Skip to main content
Skip table of contents

(Erweiterte) Einstellungen

In einigen Fällen möchten Sie vielleicht ändern, wie unser System den Datenverkehr standardmäßig behandelt. In diesem Fall ist der Abschnitt „Erweiterte Einstellungen“ ein guter Ort, um nachzusehen.

IPv6-Optionen

Erlaube IPv6

Standardmäßig ausgewählt, wird bei Abwahl eine Firewall-Regel generiert, die den gesamten IPv6-Verkehr auf diesem Gerät blockiert. Der Bereich „Floating Firewall“ zeigt diese Regel an, wenn „Automatisch generierte Regeln“ erweitert ist.

Network Address Translation

Obwohl die folgenden Optionen interessant aussehen, um die Einrichtung zu erleichtern, raten wir davon ab, sie zu verwenden. Da automatische Regeln immer Annahmen über die Situation enthalten, die sie zu lösen versuchen, ist es nicht garantiert, dass sie immer zu Ihrem Anwendungsfall passen werden. Sie existieren lediglich aus historischen Gründen, fügen Sie besser manuelle nat-Regeln hinzu, um sicherzustellen, dass die Absicht sehr eindeutig ist, wenn man Ihr Setup inspiziert.

Reflektion für Portweiterleitungen

Standardmäßig deaktiviert. Wenn diese Option aktiviert ist, generiert das System automatisch Regeln, um Portforwards auf nicht externen Schnittstellen (Schnittstellen ohne Gateway) zu berücksichtigen. Wenn Sie z. B. auf Ihrer Schnittstelle wan eine Portweiterleitung zu einem Webserver erstellen, der intern gehostet wird, wird eine ähnliche Regel auf der Schnittstelle lan generiert.

Diese Markierung fügt nur eine Weiterleitung für das gleiche Ziel hinzu, die Quelladresse wird nicht beeinflusst. (rdr)

Reflektion für 1:1

Standardmäßig deaktiviert. Wenn diese Option aktiviert ist, generiert das System Umleitungsregeln (rdr) für 1to1-nat-Regeln, ähnlich wie bei der Option portforward.

Automatisches ausgehendes NAT für Reflektion

Da beide Reflexionsregeln den Verkehr nur auf andere Netze umleiten, werden sie häufig in Verbindung mit dieser Option verwendet. Wenn diese Option aktiviert ist, werden die Quelladressen übersetzt, sodass der zurückkehrende Verkehr bei diesen automatischen Regeln immer durch die Firewall geschoben wird.

Der Nachteil des Zurückspiegelns des Datenverkehrs über eine der internen Adressen der Firewall ist, dass die empfangende Seite den tatsächlichen Client nicht mehr erkennen kann.

Bogon-Netze

Aktualisierungshäufigkeit

Konfigurieren Sie die Häufigkeit der Aktualisierung der Listen von IP-Adressen, die reserviert (aber nicht RFC 1918) oder noch nicht von der IANA zugewiesen sind.

Gatewayüberwachung

Status löschen

Wenn nicht markiert (aktiviert), werden alle Zustände zurückgesetzt, wenn ein Gateway entfernt wird (siehe Überwachung im Abschnitt gateways )

Regeln überspringen

Wenn für eine Regel ein bestimmtes Gateway festgelegt wurde und dieses Gateway ausgefallen ist, wird die Regel standardmäßig erstellt und der Datenverkehr wird an das Standard-Gateway gesendet. Diese Option setzt dieses Verhalten außer Kraft und die Regel wird nicht erstellt, wenn das Gateway ausgefallen ist

Multi-WAN

Fixierte Verbindungen

Bei Verwendung einer Gateway-Gruppe verwendet die Firewall standardmäßig das gleiche Gateway für die gleiche Quelladresse, solange ein Status aktiv ist, optional kann dies mit einem anderen Timeout konfiguriert werden.

Gemeinsame Weiterleitung

Die Verwendung von richtlinienbasiertem Routing im Paketfilter verursacht, dass die Verarbeitung der Datenverkehrsregulierung und Captive-Portal-Vorgänge umgangen wird. Die Verwendung dieser Option erlaubt die gemeinsame Verwendung von Weiterleitungsentscheidungen um in komplexeren Umgebungen zwischen allen Komponenten zu vermitteln.

