Inhaltsverzeichnis
FirewallBuilder CentOS 7
Der FirewallBuilder ist ein grafisches Programm, welches einen X-Server benötigt. Dabei ist die einfache, grafische Bedienung einer der größten Vorteile beim erstellen selbst komplexer Regelsätze, was enorm Zeitsparend ist und dazu keine detaillierten Kenntnisse der Firewall-Syntax voraussetzt.
WICHTIG - Nachfolgend soll die Installation zur Nutzung mit
iptables.service
dargestellt werden und
- NICHT mit
firewalld.service
!!!
HINWEIS - Nachfolgend soll die Installation und die Einbettung in eine bestehendes Betriebssystem veranschaulicht werden !!!
WICHTIG - Es werden weder eine Komplettlösungen, noch eine Anleitungen zur kompletten Firewall-Konfiguration gegeben !!!
HINWEIS - Mehr Informationen zum gezielten Einsatz, können unter nachfolgenden Link bezogen werden:
Ab hier werden zur Ausführung nachfolgender Befehle root
-Rechte benötigt. Um der Benutzer root
zu werden, melden Sie sich bitte als root
-Benutzer am System an, oder wechseln mit nachfolgendem Befehl zum Benutzer root
:
$ su - Password:
Voraussetzungen
Um den FirewallBuilder einsetzen zu können, müssen nachfolgende Voraussetzungen gegeben sein:
- Ein installiertes CentOS Version 7.x Betriebssystem
- mit einem installierten und gestarteten lauffähigen X-Server und
HINWEIS - Die Installation soll durch Einbindung eines externen Repositories erfolgen, wie nachfolgen beschrieben!
Installation
Externes Repository
Zur Einbindung des externen Repositories von
Mit nachfolgendem Befehlen kann ein rpm
-Installationspaket heruntergeladen und installiert werden, mit dem das externen Repositories von http://repo.mailserver.guru als Drittrepository im Betriebssystem, als zusätzliche Quelle, eingebunden werden kann.
Zuerst sollte mit nachfolgendem Befehl in das Verzeichnis /tmp
gewechselt werden:
# cd /tmp
Nachfolgender Befehl kann das entsprechende rpm
-Paket für das externe Repository von http://repo.mailserver.guru heruntergeladen werden:
# wget http://repo.mailserver.guru/7/os/x86_64/Packages/mailserver.guru-7-1.noarch.rpm --2014-10-10 09:59:03-- http://repo.mailserver.guru/7/x86_64/mailserver.guru-7-1.noarch.rpm Resolving repo.mailserver.guru... 217.91.103.190 Connecting to repo.mailserver.guru|217.91.103.190|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 5944 (5.8K) [application/x-rpm] Saving to: “mailserver.guru-7-1.noarch.rpm” 100%[======================================>] 5,944 --.-K/s in 0s 2014-10-10 09:59:04 (200 MB/s) - “mailserver.guru-7-1.noarch.rpm” saved [5944/5944]
Mit nachfolgendem Befehl, kann nun die Installation des rpm
-Pakets für das externe Repository von http://repo.mailserver.guru durchgeführt werden:
# yum localinstall /tmp/mailserver.guru-7-1.noarch.rpm Loaded plugins: fastestmirror, priorities Repodata is over 2 weeks old. Install yum-cron? Or run: yum makecache fast Examining /tmp/mailserver.guru-7-1.noarch.rpm: mailserver.guru-7-1.noarch Marking /tmp/mailserver.guru-7-1.noarch.rpm to be installed Resolving Dependencies --> Running transaction check ---> Package mailserver.guru.noarch 0:7-1 will be installed --> Finished Dependency Resolution Dependencies Resolved ================================================================================ Package Arch Version Repository Size ================================================================================ Installing: mailserver.guru noarch 7-1 /mailserver.guru-7-1.noarch 1.8 k Transaction Summary ================================================================================ Install 1 Package Total size: 1.8 k Installed size: 1.8 k Is this ok [y/d/N]: y Downloading packages: Running transaction check Running transaction test Transaction test succeeded Running transaction Installing : mailserver.guru-7-1.noarch 1/1 Verifying : mailserver.guru-7-1.noarch 1/1 Installed: mailserver.guru.noarch 0:7-1 Complete!
Mit nachfolgendem Befehl kann überprüft werden, welcher Inhalt mit dem Paket installiert wurde.
