Wie verwalte ich Firewall-Configs und ACL-Regeln?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Die Reiter Firewall-Configs und ACL-Regeln im Bereich Provisionierung
dokumentieren deine Netz-Sicherheitskonfiguration: Eine Firewall-Config hält einen
Konfigurationsstand als Text fest (Typ Standard oder Benutzerdefiniert); eine
ACL-Regel beschreibt eine einzelne Zugriffsentscheidung: Aktion
(Erlauben/Verweigern), Quelle, Ziel, Port und Protokoll (TCP/UDP).
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“Die Provisionierung ist ab Tarif Elite verfügbar.
Anleitung
Abschnitt betitelt „Anleitung“-
Firewall-Config erfassen. Öffne Provisionierung → Firewall-Configs und klicke „Firewall-Config hinzufügen”:
- Name (Pflicht): z. B. „DMZ Basisregeln”.
- Typ (Pflicht):
StandardoderBenutzerdefiniert. - Konfiguration: der Regelbestand als Text (z. B. nftables/iptables-Auszug).
- Beschreibung (optional).
Screenshot ausstehendprovisioning-firewall-01Reiter Firewall-Configs mit dem Dialog 'Firewall-Config hinzufügen' und Konfigurations-TextfeldEine Firewall-Config als dokumentierter Konfigurationsstand. -
ACL-Regel anlegen. Wechsle auf ACL-Regeln und klicke „ACL-Regel hinzufügen”:
- Name (Pflicht): z. B. „HTTPS aus dem LAN zur DMZ”.
- Aktion (Pflicht):
ErlaubenoderVerweigern. - Quelle / Ziel: z. B.
10.0.10.0/24→10.0.20.5. - Port: z. B.
443. - Protokoll:
TCPoderUDP. - Beschreibung (optional).
-
Pflegen. Änderungen am Bestand machst du über das Stift-Symbol; veraltete Einträge entfernt ein Administrator über das Papierkorb-Symbol.
Firewall-Config anlegen ist ein POST auf /api/v1/provisioning/firewall-configs:
curl -X POST https://demo.notory.io/api/v1/provisioning/firewall-configs \ -H "Authorization: Bearer inv_dein_token" \ -H "Content-Type: application/json" \ -d '{ "name": "DMZ Basisregeln", "config_type": "default", "content": "table inet dmz {\n chain input { policy drop; tcp dport { 80, 443 } accept }\n}", "description": "Grundschutz für die DMZ" }'ACL-Regel anlegen ist ein POST auf /api/v1/provisioning/acl-rules:
curl -X POST https://demo.notory.io/api/v1/provisioning/acl-rules \ -H "Authorization: Bearer inv_dein_token" \ -H "Content-Type: application/json" \ -d '{ "name": "HTTPS aus dem LAN zur DMZ", "action": "allow", "source": "10.0.10.0/24", "destination": "10.0.20.5", "port": 443, "protocol": "tcp", "description": "Zugriff der Clients auf den Web-Proxy" }'{ "id": "acl_9d0e…", "tenant_id": "3d9b0c12-…", "name": "HTTPS aus dem LAN zur DMZ", "action": "allow", "source": "10.0.10.0/24", "destination": "10.0.20.5", "port": 443, "protocol": "tcp", "description": "Zugriff der Clients auf den Web-Proxy", "created_at": "2026-07-08T11:40:00Z", "updated_at": "2026-07-08T11:40:00Z"}Beide Bestände unterstützen GET (Liste/Detail), PUT (Ändern) und DELETE
(nur Administratoren).
Mögliche Fehler: 401, 403 (Provisionierung nicht im Tarif oder kein
Schreibrecht), 404 (Eintrag nicht gefunden), 422 (Validierung, z. B. Port außerhalb
0 bis 65535).
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“- Dokumentation der Soll-Konfiguration: Notory verteilt Firewall-Configs und ACL-Regeln nicht auf Geräte. Sie sind der dokumentierte Soll-Zustand deiner Netzsicherheit, den deine Automatisierung bzw. dein Workflow umsetzt.
- Mandanten-Isolation & Audit: Beide Bestände sind mandantengebunden; Anlegen, Ändern und Löschen werden im Protokoll festgehalten.
- Prüfbarkeit: Ein sauber gepflegter ACL-Bestand dient als Nachweis in Audits. Siehe Compliance.