Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:firewallbuilder_centos_7

FirewallBuilder CentOS 7

Der FirewallBuilder ist ein grafisches Programm, welches einen X-Server benötigt. Dabei ist die einfache, grafische Bedienung einer der größten Vorteile beim erstellen selbst komplexer Regelsätze, was enorm Zeitsparend ist und dazu keine detaillierten Kenntnisse der Firewall-Syntax voraussetzt.

:!: WICHTIG - Nachfolgend soll die Installation zur Nutzung mit

  • iptables.service

dargestellt werden und

  • NICHT mit firewalld.service !!!

:!: HINWEIS - Nachfolgend soll die Installation und die Einbettung in eine bestehendes Betriebssystem veranschaulicht werden !!!

:!: WICHTIG - Es werden weder eine Komplettlösungen, noch eine Anleitungen zur kompletten Firewall-Konfiguration gegeben !!!

:!: HINWEIS - Mehr Informationen zum gezielten Einsatz, können unter nachfolgenden Link bezogen werden:

Ab hier werden zur Ausführung nachfolgender Befehle root-Rechte benötigt. Um der Benutzer root zu werden, melden Sie sich bitte als root-Benutzer am System an, oder wechseln mit nachfolgendem Befehl zum Benutzer root:

$ su -
Password:

Voraussetzungen

Um den FirewallBuilder einsetzen zu können, müssen nachfolgende Voraussetzungen gegeben sein:

  • Ein installiertes CentOS Version 7.x Betriebssystem
  • mit einem installierten und gestarteten lauffähigen X-Server und

:!: HINWEIS - Die Installation soll durch Einbindung eines externen Repositories erfolgen, wie nachfolgen beschrieben!

Installation

Externes Repository

Zur Einbindung des externen Repositories von

Mit nachfolgendem Befehlen kann ein rpm-Installationspaket heruntergeladen und installiert werden, mit dem das externen Repositories von http://repo.mailserver.guru als Drittrepository im Betriebssystem, als zusätzliche Quelle, eingebunden werden kann.

Zuerst sollte mit nachfolgendem Befehl in das Verzeichnis /tmp gewechselt werden:

# cd /tmp

Nachfolgender Befehl kann das entsprechende rpm-Paket für das externe Repository von http://repo.mailserver.guru heruntergeladen werden:

# wget http://repo.mailserver.guru/7/os/x86_64/Packages/mailserver.guru-7-1.noarch.rpm
--2014-10-10 09:59:03--  http://repo.mailserver.guru/7/x86_64/mailserver.guru-7-1.noarch.rpm
Resolving repo.mailserver.guru... 217.91.103.190
Connecting to repo.mailserver.guru|217.91.103.190|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5944 (5.8K) [application/x-rpm]
Saving to: “mailserver.guru-7-1.noarch.rpm”

100%[======================================>] 5,944       --.-K/s   in 0s      

2014-10-10 09:59:04 (200 MB/s) - “mailserver.guru-7-1.noarch.rpm” saved [5944/5944]

Mit nachfolgendem Befehl, kann nun die Installation des rpm-Pakets für das externe Repository von http://repo.mailserver.guru durchgeführt werden:

# yum localinstall /tmp/mailserver.guru-7-1.noarch.rpm 
Loaded plugins: fastestmirror, priorities
Repodata is over 2 weeks old. Install yum-cron? Or run: yum makecache fast
Examining /tmp/mailserver.guru-7-1.noarch.rpm: mailserver.guru-7-1.noarch
Marking /tmp/mailserver.guru-7-1.noarch.rpm to be installed
Resolving Dependencies
--> Running transaction check
---> Package mailserver.guru.noarch 0:7-1 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
 Package             Arch       Version   Repository                       Size
================================================================================
Installing:
 mailserver.guru     noarch     7-1       /mailserver.guru-7-1.noarch     1.8 k

Transaction Summary
================================================================================
Install  1 Package

Total size: 1.8 k
Installed size: 1.8 k
Is this ok [y/d/N]: y
Downloading packages:
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : mailserver.guru-7-1.noarch                                   1/1 
  Verifying  : mailserver.guru-7-1.noarch                                   1/1 

Installed:
  mailserver.guru.noarch 0:7-1                                                  

Complete!

Mit nachfolgendem Befehl kann überprüft werden, welcher Inhalt mit dem Paket installiert wurde.

Paket mailserver.guru-7-1.noarch:

# rpm -qil mailserver.guru.noarch
Name        : mailserver.guru
Version     : 7
Release     : 1
Architecture: noarch
Install Date: Fri 10 Oct 2014 10:14:23 AM CEST
Group       : System Environment/Base
Size        : 1884
License     : GPLv2
Signature   : RSA/SHA1, Mon 21 Jul 2014 09:23:29 AM CEST, Key ID 60ecfb9e8195aea0
Source RPM  : mailserver.guru-7-1.src.rpm
Build Date  : Mon 21 Jul 2014 09:23:20 AM CEST
Build Host  : vml000200.dmz.nausch.org
Relocations : (not relocatable)
Packager    : Django <django@mailserver.guru>
Vendor      : django, http://dokuwiki.nausch.org/
URL         : http://repository.nausch.org/public/mailserver.guru/
Summary     : Extra (Mailserver-)Packages for CentOS 7 repository configuration
Description :
This package contains the Extra (Mailserver-)Packages for CentOS 7 repository
GPG key as well as configuration for yum and up2date.
/etc/pki/rpm-gpg/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
/etc/yum.repos.d/mailserver.guru.repo

:!: HINWEIS - Damit könnte bereits das das externe Repository von http://repo.mailserver.guru grundsätzlich genutzt werden!

Zur Sicherheit sollte jedoch noch der GPG-Schlüssel des externen Repositories von http://repo.mailserver.guru importiert werden, da alle Pakete via GPG-Schlüssel signiert sind, und diese Signatur nur dann überprüft werden kann!

Nachfolgender Befehl lädt den GPG-Schlüssel des externen Repositories von http://repo.mailserver.guru von

herunter:

# wget http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
--2014-10-10 10:22:42--  http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
Resolving repo.mailserver.guru... 217.91.103.190
Connecting to repo.mailserver.guru|217.91.103.190|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1650 (1.6K) [text/plain]
Saving to: “MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7”

100%[======================================>] 1,650       --.-K/s   in 0s      

2014-10-10 10:22:42 (113 MB/s) - “MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7” saved [1650/1650]

Mit nachfolgendem Befehl, kann nun der GPG-Schlüssel des externen Repositories von http://repo.mailserver.guru importiert werden:

# rpm --import /tmp/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7

:!: HINWEIS - Es erfolgt KEINE Ausgabe einer Bestätigung, dass der GPG-Schlüssel importiert wurde !!!

