Um Für Die Erstellung Von Filtern Eine Abstraktion Zu Erreichen, Sind Vier Platzhalter Vorgesehen; Folgende Parameter Können Konfiguriert Werden - elmeg T484 Bedienungsanleitung

rationen die Reihenfolge der Filter für die Funktion der Firewall eine entscheidende Bedeutung haben kann. Aus die-
sem Grund können Sie nach Markieren einer Filterregel die Reihenfolge der Regeln in der Tabelle mit den
Schaltflächen [nach oben] und [nach unten] beeinflussen.
Trifft keine Regel auf das IP-Paket zu, so entscheidet eine übergreifende, grundsätzliche Regel am Ende der Kette
über die durchzuführende Aktion (Verhalten nach letzter Filterregel).
Zu Beginn der Filterkonfiguration müssen Sie daher diese übergreifende Regel, das Verhalten ..., festlegen. Sie kön-
nen hierbei zwischen »Akzeptieren« oder »Verwerfen« auswählen.
Die allgemein als sicher bezeichnete Vorgehensweise ist die Ablehnung des Paketes, da bei einer solchen Konfigura-
tion nur die Pakete zulässig sind, für die eine explizite (und damit wissentlich eingerichtete) Regel existiert.
Für die Definition der Filter ist zu berücksichtigen, dass auf allen LAN-Ports (LAN1, LAN2, dem USB - Anschluss)
alle Pakete erlaubt sind. Daher müssen keine Filterregeln für das Passieren von IP-Paketen aus dem LAN in Richtung
TK-Anlage / Router und für deren »Rückweg« erstellt werden.
Um für die Erstellung von Filtern eine Abstraktion zu erreichen, sind vier Platzhalter vorgesehen:
LAN_ADDR
LAN_NET
WAN_ADDR
WAN_NET
Folgende Parameter können konfiguriert werden:
Name des Filters
Aktion
TCP Flag
Protokolle
Steht für die LAN-Adresse des Routers, bezogen auf die Defaultkonfiguration also
192.168.1.250 mit der Netzmaske 255.255.255.0 (192.168.1.250 / 24).
Steht für alle LAN-Adressen, bezogen auf die Defaultkonfiguration also 192.168.1.0
mit der Netzmaske 255.255.255.0 (192.168.1.0 / 24).
Steht für die WAN-Adresse des Routers, die bei Verwendung von PPPoE oder PPP dy-
namisch vom ISP zugewiesen wird. Durch die dynamische Zuweisung wird bei jeder
Herstellung der Verbindung mit dem Internet eine IP-Adresse aus dem Volumen Ihres
ISPs für den WAN-Port vergeben. Die WAN-Adresse kann in diesen Fällen während
der Konfiguration nicht als absoluter Wert für die Filterkonfiguration eingegeben wer-
den. PPPoE ist z. B. für T-DSL erforderlich, PPP wird bei Verbindungen in das Internet
per ISDN-Einwahl verwendet. Haben Sie eine feste öffentliche IP-Adresse für Ihren In-
ternetzugang von Ihrem Provider zugewiesen bekommen, wird diese für
WAN_ADDR verwendet.
Nach Zuweisung der IP-Adresse auf dem WAN-Port (bzw. ISDN-Kanal) wird die Fire-
wall automatisch entsprechend der definierten Regeln angepasst.
Steht für alle WAN-Adressen, die sich im gleichen IP-Subnetz befinden wie der
WAN-Port. Derzeit findet dieser Parameter keine Anwendung, ggf. spielt dieser Platz-
halter bei künftigen Software-Updates eine Rolle.
Jedem Filter muss ein eindeutiger Name zugewiesen werden. Wählen Sie die Namen
so, dass die jeweilige Funktion des Filter eindeutig bezeichnet wird, so können Sie bei
späterer Änderung leichter den Überblick bewahren.
Ausgewählt werden können die Optionen allow, deny, discard und portmap. Die Wahl
von »allow« lässt alle Pakete passieren, die den Parametern des jeweiligen Filters ent-
sprechen. Wird »deny« ausgewählt, so werden entsprechende IP-Pakete verworfen und
der Absender informiert. »discard« sorgt dafür, dass das Paket verworfen wird, ohne
den Absender zu informieren. Die Option »portmap« erlaubt das gezielte Weiterleiten
von Paketen der Protokolle TCP und UDP an die IP-Adresse eines PCs im LAN.
Soll eine TCP-Verbindung hergestellt werden (z. B. für den Download von Dateien), so
werden für den Verbindungsaufbau in den hieran beteiligten Paketen bestimmte Bit-
muster gesetzt, die TCP-Flags. Die Auswahl »aufbauende Verbindung« steht für das
SYN-Flag, die Auswahl »aufgebaute Verbindung « steht für das »Established Flag«
Als Protokolle sind UDP, TCP, ICMP und »alle Protokolle« wählbar. Die Wahl des Pro-
tokolls beeinflusst ggf. weitere Optionen, da z. B. für UDP keine TCP-Flags zur Verfü-
gung stehen und für ICMP kein Port, dafür aber bestimmte Protokollarten.
Firewall-Filter konfigurieren
23