Paket mailserver.guru-7-1.noarch:
# rpm -qil mailserver.guru.noarch Name : mailserver.guru Version : 7 Release : 1 Architecture: noarch Install Date: Fri 10 Oct 2014 10:14:23 AM CEST Group : System Environment/Base Size : 1884 License : GPLv2 Signature : RSA/SHA1, Mon 21 Jul 2014 09:23:29 AM CEST, Key ID 60ecfb9e8195aea0 Source RPM : mailserver.guru-7-1.src.rpm Build Date : Mon 21 Jul 2014 09:23:20 AM CEST Build Host : vml000200.dmz.nausch.org Relocations : (not relocatable) Packager : Django <django@mailserver.guru> Vendor : django, http://dokuwiki.nausch.org/ URL : http://repository.nausch.org/public/mailserver.guru/ Summary : Extra (Mailserver-)Packages for CentOS 7 repository configuration Description : This package contains the Extra (Mailserver-)Packages for CentOS 7 repository GPG key as well as configuration for yum and up2date. /etc/pki/rpm-gpg/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7 /etc/yum.repos.d/mailserver.guru.repo
HINWEIS - Damit könnte bereits das das externe Repository von http://repo.mailserver.guru grundsätzlich genutzt werden!
Zur Sicherheit sollte jedoch noch der GPG-Schlüssel des externen Repositories von http://repo.mailserver.guru importiert werden, da alle Pakete via GPG-Schlüssel signiert sind, und diese Signatur nur dann überprüft werden kann!
Nachfolgender Befehl lädt den GPG-Schlüssel des externen Repositories von http://repo.mailserver.guru von
herunter:
# wget http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7 --2014-10-10 10:22:42-- http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7 Resolving repo.mailserver.guru... 217.91.103.190 Connecting to repo.mailserver.guru|217.91.103.190|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 1650 (1.6K) [text/plain] Saving to: “MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7” 100%[======================================>] 1,650 --.-K/s in 0s 2014-10-10 10:22:42 (113 MB/s) - “MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7” saved [1650/1650]
Mit nachfolgendem Befehl, kann nun der GPG-Schlüssel des externen Repositories von http://repo.mailserver.guru importiert werden:
# rpm --import /tmp/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
HINWEIS - Es erfolgt KEINE Ausgabe einer Bestätigung, dass der GPG-Schlüssel importiert wurde !!!
Um das Importieren des GPG-Schlüssels zu überprüfen, kann nachfolgender Befehl verwendet werden, welcher ebenfalls nachfolgende Ausgabe erzeugen sollte. (Der als erstes aufgelistete GPG-Schlüssel, sollte hinzugekommen sein!):
# rpm -qa gpg-pubkey gpg-pubkey-8195aea0-53cc3764 gpg-pubkey-f4a80eb5-53a7ff4b
Der Inhalt des importierten GPG-Schlüssels, kann mit nachfolgendem Befehl überprüft werden:
# rpm -qi gpg-pubkey-8195aea0-53cc3764 Name : gpg-pubkey Version : 8195aea0 Release : 53cc3764 Architecture: (none) Install Date: Fri 10 Oct 2014 10:25:02 AM CEST Group : Public Keys Size : 0 License : pubkey Signature : (none) Source RPM : (none) Build Date : Sun 20 Jul 2014 11:40:52 PM CEST Build Host : localhost Relocations : (not relocatable) Packager : Django <django@mailserver.guru> Summary : gpg(Django <django@mailserver.guru>) Description : -----BEGIN PGP PUBLIC KEY BLOCK----- Version: rpm-4.11.1 (NSS-3) mQINBFPMN2QBEAC2h7LGlcWQoLQMFsq5bJxI7H+/iGeAgR0IclE3wbg8oIDvCENT z3p6TnigowkJWkNSeKgMSqJtHjEmCB853glf53s1ldGN+VVEUddqpN/8ao1ua6Kl C9zDkzw0h8o3iIlhbwIilXk3qPaXyWazsnV/6PlRLgMB7T5jDMi6DC+hgx9FGe6H 1G5MzzKlfoV3PBY2AB4Tiplx8z1Wb0OtOoTsWKy6RSlWAkcznDOOl6uqtYbCj0eX g+Gs/ExVRN4ETmN7IWKwDTJIneg9ttT1D8u903CbmbESCfkTszn8i/8h8ELky3bU c5XzqPXJPeS3J+fAcZlfGlpzQp/BqBGtUFUUiKMof7YXrOwC8OEVeRifLxN+iGB6 LtpjguLWjs4xEoVs+dFGdKYI6HqsypcinguLwwovwWQsuQ5j8iVwHWkzb0lUUhHK