Um das Importieren des GPG-Schlüssels zu überprüfen, kann nachfolgender Befehl verwendet werden, welcher ebenfalls nachfolgende Ausgabe erzeugen sollte. (Der als erstes aufgelistete GPG-Schlüssel, sollte hinzugekommen sein!):

# rpm -qa gpg-pubkey
gpg-pubkey-8195aea0-53cc3764
gpg-pubkey-f4a80eb5-53a7ff4b

Der Inhalt des importierten GPG-Schlüssels, kann mit nachfolgendem Befehl überprüft werden:

# rpm -qi gpg-pubkey-8195aea0-53cc3764
Name        : gpg-pubkey
Version     : 8195aea0
Release     : 53cc3764
Architecture: (none)
Install Date: Fri 10 Oct 2014 10:25:02 AM CEST
Group       : Public Keys
Size        : 0
License     : pubkey
Signature   : (none)
Source RPM  : (none)
Build Date  : Sun 20 Jul 2014 11:40:52 PM CEST
Build Host  : localhost
Relocations : (not relocatable)
Packager    : Django <django@mailserver.guru>
Summary     : gpg(Django <django@mailserver.guru>)
Description :
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: rpm-4.11.1 (NSS-3)
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=YVGl
-----END PGP PUBLIC KEY BLOCK-----

Jetzt kann das externe Repository von http://repo.mailserver.guru genutzt werden.

Es sollten mit nachfolgendem Befehl die von yum, dem Paket-Manager von CentOS, bereits zwischengespeicherten Informationen, welche bei der Nutzung von yum zu einem früheren Zeitpunkt ermittelt wurden, mit nachfolgenden Befehl gelöscht werden, um eine Neuermittlung aller verfügbaren Paketinformationen durchzuführen:

# yum clean all
Loaded plugins: fastestmirror
Cleaning repos: base extras mailserver.guru updates
Cleaning up everything
Cleaning up list of fastest mirrors

Eine Überprüfung, ob die Pakete verfügbar sind, kann durch eine Suche nach dem rpm-Paket

  • fwbuilder

mit nachfolgendem Befehl durchgeführt werden:

# yum search fwbuilder
Loaded plugins: fastetsmirror
base                                                     | 3.6 kB     00:00         
extras                                                   | 3.4 kB     00:00     
mailserver.guru                                          | 2.9 kB     00:00     
updates                                                  | 3.4 kB     00:00     
(1/5): base/7/x86_64/primary_db                            | 4.9 MB   00:00     
(2/5): base/7/x86_64/group_gz                              | 157 kB   00:00         
(3/5): extras/7/x86_64/primary_db                          |  26 kB   00:00     
(4/5): mailserver.guru/x86_64/primary_db                   |  39 kB   00:00     
(5/5): updates/7/x86_64/primary_db                         | 3.6 MB   00:00          
============================ N/S matched: fwbuilder ============================
fwbuilder.x86_64 : Firewall Builder
fwbuilder-cisco.x86_64 : Policy Compiler for Cisco routers/firewalls
fwbuilder-ipf.x86_64 : Policy Compiler for ipfilter
fwbuilder-ipfw.x86_64 : Policy Compiler for ipfw
fwbuilder-ipt.x86_64 : Policy Compiler for IPTables
fwbuilder-pf.x86_64 : Policy Compiler for OpenBSD PF
fwbuilder-procurve.x86_64 : Policy Compiler for Procurve devices

  Name and summary matches only, use "search all" for everything.

Firewall Builder

Zur Installation des Firewall Builder werden nachfolgende Pakete benötigt:

  • fwbuilder - Eigentliches Paket
  • fwbuilder-ipt - Erweiterung zur Bearbeitung von iptables-Regeln

Es sind noch weitere Pakete zu ntp verfügbar, welche nicht zum Betrieb eines „Zeitservers“ zwingend erforderlich sind.

Mit nachfolgendem Befehl, werden die benötigten Pakete installiert:

# yum install fwbuilder fwbuilder-ipt
Loaded plugins: changelog, priorities
63 packages excluded due to repository priority protections
Resolving Dependencies
--> Running transaction check
---> Package fwbuilder.x86_64 0:5.1.0.3599-4.el7.centos will be installed
--> Processing Dependency: libQtNetwork.so.4()(64bit) for package: fwbuilder-5.1.0.3599-4.el7.centos.x86_64
--> Processing Dependency: libQtGui.so.4()(64bit) for package: fwbuilder-5.1.0.3599-4.el7.centos.x86_64
--> Processing Dependency: libQtCore.so.4()(64bit) for package: fwbuilder-5.1.0.3599-4.el7.centos.x86_64
---> Package fwbuilder-ipt.x86_64 0:5.1.0.3599-4.el7.centos will be installed
--> Running transaction check
---> Package qt.x86_64 1:4.8.5-8.el7 will be installed
--> Processing Dependency: qt-settings for package: 1:qt-4.8.5-8.el7.x86_64
---> Package qt-x11.x86_64 1:4.8.5-8.el7 will be installed
--> Processing Dependency: libmng.so.1()(64bit) for package: 1:qt-x11-4.8.5-8.el7.x86_64
--> Running transaction check
---> Package libmng.x86_64 0:1.0.10-14.el7 will be installed
---> Package qt-settings.noarch 0:19-23.4.el7 will be installed
--> Processing Dependency: pciutils for package: qt-settings-19-23.4.el7.noarch
--> Running transaction check
---> Package pciutils.x86_64 0:3.2.1-4.el7 will be installed
--> Finished Dependency Resolution

Changes in packages about to be updated:


Dependencies Resolved

================================================================================
 Package          Arch      Version                    Repository          Size
================================================================================
Installing:
 fwbuilder        x86_64    5.1.0.3599-4.el7.centos    mailserver.guru    7.0 M
 fwbuilder-ipt    x86_64    5.1.0.3599-4.el7.centos    mailserver.guru    759 k
Installing for dependencies:
 libmng           x86_64    1.0.10-14.el7              base               171 k
 pciutils         x86_64    3.2.1-4.el7                base                90 k
 qt               x86_64    1:4.8.5-8.el7              base               4.5 M
 qt-settings      noarch    19-23.4.el7                base                17 k
 qt-x11           x86_64    1:4.8.5-8.el7              base                13 M

Transaction Summary
================================================================================
Install  2 Packages (+5 Dependent packages)

