Zustandslose Firewall

Diese Regeln folgen nicht dem Verbindungsstatus und werden unabhängig auf jedes Paket angewendet. Jedes Paket wird gemäß den von der Regel festgelegten Kriterien gefiltert, unabhängig von vorherigen Verbindungen.

Stateless hingegen führt keine Statustabelle und prüft nur einzelne Pakete anhand ihrer Quell- und Zieladressen, Ports und Protokollheader.

Sie fungieren als Paketfilter und treffen Entscheidungen ausschließlich auf der Grundlage der in jedem Paket enthaltenen Informationen.

Unterschied zwischen Stateful und Stateless Firewall

Beispiele für staatenlose Regeln

In MikroTik RouterOS werden zustandslose Firewall-Regeln erstellt, ohne den Status der Verbindungen zu berücksichtigen, d. h. sie werden unabhängig von vorherigen Verbindungen angewendet. Hier sind einige Beispiele für zustandslose Regeln, die in bestimmten Szenarien nützlich sein könnten:

1. Erlauben Sie Datenverkehr von einer bestimmten IP-Adresse:

   /IP-Firewallfilter add chain=forward src-address=192.168.1.100 action=accept

Diese Regel lässt Datenverkehr zu, der von der IP-Adresse 192.168.1.100 in der Weiterleitungskette kommt.

2. Erlauben Sie Datenverkehr aus einem bestimmten Subnetz:

   /IP-Firewallfilter add chain=forward src-address=192.168.2.0/24 action=accept

Diese Regel lässt Datenverkehr vom Subnetz 192.168.2.0/24 in der Weiterleitungskette zu.

3. Blockieren Sie den Datenverkehr zu einer bestimmten IP-Adresse:

   /IP-Firewallfilter add chain=forward dst-address=203.0.113.10 action=drop

Diese Regel blockiert den gesamten Datenverkehr, der in der Weiterleitungskette an die IP-Adresse 203.0.113.10 geht.

Dies sind nur Beispiele und Sie sollten die Regeln basierend auf Ihren spezifischen Anforderungen und Ihrer Netzwerktopologie anpassen. Beachten Sie außerdem, dass diese Regeln zustandslos sind und daher den Status früherer Verbindungen nicht berücksichtigen.

Beispiele für Stateful-Regeln

In MikroTik RouterOS konzentrieren sich Stateful-Firewall-Regeln auf den Status von Verbindungen, was bedeutet, dass sie Datenverkehr basierend auf dem Verbindungsstatus zulassen oder blockieren. Hier sind einige Beispiele für zustandsbehaftete Regeln:

1. Lassen Sie den gesamten ausgehenden Datenverkehr und die damit verbundenen Antworten zu:

   /IP-Firewallfilter add chain=forward Connection-State=Established,Related Action=Accept

Diese Regel lässt Datenverkehr zu, der Teil einer bestehenden oder verwandten Verbindung in der Weiterleitungskette ist.

2. Bestimmten Datenverkehr von außen zulassen:

   /IP-Firewall-Filter hinzufügen Kette=weiterleiten in-interface=ether1 Verbindungsstatus=neues Protokoll=TCP DST-Port=80 Aktion=Akzeptieren

Diese Regel ermöglicht TCP-Datenverkehr, der für Port 80 von außen bestimmt ist, über die Schnittstelle ether1 in der Weiterleitungskette.

3. Blockieren Sie unerwünschten eingehenden Datenverkehr:

   /IP-Firewallfilter add chain=input Connection-state=new action=drop

Diese Regel blockiert den gesamten eingehenden Datenverkehr, der nicht Teil einer bestehenden Verbindung in der Eingangskette ist.

4. Eingehenden ICMP-Verkehr für Ping-Anfragen zulassen:

   /IP-Firewall-Filter hinzufügen Kette=Eingabe Verbindungsstatus=Neues Protokoll=ICMP-Aktion=Akzeptieren

Diese Regel lässt eingehenden ICMP-Verkehr für Ping-Anfragen in der Eingangskette zu.

5. Blockieren Sie den Datenverkehr von außen zu einem bestimmten Port:

   /IP-Firewallfilter add chain=input in-interface=ether1 Connection-state=new dst-port=22 action=drop

Diese Regel blockiert eingehenden Datenverkehr an Port 22 (SSH) von außen über die Schnittstelle ether1 in der Eingangskette.

Dies sind nur Beispiele und Sie sollten die Regeln basierend auf Ihren spezifischen Anforderungen und Netzwerkkonfiguration anpassen. Zustandsbehaftete Regeln sind unerlässlich, um den erforderlichen Datenverkehr zu ermöglichen und die Sicherheit durch Blockieren unerwünschten Datenverkehrs aufrechtzuerhalten.