Deaktiviere erzwungenen Gateway

Standardmäßig erzwingt Schulrouter Plus ein Gateway auf Schnittstellen des Typs „Wan“ (solche, an denen ein Gateway angeschlossen ist). Obwohl die Voreinstellung normalerweise das gewünschte Verhalten ist, beeinflusst sie die vom System getroffenen Routing-Entscheidungen (lokaler Verkehr, der an eine Adresse gebunden ist, wird das zugehörige Gateway verwenden).

Diese Regel ist für die Regel let out anything from firewall host itself (force gw) verantwortlich, die im schwebenden Bereich sichtbar ist. Sie erzwingt eine Route zu (route-to) für den gesamten nicht lokalen Verkehr für die Schnittstelle vom Typ „Wan“.

Zeitpläne

Zeitplanstatus

Standardmäßig löschen Zeitpläne die Status existierender Verbindungen wenn die Ablaufzeit erreicht wurden. Diese Option überschreibt dieses Verhalten indem die Status existierender Verbindungen nicht gelöscht werden.

Verschiedenes

Firewall Optimierungen

Firewall-Zustandstabelle Optimierung zu verwenden, beeinflusst die Anzahl der aktiven Zustände im System, die nur in bestimmten Implementierungsszenarien geändert werden sollen.

  • [normal] (Standard)Wie der Name schon sagt, handelt es sich um den normalen Optimierungsalgorithmus

  • [high-latency] Wird für Verbindungen mit hoher Latenz verwendet, z. B. für Satellitenverbindungen. Lässt ungenutzte Verbindungen später ablaufen als der Standard

  • [Aggressiv] Lässt ungenutzte Verbindungen schneller ablaufen. Effizientere Nutzung von CPU und Speicher, kann aber legitime inaktive Verbindungen abbrechen

  • [konservativ] Versucht zu vermeiden, dass legitime Verbindungen im Leerlauf auf Kosten einer erhöhten Speicher- und CPU-Auslastung fallen gelassen werden.

Firewallregeloptimierung

Beeinflussen Sie, wie die Firewall den generierten Regelsatz optimiert.

  • [keine] Deaktivieren Sie den Regelsatzoptimierer.

  • [basic] (Standard) Die grundlegende Regelsatzoptimierung führt vier Dinge aus, um die Leistung von Regelsatzauswertungen zu verbessern: Entfernen doppelter Regeln; Entfernen von Regeln, die eine Teilmenge einer anderen Regel sind; Kombinieren mehrerer Regeln in einer Tabelle, wenn dies vorteilhaft ist; Umordnen der Regeln, um die Auswertungsleistung zu verbessern

  • [Profil] Verwendet den aktuell geladenen Regelsatz als Feedback-Profil, um die Reihenfolge der Schnellregeln an den tatsächlichen Netzwerkverkehr anzupassen.

Zustände an Schnittstelle binden

Legen Sie das Verhalten für die Beibehaltung von Zuständen fest. Standardmäßig sind Zustände fließend, aber wenn diese Option eingestellt ist, sollten sie mit der Schnittstelle übereinstimmen. Die Standardoption (nicht aktiviert) passt Zustände unabhängig von der Schnittstelle an, was in den meisten Setups die beste Wahl ist.

Firewall deaktivieren

Deaktivieren Sie alle Firewall-Funktionen (einschließlich NAT) dieses Geräts.

Firewall Adaptive Gültigkeitsdauer

Die Gültigkeitsdauer von Status kann adaptiv skaliert werden wenn die Anzahl an Statustabelleneinträgen steigt.

  • [start] Wenn die Anzahl der Zustandseinträge diesen Wert überschreitet, beginnt die adaptive Skalierung. Alle Timeout-Werte werden linear mit Faktor (adaptive.end - Anzahl der Zustände) / (adaptive.end - adaptive.start) skaliert.

  • [end] Bei Erreichen dieser Anzahl von Zustandseinträgen werden alle Timeout-Werte zu Null, wodurch alle Zustandseinträge sofort gelöscht werden. Dieser Wert dient zur Festlegung des Skalierungsfaktors, er sollte eigentlich nicht erreicht werden (setzen Sie eine untere Zustandsgrenze, siehe unten).