Total download size: 25 M
Installed size: 75 M
Is this ok [y/d/N]: y
Downloading packages:
(1/7): fwbuilder-ipt-5.1.0.3599-4.el7.centos.x86_64.rpm    | 759 kB   00:00     
(2/7): fwbuilder-5.1.0.3599-4.el7.centos.x86_64.rpm        | 7.0 MB   00:00     
(3/7): libmng-1.0.10-14.el7.x86_64.rpm                     | 171 kB   00:00     
(4/7): pciutils-3.2.1-4.el7.x86_64.rpm                     |  90 kB   00:00     
(5/7): qt-4.8.5-8.el7.x86_64.rpm                           | 4.5 MB   00:00     
(6/7): qt-settings-19-23.4.el7.noarch.rpm                  |  17 kB   00:00     
(7/7): qt-x11-4.8.5-8.el7.x86_64.rpm                       |  13 MB   00:00     
--------------------------------------------------------------------------------
Total                                               25 MB/s |  25 MB  00:01     
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : libmng-1.0.10-14.el7.x86_64                                  1/7 
  Installing : pciutils-3.2.1-4.el7.x86_64                                  2/7 
  Installing : qt-settings-19-23.4.el7.noarch                               3/7 
  Installing : 1:qt-4.8.5-8.el7.x86_64                                      4/7 
  Installing : 1:qt-x11-4.8.5-8.el7.x86_64                                  5/7 
  Installing : fwbuilder-5.1.0.3599-4.el7.centos.x86_64                     6/7 
  Installing : fwbuilder-ipt-5.1.0.3599-4.el7.centos.x86_64                 7/7 
  Verifying  : qt-settings-19-23.4.el7.noarch                               1/7 
  Verifying  : pciutils-3.2.1-4.el7.x86_64                                  2/7 
  Verifying  : 1:qt-x11-4.8.5-8.el7.x86_64                                  3/7 
  Verifying  : fwbuilder-5.1.0.3599-4.el7.centos.x86_64                     4/7 
  Verifying  : fwbuilder-ipt-5.1.0.3599-4.el7.centos.x86_64                 5/7 
  Verifying  : 1:qt-4.8.5-8.el7.x86_64                                      6/7 
  Verifying  : libmng-1.0.10-14.el7.x86_64                                  7/7 

Installed:
  fwbuilder.x86_64 0:5.1.0.3599-4.el7.centos                                    
  fwbuilder-ipt.x86_64 0:5.1.0.3599-4.el7.centos                                

Dependency Installed:
  libmng.x86_64 0:1.0.10-14.el7         pciutils.x86_64 0:3.2.1-4.el7           
  qt.x86_64 1:4.8.5-8.el7               qt-settings.noarch 0:19-23.4.el7        
  qt-x11.x86_64 1:4.8.5-8.el7          

Complete!

Mit nachfolgenden Befehlen kann überprüft werden, welche Inhalte mit den Paketen installiert wurden.

Paket fwbuilder:

# rpm -qil fwbuilder
Name        : fwbuilder
Version     : 5.1.0.3599
Release     : 4.el7.centos
Architecture: x86_64
Install Date: Fri 10 Oct 2014 02:37:18 PM CEST
Group       : Applications/System
Size        : 22134827
License     : GPLv2+
Signature   : RSA/SHA1, Thu 02 Oct 2014 04:05:24 PM CEST, Key ID 60ecfb9e8195aea0
Source RPM  : fwbuilder-5.1.0.3599-4.el7.centos.src.rpm
Build Date  : Thu 02 Oct 2014 04:03:17 PM CEST
Build Host  : vml000200.dmz.nausch.org
Relocations : (not relocatable)
Packager    : Django <django@nausch.org>
URL         : http://www.fwbuilder.org/
Summary     : Firewall Builder
Description :
Firewall Builder consists of a GUI and set of policy compilers for
various firewall platforms. It helps users maintain a database of
objects and allows policy editing using simple drag-and-drop
operations. GUI generates firewall description in the form of XML
file, which compilers then interpret and generate platform-specific
code. Several algorithms are provided for automated network objects
discovery and bulk import of data. The GUI and policy compilers are
completely independent, this provides for a consistent abstract model
and the same GUI for different firewall platforms.
/usr/bin/fwbedit
/usr/bin/fwbuilder
/usr/share/applications/fwbuilder.desktop
/usr/share/doc/fwbuilder-5.1.0.3599
/usr/share/doc/fwbuilder-5.1.0.3599/AUTHORS
/usr/share/doc/fwbuilder-5.1.0.3599/COPYING
/usr/share/doc/fwbuilder-5.1.0.3599/ChangeLog
/usr/share/doc/fwbuilder-5.1.0.3599/Credits
/usr/share/doc/fwbuilder-5.1.0.3599/PatchAcceptancePolicy.txt
/usr/share/doc/fwbuilder-5.1.0.3599/README.floppyfw
/usr/share/doc/fwbuilder-5.1.0.3599/ReleaseNotes_template.html
/usr/share/fwbuilder
/usr/share/fwbuilder/configlets
/usr/share/fwbuilder/configlets/bsd
/usr/share/fwbuilder/configlets/bsd/bridge_interface
/usr/share/fwbuilder/configlets/bsd/bridge_port
/usr/share/fwbuilder/configlets/bsd/carp_interface
/usr/share/fwbuilder/configlets/bsd/ifconfig_interface
/usr/share/fwbuilder/configlets/bsd/kernel_vars
/usr/share/fwbuilder/configlets/bsd/pfsync_interface
/usr/share/fwbuilder/configlets/bsd/shell_functions
/usr/share/fwbuilder/configlets/bsd/tools
/usr/share/fwbuilder/configlets/bsd/update_addresses
/usr/share/fwbuilder/configlets/bsd/update_bridge
/usr/share/fwbuilder/configlets/bsd/update_carp
/usr/share/fwbuilder/configlets/bsd/update_pfsync
/usr/share/fwbuilder/configlets/bsd/update_vlans
/usr/share/fwbuilder/configlets/dd-wrt-jffs
/usr/share/fwbuilder/configlets/dd-wrt-jffs/check_utilities
/usr/share/fwbuilder/configlets/dd-wrt-jffs/installer_commands_reg_user
/usr/share/fwbuilder/configlets/dd-wrt-jffs/installer_commands_root
/usr/share/fwbuilder/configlets/dd-wrt-jffs/routing_functions
/usr/share/fwbuilder/configlets/dd-wrt-jffs/script_skeleton
/usr/share/fwbuilder/configlets/dd-wrt-jffs/top_comment
/usr/share/fwbuilder/configlets/dd-wrt-nvram
/usr/share/fwbuilder/configlets/dd-wrt-nvram/check_utilities
/usr/share/fwbuilder/configlets/dd-wrt-nvram/installer_commands_reg_user
/usr/share/fwbuilder/configlets/dd-wrt-nvram/installer_commands_root
/usr/share/fwbuilder/configlets/dd-wrt-nvram/routing_functions
/usr/share/fwbuilder/configlets/dd-wrt-nvram/script_skeleton
/usr/share/fwbuilder/configlets/dd-wrt-nvram/top_comment
/usr/share/fwbuilder/configlets/freebsd
/usr/share/fwbuilder/configlets/freebsd/carp_interface
/usr/share/fwbuilder/configlets/freebsd/ifconfig_interface
/usr/share/fwbuilder/configlets/freebsd/installer_commands_reg_user
/usr/share/fwbuilder/configlets/freebsd/installer_commands_root
/usr/share/fwbuilder/configlets/freebsd/kernel_vars
/usr/share/fwbuilder/configlets/freebsd/rc_conf_bridge_port
/usr/share/fwbuilder/configlets/freebsd/rc_conf_carp_interface
/usr/share/fwbuilder/configlets/freebsd/rc_conf_ifconfig_interface
/usr/share/fwbuilder/configlets/freebsd/rc_conf_kernel_vars
/usr/share/fwbuilder/configlets/freebsd/rc_conf_pfsync_interface
/usr/share/fwbuilder/configlets/freebsd/routing_functions
/usr/share/fwbuilder/configlets/freebsd/tools
/usr/share/fwbuilder/configlets/fwsm_os
/usr/share/fwbuilder/configlets/fwsm_os/failover_commands_2
/usr/share/fwbuilder/configlets/fwsm_os/failover_commands_3_2
/usr/share/fwbuilder/configlets/fwsm_os/failover_interface_2
/usr/share/fwbuilder/configlets/fwsm_os/failover_interface_3_2
/usr/share/fwbuilder/configlets/fwsm_os/installer_commands_post_config
/usr/share/fwbuilder/configlets/fwsm_os/installer_commands_pre_config
/usr/share/fwbuilder/configlets/fwsm_os/installer_commands_reg_user
/usr/share/fwbuilder/configlets/fwsm_os/ntp
/usr/share/fwbuilder/configlets/fwsm_os/regular_interface_2
/usr/share/fwbuilder/configlets/fwsm_os/regular_interface_3_2
/usr/share/fwbuilder/configlets/fwsm_os/snmp
/usr/share/fwbuilder/configlets/fwsm_os/ssh
/usr/share/fwbuilder/configlets/fwsm_os/vlan_parent_interface_2
/usr/share/fwbuilder/configlets/fwsm_os/vlan_parent_interface_3_2
/usr/share/fwbuilder/configlets/fwsm_os/vlan_subinterface_2
/usr/share/fwbuilder/configlets/fwsm_os/vlan_subinterface_3_2
/usr/share/fwbuilder/configlets/ios
/usr/share/fwbuilder/configlets/ios/installer_commands_post_config
/usr/share/fwbuilder/configlets/ios/installer_commands_pre_config
/usr/share/fwbuilder/configlets/ios/installer_commands_reg_user
/usr/share/fwbuilder/configlets/ios/safety_net_acl
/usr/share/fwbuilder/configlets/ios/script_skeleton
/usr/share/fwbuilder/configlets/ios/top_comment
/usr/share/fwbuilder/configlets/ipcop
/usr/share/fwbuilder/configlets/ipcop/automatic_rules
/usr/share/fwbuilder/configlets/ipcop/installer_commands_reg_user
/usr/share/fwbuilder/configlets/ipcop/installer_commands_root
/usr/share/fwbuilder/configlets/ipcop/kernel_vars
/usr/share/fwbuilder/configlets/ipcop/script_skeleton
/usr/share/fwbuilder/configlets/ipcop/shell_functions
/usr/share/fwbuilder/configlets/ipcop/update_addresses
/usr/share/fwbuilder/configlets/ipcop/update_bonding
/usr/share/fwbuilder/configlets/ipcop/update_bridge
/usr/share/fwbuilder/configlets/ipcop/update_vlans
/usr/share/fwbuilder/configlets/ipf
/usr/share/fwbuilder/configlets/ipf/activation
/usr/share/fwbuilder/configlets/ipf/script_skeleton
/usr/share/fwbuilder/configlets/ipf/top_comment
/usr/share/fwbuilder/configlets/ipfw
/usr/share/fwbuilder/configlets/ipfw/script_skeleton
/usr/share/fwbuilder/configlets/ipfw/top_comment
/usr/share/fwbuilder/configlets/linux24
/usr/share/fwbuilder/configlets/linux24/automatic_rules
/usr/share/fwbuilder/configlets/linux24/block_action
/usr/share/fwbuilder/configlets/linux24/check_utilities
/usr/share/fwbuilder/configlets/linux24/configure_interfaces
/usr/share/fwbuilder/configlets/linux24/conntrack
/usr/share/fwbuilder/configlets/linux24/constants
/usr/share/fwbuilder/configlets/linux24/installer_commands_reg_user
/usr/share/fwbuilder/configlets/linux24/installer_commands_root
/usr/share/fwbuilder/configlets/linux24/ip_forwarding
/usr/share/fwbuilder/configlets/linux24/kernel_vars
/usr/share/fwbuilder/configlets/linux24/load_modules
/usr/share/fwbuilder/configlets/linux24/prolog_epilog_functions
/usr/share/fwbuilder/configlets/linux24/reset_iptables
/usr/share/fwbuilder/configlets/linux24/routing_functions
/usr/share/fwbuilder/configlets/linux24/run_time_address_tables
/usr/share/fwbuilder/configlets/linux24/run_time_wrappers
/usr/share/fwbuilder/configlets/linux24/script_body_iptables_restore
/usr/share/fwbuilder/configlets/linux24/script_body_iptables_shell
/usr/share/fwbuilder/configlets/linux24/script_body_single_rule
/usr/share/fwbuilder/configlets/linux24/script_skeleton
/usr/share/fwbuilder/configlets/linux24/shell_functions
/usr/share/fwbuilder/configlets/linux24/status_action
/usr/share/fwbuilder/configlets/linux24/stop_action
/usr/share/fwbuilder/configlets/linux24/top_comment
/usr/share/fwbuilder/configlets/linux24/update_addresses
/usr/share/fwbuilder/configlets/linux24/update_bonding
/usr/share/fwbuilder/configlets/linux24/update_bridge
/usr/share/fwbuilder/configlets/linux24/update_vlans
/usr/share/fwbuilder/configlets/linux24/verify_interfaces
/usr/share/fwbuilder/configlets/macosx
/usr/share/fwbuilder/configlets/macosx/installer_commands_reg_user
/usr/share/fwbuilder/configlets/macosx/installer_commands_root
/usr/share/fwbuilder/configlets/macosx/kernel_vars
/usr/share/fwbuilder/configlets/macosx/tools
/usr/share/fwbuilder/configlets/openbsd
/usr/share/fwbuilder/configlets/openbsd/installer_commands_reg_user
/usr/share/fwbuilder/configlets/openbsd/installer_commands_root
/usr/share/fwbuilder/configlets/openbsd/kernel_vars
/usr/share/fwbuilder/configlets/openbsd/routing_functions
/usr/share/fwbuilder/configlets/openbsd/tools
/usr/share/fwbuilder/configlets/openwrt
/usr/share/fwbuilder/configlets/openwrt/check_utilities
/usr/share/fwbuilder/configlets/openwrt/installer_commands_reg_user
/usr/share/fwbuilder/configlets/openwrt/installer_commands_root
/usr/share/fwbuilder/configlets/openwrt/load_modules
/usr/share/fwbuilder/configlets/openwrt/script_skeleton
/usr/share/fwbuilder/configlets/openwrt/top_comment
/usr/share/fwbuilder/configlets/pf
/usr/share/fwbuilder/configlets/pf/activation
/usr/share/fwbuilder/configlets/pf/rc_conf_activation
/usr/share/fwbuilder/configlets/pf/rc_conf_skeleton
/usr/share/fwbuilder/configlets/pf/rc_conf_top_comment
/usr/share/fwbuilder/configlets/pf/script_skeleton
/usr/share/fwbuilder/configlets/pf/top_comment
/usr/share/fwbuilder/configlets/pix_os
/usr/share/fwbuilder/configlets/pix_os/failover_commands_6
/usr/share/fwbuilder/configlets/pix_os/failover_commands_7
/usr/share/fwbuilder/configlets/pix_os/failover_interface_6
/usr/share/fwbuilder/configlets/pix_os/failover_interface_7
/usr/share/fwbuilder/configlets/pix_os/installer_commands_post_config
/usr/share/fwbuilder/configlets/pix_os/installer_commands_pre_config
/usr/share/fwbuilder/configlets/pix_os/installer_commands_reg_user
/usr/share/fwbuilder/configlets/pix_os/ntp
/usr/share/fwbuilder/configlets/pix_os/regular_interface_6
/usr/share/fwbuilder/configlets/pix_os/regular_interface_7
/usr/share/fwbuilder/configlets/pix_os/script_skeleton
/usr/share/fwbuilder/configlets/pix_os/snmp
/usr/share/fwbuilder/configlets/pix_os/ssh
/usr/share/fwbuilder/configlets/pix_os/top_comment
/usr/share/fwbuilder/configlets/pix_os/vlan_parent_interface_6
