Open Source im professionellen Einsatz
Linux-Magazin 12/2008
© designer111, Photocase.com

© designer111, Photocase.com

Vorgestellt: Die neue Version 3 des Firewall Builder

Blocker-Szene

Per FW-Builder pflegen Admins die Regelsätze aller ihrer Firewalls, egal welches System sie dort verwenden. Chefprogrammierer Vadim Kurland hat die Software in der dritten Auflage weiter verbessert.

658

Mehr Funktionen und mehr Übersicht - das verspricht die neue Version 3 des gut etablierten Firewall Builder, kurz FW-Builder. Das Tool konfiguriert in einem Rutsch die Policies beliebig vieler Firewalls unterschiedlicher Hersteller (Apple, BSD, Cisco, Linux) und installiert auf Wunsch die Regelsätze. Die erste Neuerung ist für Kenner der Version 2 sofort zu sehen, wenn sie die erste Firewall anlegen: FW-Builder 3 ordnet die Regelsätze als Objekte direkt einer Firewall zu, diese finden sich nun im Objektbaum im linken Fensterbereich (Abbildung 1a). Version 2 hatte verschiedene Policies hingegen als Reiter im Feld oberhalb des Regelsatzes angezeigt (Abbildung 1b).

Neuerdings ist es möglich, mehrere NAT-Regelsätze zu nutzen. FW-Builder 2 beschränkte den Admin noch auf eine NAT-Tabelle pro Firewall. Je einen Policy- und einen NAT-Regelsatz konfiguriert der Anwender per »top ruleset«-Optionen als oberste Regel. IPtables nutzt diese für die Input-, Forward- und Output-Chains. Andere Regelsätze (ohne Top-Option) legt FW-Builder unter ihrem jeweiligen Namen an und erzeugt Verweise auf diese Regelsätze per Chain-Aktion.

Abbildung 1a: Version 3 des Firewall Builder sortiert alle Policies (hier »Policy«, »NAT« und »Routing«) als Objekte direkt unter den Firewalls. Damit sind sie übersichtlich im grün hinterlegten Objektbaum zu finden.

Abbildung 1b: Die alte Firewall-Builder-Version 2 stellt jede Policy als eigenen Reiter über den Regelsätzen dar. Das hat sich als unübersichtlich erwiesen, da der Admin an zwei Stellen navigieren muss.

Praktische Kette

Sinnvoll ist das zum Beispiel, um Traffic in VPN-Verbindungen anders zu behandeln als den Rest. Im Hauptregelsatz lädt eine Regel als Dienst das Policy-Modul und prüft auf IPsec: »-m policy --policy ipsec«. Die Aktion bei einem Treffer ist dann der Verweis auf den speziellen Regelsatz. Diese Technik ist unter [2] beschrieben. Andere Firewalls (PF, Cisco ACLs) verwenden ähnliche Prinzipien, um zwischen verschiedenen Regelsätzen zu verzweigen.

Komischerweise erlaubt es FW-Builder derzeit noch, mehreren Regelsätzen das Top-Attribut zu verpassen, was recht unsinnige Skripte produziert. Sinnvoller, als sich auf die Umsicht des Admins zu verlassen, wäre, dass FW-Builder den Fehler erkennt und verhindert oder wenigstens davor warnt.

Mehrfachverwertung

Die Sprungtechnik ermöglicht es auch, generische Policies in vielen Firewalls einzusetzen. Bei jeder Firewall verweist dann die Top-Policy auf den generischen Regelsatz. Das funktioniert, da FW-Builder Verweise auch zwischen Regelsätzen erlaubt, die zu unterschiedlichen Firewalls gehören. Das Programm kopiert alle erforderlichen Bestandteile auf jede Firewall. Das hilft enorm, große Installationen im Griff zu behalten.

Noch ein Schmankerl: Regelsätze bleiben zwischen Minor Releases der Version 3 kompatibel. Das heißt, die Struktur eines Regelsatzes ändert sich nicht jedes Mal, wenn jemand sie mit einer neueren FW-Builder-Version öffnet.

Eine sehr praktische Neuerung ist das Multi Document Interface (MDI). Eine FW-Builder-Instanz kann damit mehrere Datensätze mit unterschiedlichen Objekten und Regelsätzen gleichzeitig darstellen. Es ist sogar möglich, Objekte per Drag & Drop zwischen den Datensätzen zu übertragen. Wenn ein komplexes Objekt, etwa eine ganze Firewall, auf diese Weise seinen Stammplatz wechselt, löst das Programm alle Abhängigkeiten auf und nimmt sie mit.

Die Lesbarkeit der Policy verbessern die lang erwarteten Gruppen (Abbildung 2). Beliebig viele Regeln darf der Admin nun zusammenfassen. Falls er eine Regelgruppe gerade nicht benötigt, klappt er sie kurzerhand zu, ganz wie beim Code Folding in guten Texteditoren. Endlich ist es auch möglich, die Größe von Fonts und Icons im Objektbaum und im Regelsatz zu ändern. Damit sorgt FW-Builder auch auf kleinen Laptop-Bildschirmen für eine gute Übersicht.

Mit Version 3 von FW-Builder findet auch IPv6 Einzug in das Tool: Es gibt IPv6-Objekte vom Typ Adresse, Netzwerk oder ICMP-Dienst. Allerdings erlaubt es das Programm nicht, Objekttypen für IPv4 und IPv6 zusammen einzusetzen. Die Eigenschaften einer Policy (Doppelklick auf das Objekt) bestimmen, welcher Adressentyp (IPv4 oder IPv6) hier gilt. Das ist auch verständlich, da Linux strikt zwischen »iptables« und »ip6tables« unterscheidet.

Abbildung 2: Gerade bei großen Regelsätzen sorgen die neuen Gruppen für mehr Übersicht. Der Admin kann den Gruppen Namen geben und sie bei Bedarf einklappen.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Regelmeister

    Unfairen Mitspielern im Netz zeigt IPtables die gelbe oder rote Karte. Dank FW-Builder, einem Profi-GUI, zaubert der Admin im Sturm ein ausgefeiltes Regelwerk. Version 2.1 gibt ihm noch mehr Mittel in die Hand und instruiert polyglott alle Schiri-Kollegen an den Außenlinien.

  • Brandmeister

    Für verschiedene Firewalls eine gemeinsame Oberfläche anbieten, die dem Admin zudem hilfreich unter die Arme greift: Wie FW-Builder dieses Kunststück vollbringt und welche Kniffe die internen Regel-Compiler dabei verwenden, erklärt der Autor der Software selbst.

  • Bitparade

    Eine umfassende Firewall mit Netfilter und IPtables einzurichten ist kompliziert. Grafische Oberflächen wollen diese anspruchsvolle Aufgabe erleichtern, das Linux-Magazin besichtigt die Sperranlagen.

  • Hausverbot

    Fühlt sich ein Intrusion-Prevention-System attackiert, dann erteilt es dem Störer striktes Lokalverbot und lässt ihn an keinen Dienst mehr ran. Alle anderen Benutzer bleiben von der Blockade verschont. Mit dem Recent-Modul von Netfilter ist dieses Verhalten bestens steuerbar.

  • Wehrhaft abtauchen

    Hochverfügbare Firewalls gelten als hohe Kunst im Netzwerkschutz. Dank Clustering bleibt das Netz online, selbst wenn eine Firewall ausfällt. OpenBSD/PF (Maskottchen: Kugelfisch) besitzen gegenüber dem bekannteren Duo Linux/Netfilter einige Vorzüge. Der Artikel erklärt das Setup - für Linuxer verständlich.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.