Firewall Maximale Status

Maximale Anzahl der Verbindungen, die in der Firewall-Zustandstabelle gehalten werden sollen. Normalerweise ist der Standardwert in Ordnung, wenn Sie viele Verbindungen bedienen, können Sie in Erwägung ziehen, die Standardgröße zu erhöhen, die im Hilfetext erwähnt wird.

Firewall maximale Fragmente

Setzt die maximale Anzahl an Einträgen im Speicherpool, die zum Fragmentzusammenbau verwendet werden.

Maximale Firewalltabelleneinträge

Maximale Anzahl von Tabelleneinträgen für Systeme wie Aliase, sshlockout, bogons usw. zusammen. Wenn Sie viele große Aliase verwenden, können Sie in Erwägung ziehen, die Vorgabe zu erhöhen. Die konfigurierte Vorgabe wird im Hilfetext erwähnt.

Filterung statischer Routen

Diese Option wird nur angewandt, falls Sie eine oder mehrere statische Routen definiert haben. Falls sie aktiviert ist, wird Datenverkehr, der die Firewall an der gleichen Schnittstelle verlässt, auf der er empfangen wurde, nicht von der Firewall überprüft. Dies könnte interessant sein, wenn mehrere Subnetze an der gleichen Schnittstelle angeschlossen wurden.

Obwohl diese Regeln im Abschnitt „automatische“ Regeln jeder Schnittstelle sichtbar sind, raten wir generell dazu, die tatsächlich angeforderten Regeln pro Netz manuell hinzuzufügen.

Deaktiviere Antwort-an

Bei Multi-WAN möchten Sie in der Regel sicherstellen, dass der Datenverkehr die gleiche Schnittstelle verlässt, über die er ankommt, daher wird reply-to standardmäßig automatisch hinzugefügt. Bei Verwendung von Bridging müssen Sie dieses Verhalten deaktivieren, wenn sich die WAN-Gateway-IP von der Gateway-IP der Hosts hinter der überbrückten Schnittstelle unterscheidet.

Obwohl diese Regel aus historischen Gründen standardmäßig aktiviert ist, hat das Hinzufügen von reply-to zu jeder Regel des Typs „wan“ einige Nebeneffekte. Wenn Datenverkehr zugelassen wird, der aus demselben Netzwerk stammt, an das die Schnittstelle angeschlossen ist, wird das Paket trotzdem an das konfigurierte Gateway zurückgesendet.

Um dieses Verhalten zu verhindern, können Sie entweder reply-to hier deaktivieren und das gewünschte Verhalten auf Basis der einzelnen Regeln konfigurieren oder eine Regel für den lokalen Datenverkehr über der Regel für den ausgehenden Datenverkehr hinzufügen, die reply-to deaktiviert (in der erweiterten Regel).

Deaktiviere Anti-Aussperrregel

Wenn dieses Kontrollkästchen nicht markiert ist, ist der Zugriff auf die Web-GUI oder SSH auf der LAN-Schnittstelle immer erlaubt, unabhängig von der eingestellten benutzerdefinierten Firewall-Regel. Aktivieren Sie dieses Kontrollkästchen, um die automatisch hinzugefügte Regel zu deaktivieren, sodass der Zugriff nur durch die benutzerdefinierten Firewall-Regeln gesteuert wird. Vergewissern Sie sich, dass eine Firewall-Regel vorhanden ist, die den Zugriff erlaubt, da Sie sich sonst selbst aussperren.

Alias-Auflösungsintervall

Intervall in Sekunden, der verwendet wird wird um Hostnamen aufzulösen, die als Alias konfiguriert wurden.

Zertifikat der Alias-URLs prüfen

Stellen Sie sicher, dass das Zertifikat für alle HTTPS-Adressen der Aliaslisten gültig ist. Falls es das nicht ist, werden sie nicht heruntergeladen.

Dynamisches Zurücksetzen des Zustands

Diese Option löscht die gesamte Statustabelle bei IPv4-Adressänderungen in dynamischen Setups, um z. B. VoIP-Servern die erneute Registrierung zu ermöglichen.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close