/usr/share/fwbuilder/configlets/pix_os/vlan_parent_interface_7
/usr/share/fwbuilder/configlets/pix_os/vlan_subinterface_6
/usr/share/fwbuilder/configlets/pix_os/vlan_subinterface_7
/usr/share/fwbuilder/configlets/procurve
/usr/share/fwbuilder/configlets/procurve/installer_commands_post_config
/usr/share/fwbuilder/configlets/procurve/installer_commands_pre_config
/usr/share/fwbuilder/configlets/procurve/installer_commands_reg_user
/usr/share/fwbuilder/configlets/procurve/safety_net_acl
/usr/share/fwbuilder/configlets/procurve/script_skeleton
/usr/share/fwbuilder/configlets/procurve/top_comment
/usr/share/fwbuilder/configlets/secuwall
/usr/share/fwbuilder/configlets/secuwall/installer_commands_reg_user
/usr/share/fwbuilder/configlets/secuwall/installer_commands_root
/usr/share/fwbuilder/configlets/secuwall/management_rules
/usr/share/fwbuilder/configlets/secuwall/script_skeleton
/usr/share/fwbuilder/configlets/solaris
/usr/share/fwbuilder/configlets/solaris/installer_commands_reg_user
/usr/share/fwbuilder/configlets/solaris/installer_commands_root
/usr/share/fwbuilder/configlets/solaris/kernel_vars
/usr/share/fwbuilder/configlets/solaris/tools
/usr/share/fwbuilder/configlets/sveasoft
/usr/share/fwbuilder/configlets/sveasoft/installer_commands_reg_user
/usr/share/fwbuilder/configlets/sveasoft/installer_commands_root
/usr/share/fwbuilder/configlets/sveasoft/script_skeleton
/usr/share/fwbuilder/configlets/sveasoft/shell_functions
/usr/share/fwbuilder/configlets/sveasoft/top_comment
/usr/share/fwbuilder/fwbuilder.dtd
/usr/share/fwbuilder/help
/usr/share/fwbuilder/help/en_US
/usr/share/fwbuilder/help/en_US/cluster_interfaces.png
/usr/share/fwbuilder/help/en_US/create_and_add_to_group.png
/usr/share/fwbuilder/help/en_US/ipcopAdvancedDialog.html
/usr/share/fwbuilder/help/en_US/ipcoposAdvancedDialog.html
/usr/share/fwbuilder/help/en_US/ipfw_Classify.html
/usr/share/fwbuilder/help/en_US/iptAdvancedDialog.html
/usr/share/fwbuilder/help/en_US/iptables_Branch.html
/usr/share/fwbuilder/help/en_US/iptables_Classify.html
/usr/share/fwbuilder/help/en_US/iptables_Route.html
/usr/share/fwbuilder/help/en_US/iptables_Tag.html
/usr/share/fwbuilder/help/en_US/iptables_rule_options.html
/usr/share/fwbuilder/help/en_US/linux24AdvancedDialog.html
/usr/share/fwbuilder/help/en_US/main.html
/usr/share/fwbuilder/help/en_US/new_bridge_interfaces.png
/usr/share/fwbuilder/help/en_US/pfAdvancedDialog.html
/usr/share/fwbuilder/help/en_US/pf_Branch.html
/usr/share/fwbuilder/help/en_US/pf_Classify.html
/usr/share/fwbuilder/help/en_US/pf_Route.html
/usr/share/fwbuilder/help/en_US/pf_Tag.html
/usr/share/fwbuilder/help/en_US/pf_rule_options.html
/usr/share/fwbuilder/help/en_US/pix-failover-group-1.png
/usr/share/fwbuilder/help/en_US/pix-failover-groups-mapping.png
/usr/share/fwbuilder/help/en_US/pix-statesync-group-1.png
/usr/share/fwbuilder/help/en_US/pix-statesync-group-mapping.png
/usr/share/fwbuilder/help/en_US/release_notes_4.0.0.html
/usr/share/fwbuilder/help/en_US/release_notes_4.0.1.html
/usr/share/fwbuilder/help/en_US/release_notes_4.1.0.html
/usr/share/fwbuilder/help/en_US/release_notes_4.1.1.html
/usr/share/fwbuilder/help/en_US/release_notes_4.1.2.html
/usr/share/fwbuilder/help/en_US/release_notes_4.1.3.html
/usr/share/fwbuilder/help/en_US/release_notes_4.2.0.html
/usr/share/fwbuilder/help/en_US/release_notes_4.2.1.html
/usr/share/fwbuilder/help/en_US/release_notes_4.2.2.html
/usr/share/fwbuilder/help/en_US/release_notes_5.0.0.html
/usr/share/fwbuilder/help/en_US/release_notes_5.0.1.html
/usr/share/fwbuilder/help/en_US/release_notes_5.1.0.html
/usr/share/fwbuilder/help/en_US/state_sync_configuration.png
/usr/share/fwbuilder/help/en_US/tip01.html
/usr/share/fwbuilder/help/en_US/tip02.html
/usr/share/fwbuilder/help/en_US/tip03.html
/usr/share/fwbuilder/help/en_US/tip04.html
/usr/share/fwbuilder/help/en_US/tip05.html
/usr/share/fwbuilder/help/en_US/tip06.html
/usr/share/fwbuilder/help/en_US/tip07.html
/usr/share/fwbuilder/help/en_US/tip08.html
/usr/share/fwbuilder/help/en_US/tip09.html
/usr/share/fwbuilder/help/en_US/tip10.html
/usr/share/fwbuilder/help/en_US/vlan_interfaces.png
/usr/share/fwbuilder/migration
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.0.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.1.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.10.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.11.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.12.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.13.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.14.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.2.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.3.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.4.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.5.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.6.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.7.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.8.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.10.9.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.9.0.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.9.1.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.9.2.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.9.3.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.9.4.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_0.9.5.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_1.0.0.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_1.0.1.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_1.0.2.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_10.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_11.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_12.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_13.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_14.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_15.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_16.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_17.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_18.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_19.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.0.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.1.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.10.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.11.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.12.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.2.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.3.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.4.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.5.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.6.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.7.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.8.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.9.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.0.99.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.0.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.1.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.10.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.11.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.12.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.13.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.14.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.15.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.16.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.17.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.18.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.19.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.2.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.3.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.4.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.5.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.6.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.7.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.8.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.9.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_2.1.99.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_20.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_21.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_3.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_4.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_5.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_6.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_7.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_8.xslt
/usr/share/fwbuilder/migration/FWObjectDatabase_9.xslt
/usr/share/fwbuilder/objects_init.xml
/usr/share/fwbuilder/os
/usr/share/fwbuilder/os/dd-wrt-jffs.xml
/usr/share/fwbuilder/os/dd-wrt-nvram.xml
/usr/share/fwbuilder/os/endian.xml
/usr/share/fwbuilder/os/freebsd.xml
/usr/share/fwbuilder/os/fwsm_os.xml
/usr/share/fwbuilder/os/ios.xml
/usr/share/fwbuilder/os/ipcop.xml
/usr/share/fwbuilder/os/linux24.xml
/usr/share/fwbuilder/os/macosx.xml
/usr/share/fwbuilder/os/oneshield.xml
/usr/share/fwbuilder/os/openbsd.xml
/usr/share/fwbuilder/os/openwrt.xml
/usr/share/fwbuilder/os/pix_os.xml
/usr/share/fwbuilder/os/procurve.xml
/usr/share/fwbuilder/os/secuwall.xml
/usr/share/fwbuilder/os/solaris.xml
/usr/share/fwbuilder/os/sveasoft.xml
/usr/share/fwbuilder/os/unknown_os.xml
/usr/share/fwbuilder/platform
/usr/share/fwbuilder/platform/fwsm.xml
/usr/share/fwbuilder/platform/iosacl.xml
/usr/share/fwbuilder/platform/ipf.xml
/usr/share/fwbuilder/platform/ipfw.xml
/usr/share/fwbuilder/platform/iptables.xml
/usr/share/fwbuilder/platform/pf.xml
/usr/share/fwbuilder/platform/pix.xml
/usr/share/fwbuilder/platform/procurve_acl.xml
/usr/share/fwbuilder/platform/unknown.xml
/usr/share/fwbuilder/resources.xml
/usr/share/fwbuilder/templates.xml
/usr/share/icons/hicolor/128x128/apps/fwbuilder.png
/usr/share/icons/hicolor/16x16/apps/fwbuilder.png
/usr/share/icons/hicolor/24x24/apps/fwbuilder.png
/usr/share/icons/hicolor/256x256/apps/fwbuilder.png
/usr/share/icons/hicolor/32x32/apps/fwbuilder.png
/usr/share/icons/hicolor/48x48/apps/fwbuilder.png
/usr/share/icons/hicolor/512x512/apps/fwbuilder.png
/usr/share/icons/hicolor/72x72/apps/fwbuilder.png
/usr/share/man/man1/fwbedit.1.gz
/usr/share/man/man1/fwbuilder.1.gz

