbindung über lte2) | |
| ✔ | OUTPUT | Alle | ESP | lte2 | IPsec protocol ESP | Ermöglicht den IPsec-Tunnelaufbau (Mobilfunkverbindung über lte2) | |
| ✔ | OUTPUT | Alle | UDP | lte2, Port: 4500 | IPsec UDP Port 4500 (NAT traversal) | Ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch bei Verwendung von NAT-Traversal (Mobilfunkverbindung über lte2) | |
| ✔ | INPUT | Alle | UDP | lte2 | Port: 500 | IPsec (tunnel establishment) | Ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch (Mobilfunkverbindung über lte2) |
| ✔ | INPUT | Alle | ESP | lte2 | IPsec protocol ESP | Ermöglicht den IPsec-Tunnelaufbau (Mobilfunkverbindung über lte2) | |
| ✔ | INPUT | Alle | UDP | lte2 | Port: 4500 | IPsec UDP Port 4500 (NAT traversal) | Ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch bei Verwendung von NAT-Traversal (Mobilfunkverbindung über lte2) |
| ✔ | OUTPUT | Alle | UDP | net3, Port: 500 | IPsec (tunnel establishment) | Ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch (Netzwerkverbindung über net3) | |
| ✔ | OUTPUT | Alle | ESP | net3 | IPsec protocol ESP | Ermöglicht den IPsec-Tunnelaufbau (Netzwerkverbindung über net3) | |
| ✔ | OUTPUT | Alle | UDP | net3, Port: 4500 | IPsec UDP Port 4500 (NAT traversal) | Ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch bei Verwendung von NAT-Traversal (Netzwerkverbindung über net3) | |
| ✔ | INPUT | Alle | UDP | net3 | Port: 500 | IPsec (tunnel establishment) | Ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch (Netzwerkverbindung über net3) |
| ✔ | INPUT | Alle | ESP | net3 | IPsec protocol ESP | Ermöglicht den IPsec-Tunnelaufbau (Netzwerkverbindung über net3) | |
| ✔ | INPUT | Alle | UDP | net3 | Port: 4500 | IPsec UDP Port 4500 (NAT traversal) | Ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch bei Verwendung von NAT-Traversal (Netzwerkverbindung über net3) |
| ✔ | OUTPUT | Alle | Alle | ipsec1 | Traffic through the IPsec tunnel sent by the router | Ermöglicht den Versand sämtlicher Daten durch IPsec-Tunnel ipsec1 | |
| ✔ | INPUT | Alle | Alle | ipsec1 | Traffic through the IPsec tunnel to the router | Ermöglicht den Empfang sämtlicher Daten durch IPsec-Tunnel ipsec1 | |
| ✔ | FORWARD | Alle | Alle | net1, net2 | ipsec1 | Traffic from the local net through the IPsec tunnel | Ermöglicht das Routen sämtlicher Daten aus den lokalen Netzen net1 bzw. net2 durch IPsec-Tunnel ipsec1 |
| ✔ | FORWARD | Alle | Alle | ipsec1 | net1, net2 | Traffic through the IPsec tunnel to the local net | Ermöglicht das Routen sämtlicher Daten durch IPsec-Tunnel ipsec1 in die lokalen Netze net1 bzw. net2 |