Paket fwbuilder-ipt:

# rpm -qil fwbuilder-ipt
Name        : fwbuilder-ipt
Version     : 5.1.0.3599
Release     : 4.el7.centos
Architecture: x86_64
Install Date: Fri 10 Oct 2014 02:37:20 PM CEST
Group       : Applications/System
Size        : 2725755
License     : GPLv2+
Signature   : RSA/SHA1, Thu 02 Oct 2014 04:05:26 PM CEST, Key ID 60ecfb9e8195aea0
Source RPM  : fwbuilder-5.1.0.3599-4.el7.centos.src.rpm
Build Date  : Thu 02 Oct 2014 04:03:17 PM CEST
Build Host  : vml000200.dmz.nausch.org
Relocations : (not relocatable)
Packager    : Django <django@nausch.org>
URL         : http://www.fwbuilder.org/
Summary     : Policy Compiler for IPTables
Description :
Policy compiler for IPTables
/usr/bin/fwb_ipt
/usr/share/doc/fwbuilder-ipt-5.1.0.3599
/usr/share/doc/fwbuilder-ipt-5.1.0.3599/README.ipt
/usr/share/man/man1/fwb_ipt.1.gz

Konfiguration

Benutzer

Aus Sicherheitsgründen, sollte ein bestimmter Benutzer zur Verwaltung von Firewall-Regelsätzen angelegt werden.

:!: WICHTIG - Dieser Benutzer muss auf ALLEN Firewalls UND auf dem Firewall Builder-Server selbst angelegt werden !!!

Es soll eine Gruppe:

  • fwadmin

angelegt werden, und ein Benutzer:

  • fwadmin

angelegt werden unter dem die gesamte Verwaltung der Firewall-Regelsätze erfolgen soll.

Um eine neue Gruppe anzulegen, kann nachfolgender Befehl genutzt werden:

# groupadd -g 599 fwadmin

Ob der vorhergehende Befehl korrekt durchgeführt wurde, kann mit nachfolgendem Befehl ermittelt werden, welcher eine Ausgabe, wie nachfolgend dargestellt, anzeigen sollte:

# cat /etc/group | grep 599
fwadmin:x:599:

Um eine neuen Benutzer anzulegen, kann nachfolgender Befehl genutzt werden:

# useradd -c "FirewallBuilder" -g 599 -m -s /bin/bash -u 599 fwadmin

Ob der vorhergehende Befehl korrekt durchgeführt wurde, kann mit nachfolgendem Befehl ermittelt werden, welcher eine Ausgabe, wie nachfolgend dargestellt, anzeigen sollte:

# cat /etc/passwd | grep 599
fwadmin:x:599:599:FirewallBuilder:/home/fwadmin:/bin/bash

Abschließend muss noch ein Passwort für den Benutzer fwadmin mit nachfolgendem Befehl gesetzt werden:

# passwd fwadmin
Changing password for user fwadmin.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

Public-Key

:!: HINWEIS - Aus Sicherheitsgründen, sollte SSH-Schlüsselpaar für den Benutzer erzeugt werden !!!

Der Benutzer fwadmin sollte sich nicht mit seinem Benutzernamen und einem Passwort zum verteilen der iptables-Firewall-Regeln am jeweiligen Server anmelden, sondern dies unter Zuhilfenahme eines SSH-Schlüssel durchführen.

Wie ein SSH-Schlüssel erzeugt und eingesetzt werden kann, kann unter nachfolgendem internen Link nachgelesen werden:

Einstellungen

Um den Firewall Builder zur Installation eines Firewall-Regelwerks nutzen zu können, müssen einige Parameter im FirewallBuilder hinterlegt werden.

Als erstes sollte eine Verzeichnis im home-Verzeichnis des soeben angelegten Benutzers fwadmin mit nachfolgendem Befehl angelegt werden, welches zur Aufnahme von Daten des FirewallBuilder dient:

# mkdir /home/fwadmin/fwb

Nach dem erfolgreichen Start des Firewall Builder, sollte nachfolgendes Fenster erscheinen.

Firewall Builder - Start

Zuerst sollte eine Basiskonfiguration des Firewall Builder unter Aufruf des Menüpunktes

  • Edit | Preferences

Firewall Builder - Edit - Preferences

nachfolgendes Dialog-Fenster zu sehen sein und der Reiter

  • General

geöffnet sein:

Firewall Builder - Edit - Preferences - General

Nachfolgende Ergänzungen sollten nun durchgeführt werden:

Feldname Standardwert Neuer Wert
Working directory: /home/fwadmin/fwb
Data directory: /home/fwadmin/fwb

:!: HINWEIS - Alle anderen Einstellungen können auf den Standardwerten belassen werden.

Im Reiter

  • Objects

Firewall Builder - Edit - Preferences - Objects

sollten nachfolgende Änderungen im Unterreiter Policy Rules nun durchgeführt werden:

Feldname Standardwert Neuer Wert
Create new policy rules with logging turned on [ohne Haken]
Create new policy rules with action Deny Accept

:!: HINWEIS - Alle anderen Einstellungen können auf den Standardwerten belassen werden.

Im Reiter

  • Data File

Firewall Builder - Edit - Preferences - Data File

:!: HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.

Im Reiter

  • Installer

Firewall Builder - Edit - Preferences - Installer

sollten nachfolgende Änderungen nun durchgeführt werden:

Feldname Standardwert Neuer Wert
A full path to the Secure Shell utility (…): ssh /usr/bin/ssh
A full path to the SCP utility (…): scp /usr/bin/scp

:!: HINWEIS - Alle anderen Einstellungen können auf den Standardwerten belassen werden.

Im Reiter

  • Labels - Standard

Firewall Builder - Edit - Preferences - Labels

:!: HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.

  • Labels - Zonenmodell

Firewall Builder - Edit - Preferences - Labels - Zonenmodell

sollten nachfolgende Änderungen nun durchgeführt werden:

Label Farbcode R G B H S V
BLOCKED rot 200 110 110 0 115 200
INPUT untrust türkis 60 168 168 180 164 168
INPUT trust grün 139 192 101 94 121 192
FORWARD untrust → trust orange 192 139 90 28 135 192
FORWARD trust → untrust gelb 192 186 68 57 165 192
OUTPUT untrust lila 163 126 192 273 58 192
OUTPUT trust blau 118 148 192 215 98 192

Im Reiter

  • Appearance

Firewall Builder - Edit - Preferences - Appearance

sollten nachfolgende Änderungen nun durchgeführt werden:

Feldname Standardwert Neuer Wert
Icons size in rules 25×25 16×16

Im Reiter

  • Platform and OS

Firewall Builder - Edit - Preferences - Platform and OS

sollten nachfolgende Änderungen nun durchgeführt werden:

Feldname Standardwert Neuer Wert
iptables
Linux 2.4/2.6

:!: HINWIES - Alle anderen Werte sollten deaktiviert werden !!!

Firewall

Vor der Neuanlage einer Firewall durch den Firewall Builder (welche durch eine Assistenten erfolgen kann), sollte ein Verzeichnis auf dem Server angelegt werden, in dem die Regelsätze abgespeichert werden, auf dem der Firewall Builder installiert ist.

Dies kann mit nachfolgendem Befehl durchgeführt werden und sollte ebenfalls unter dem Benutzer fwadmin erfolgen:

# mkdir /home/fwadmin/fw

:!: HINWEIS - Dies ist der Speicherort für alle Firewalls, welche durch den Firewall Builder verwaltet bzw. ausgeliefert werden!

Nachdem nun die Basiskonfiguration des Firewall Builder durchgeführt sein sollte, kann nun eine Konfigurationsdatei für die Firewalls (am besten mehrere in einer Datei) erstellt werden, was unter Aufruf des Menüpunktes:

  • File | New Object File

Firewall Builder - File - New Object File

und mit erscheinen des nachfolgenden Dialog-Fenster durchgeführt werden kann:

Firewall Builder - File - New Object File - Dialog

Nach erfolgreicher Anlage einer neuen Datei, in dem alle Firewalls, welche durch den Firewall Builder verwaltet bzw. ausgeliefert werden, gespeichert werden können, sollte nachfolgendes Fenster erscheinen:

Firewall Builder - Create new firewall

Hier kann dann die Schaltfläche [Create new fiewall] mit der [linke Maustaste] angeklickt werden, wodurch nachfolgendes Dialog-Fenster erscheinen sollte:

Firewall Builder - Create new firewall - Schritt 1

Nachfolgende Ergänzungen sollten nun durchgeführt werden:

Feldname Standardwert Neuer Wert
Name of the new firewall object: myFirewall
Choose firewall software it is running: iptables
Choose OS the new firewall runs on Linux 2.4/2.6

Um zum nächsten Schritt zu gelangen kann mit der [linkes Maustase] auf die Schaltfläche [Next >] geklickt werden, wonach nachfolgender Dialog erscheinen sollte:

Firewall Builder - Create new firewall - Schritt 2

:!: HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.

Um zum nächsten Schritt zu gelangen kann mit der [linkes Maustase] auf die Schaltfläche [Next >] geklickt werden, wonach nachfolgender Dialog erscheinen sollte:

:!: HINWEIS - Hier können, müssen aber keine Interface angelegt werden. Dies kann auch später noch durchgeführt werden!

Firewall Builder - Create new firewall - Schritt 3

Um zum letzten Schritt zu gelangen und die Einrichtung einer Firewall abzuschließen kann mit der [linkes Maustase] auf die Schaltfläche [Finish] geklickt werden, wonach die Anzeige auf das ursprüngliche Fenster, durch beenden des Dialog-Fensters, zurückspringt:

Create new firewall - Fertig

Im Editor kann als abschließende Aktion hier, noch die

  • Version

eingestellt werden.

Feldname Standardwert Neuer Wert
Version: 1.4.4 or later

Host OS Settings

Nachdem nun im Firewall Builder eine erste Firewall angelegt wurde, kann diese noch in Ihrem Verhalten Konfiguriert werden.

Aufruf über die Schaltfläche [Host OS Settings …] durch anklicken mit der [linken]-Maustaste, sollte nachfolgendes Dialog-Fenster erscheinen:

Im Reiter

  • Options

Firwall Builder - Host OS Settings - Options

sollten nachfolgende Änderungen nun durchgeführt werden:

Feldname Standardwert Neuer Wert
Kernel anti-spoofing protection No change On

:!: HINWEIS - Je nachdem, ob IPv4 Packet forwarding aktiviert ist, wird dies entsprechend gesetzt angezeigt und sollte auch nicht verändert werden !

Im Reiter

  • TCP

Firwall Builder - Host OS Settings - TCP

:!: HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.

Im Reiter

  • Path

Firwall Builder - Host OS Settings - Path

:!: HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.

Im Reiter

  • conntrack

Firwall Builder - Host OS Settings - conntrack

:!: HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.

Im Reiter

  • Data

Firwall Builder - Host OS Settings - Data

:!: HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.

Firewall Settings

Nachdem nun im Firewall Builder eine erste Firewall angelegt wurde und die Betriebssystem-Einstellungen ggf. ebenfalls angepasst wurden, kann diese noch in Ihrem direkten Verhalten Konfiguriert werden.

Aufruf über die Schaltfläche [Firewall Settings …] durch anklicken mit der [linken]-Maustaste, sollte nachfolgendes Dialog-Fenster erscheinen:

Im Reiter

  • Compiler

Firwall Builder - Firewall Settings - Compiler

sollten nachfolgende Änderungen nun durchgeführt werden:

Feldname Standardwert Neuer Wert
Output file name: /home/fwadmin/fw/myFirewall.fw
Assume firewall ist part of 'any'
Accept ESTABLISHED and RELATED packets before the first rule
Ignore empty groups in rules
Enable support of NAT of locally originated connections
Default action on 'Reject': ICMP Host unreachable

Im Reiter

  • Installer - Variante SCP/SSH

Firwall Builder - Firewall Settings - Installer - SCP/SSH

sollten nachfolgende Änderungen nun durchgeführt werden:

Feldname Standardwert Neuer Wert
Directory on the firewall where script should be installed /home/fwadmin/fw
User name used to authentivcate to the firewall (…) fwadmin
Alternative name or address used to communicate with the firewall (…) [IPv4-Adresse]
Additional command line parameters for ssh -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin
Additional command line parameters for scp -P 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin
  • Installer - Variante SCRIPT

Firwall Builder - Firewall Settings - Installer - SCRIPT

sollten nachfolgende Änderungen nun durchgeführt werden:

Feldname Standardwert Neuer Wert
Policy install script (…) /home/fwadmin/fw/myFirewall_wrapper.sh

Im Reiter

  • Prolog/Epilog

Firwall Builder - Firewall Settings - Prolog/Epilog

sollten nachfolgende Änderungen nun durchgeführt werden:

Feldname Standardwert Neuer Wert
The following command will be added verbatim after generated configuration /usr/sbin/iptables-save > /etc/sysconfig/iptables

Im Reiter

  • Logging

Firwall Builder - Firewall Settings - Logging

sollten nachfolgende Änderungen nun durchgeführt werden:

Feldname Standardwert Neuer Wert
use numeric syslog levels

Im Reiter

  • Script

Firwall Builder - Firewall Settings - Script

:!: HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.

Im Reiter

  • IPv6

Firwall Builder - Firewall Settings - IPv6

:!: HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.

/etc/sudoers

Nachfolgende Änderung, MUSS auf JEDER Firewall durchgeführt werden, um den Firewall-Regelsatz auch ausführen bzw. installieren zu können!

Die Konfigurationsdatei

  • /etc/sudoers

sollte mit nachfolgendem Befehl

# visudo
wie folgt ergänzt werden (nur relevanter Ausschnitt):
...
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
 
# Tachtler
%fwadmin ALL = PASSWD: /home/fwadmin/fw/firewallname.fw
...

:!: HINWEIS - Falls die entsprechende Firewall nicht direkt, mit einer route erreichbar ist, kann auch nachfolgende Konfiguration nötig sein!

...
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
 
# Tachtler
Defaults:fwadmin !requiretty
%fwadmin ALL = NOPASSWD: /home/fwadmin/fw/firewallname.fw
...

:!: HINWEIS - Die Zeile Defaults:fwadmin !requiretty bedeutet, das der Bernutzer fwadmin keine tty zur Ausführung des shell-Skriptes benötigt !

Cookies helfen bei der Bereitstellung von Inhalten. Durch die Nutzung dieser Seiten erklären Sie sich damit einverstanden, dass Cookies auf Ihrem Rechner gespeichert werden. Weitere Information
tachtler/firewallbuilder_centos_7.txt · Zuletzt geändert: 2015/04/30 17:00 von klaus