ORl4NdP1OJkwn7IG4h+49f2+eVQyjXCAewi2KLygQZTh1w7QFIA41+ld5SDju9oD SSYM1ohOk0018R9UKFIpKayJBZzwm0X0qGLgcSmoZ+XbfXSv5qD47u52EswELqQt va24r44I0AVL5jUQ93HWyHklxnoEU9hCvYCe8KpBBi0he1Oo5gsTb+qp+SXzmkFl PTbMYBiw4oW8dGgMqkTQcVbJWh4Dhw/ILHfRMNPfPmFM7GElxJUkL3oDPwARAQAB tB9EamFuZ28gPGRqYW5nb0BtYWlsc2VydmVyLmd1cnU+iQI5BBMBAgAjBQJTzDdk AhsDBwsJCAcDAgEGFQgCCQoLBBYCAwECHgECF4AACgkQYOz7noGVrqB2sw//UbWC viCKPDRy2asxMHgiNB8hzsNrff7p9TbWRiTepZTF1RB0Txp1N8EZVaZTBSnavtFw 2RUw3XKI7ltL2KHNNJa+rY1m7QM4vYlTOylEv4CujePoeXcJWXKjiUSdJjDbybNh TePrkeOJCidS1tWisNvyh7pMzSLYeGDTIeqYZl6xoGHmMdGAGEXz3ESB/NvoYk09 1TLr6L+hRhqLrzn5VWmYEljYQL4PxI1XtPip+zbMYob/13XM4tb+r0XySeR2b3AI UdgVBM1+h1VsMOML4RgGu1QVbDlWghdGcZfF/ITumJOxVkGODHeLZmZn6HjsNJ7x 0u6jVK0qbXLmo6ANgOnNHelZY3xO44loUvCu0taXwPfB55fzgjvWwsKXvFFvunyZ EjuSCXiaHHEtqPDj21RIern1Yy+Ko+tafIQl6oHsApCZZRBW+VzNIvmBDhd52c2Z wmYUi6V+NL3BVxkfDIBzjkkhuPrj6kPGCGT3GWN0tv3KgQllxhORlc/qOFwYAFz0 Zus/Gh9AasXTz83wKUQY+1GtzOKk+V1WaWUxeUKEeDjOKQJTLHlQLviYw5uDxsxV 5OJEnbCbHuPrx8T08H+T/iu0WRk1lnd7LozAkdsRM8vYPDgUggD9VCeJmE+BV/MF EHhcxhsjHIkWCx2QnE04nRwERm7J1QfSvf8Y0mo= =YVGl -----END PGP PUBLIC KEY BLOCK-----
Jetzt kann das externe Repository von http://repo.mailserver.guru genutzt werden.
Es sollten mit nachfolgendem Befehl die von yum
, dem Paket-Manager von CentOS, bereits zwischengespeicherten Informationen, welche bei der Nutzung von yum
zu einem früheren Zeitpunkt ermittelt wurden, mit nachfolgenden Befehl gelöscht werden, um eine Neuermittlung aller verfügbaren Paketinformationen durchzuführen:
# yum clean all Loaded plugins: fastestmirror Cleaning repos: base extras mailserver.guru updates Cleaning up everything Cleaning up list of fastest mirrors
Eine Überprüfung, ob die Pakete verfügbar sind, kann durch eine Suche nach dem rpm
-Paket
fwbuilder
mit nachfolgendem Befehl durchgeführt werden:
# yum search fwbuilder Loaded plugins: fastetsmirror base | 3.6 kB 00:00 extras | 3.4 kB 00:00 mailserver.guru | 2.9 kB 00:00 updates | 3.4 kB 00:00 (1/5): base/7/x86_64/primary_db | 4.9 MB 00:00 (2/5): base/7/x86_64/group_gz | 157 kB 00:00 (3/5): extras/7/x86_64/primary_db | 26 kB 00:00 (4/5): mailserver.guru/x86_64/primary_db | 39 kB 00:00 (5/5): updates/7/x86_64/primary_db | 3.6 MB 00:00 ============================ N/S matched: fwbuilder ============================ fwbuilder.x86_64 : Firewall Builder fwbuilder-cisco.x86_64 : Policy Compiler for Cisco routers/firewalls fwbuilder-ipf.x86_64 : Policy Compiler for ipfilter fwbuilder-ipfw.x86_64 : Policy Compiler for ipfw fwbuilder-ipt.x86_64 : Policy Compiler for IPTables fwbuilder-pf.x86_64 : Policy Compiler for OpenBSD PF fwbuilder-procurve.x86_64 : Policy Compiler for Procurve devices Name and summary matches only, use "search all" for everything.
Firewall Builder
Zur Installation des Firewall Builder werden nachfolgende Pakete benötigt:
fwbuilder
- Eigentliches Paketfwbuilder-ipt
- Erweiterung zur Bearbeitung voniptables
-Regeln
Es sind noch weitere Pakete zu ntp verfügbar, welche nicht zum Betrieb eines „Zeitservers“ zwingend erforderlich sind.
Mit nachfolgendem Befehl, werden die benötigten Pakete installiert:
# yum install fwbuilder fwbuilder-ipt Loaded plugins: changelog, priorities 63 packages excluded due to repository priority protections Resolving Dependencies --> Running transaction check ---> Package fwbuilder.x86_64 0:5.1.0.3599-4.el7.centos will be installed --> Processing Dependency: libQtNetwork.so.4()(64bit) for package: fwbuilder-5.1.0.3599-4.el7.centos.x86_64 --> Processing Dependency: libQtGui.so.4()(64bit) for package: fwbuilder-5.1.0.3599-4.el7.centos.x86_64 --> Processing Dependency: libQtCore.so.4()(64bit) for package: fwbuilder-5.1.0.3599-4.el7.centos.x86_64 ---> Package fwbuilder-ipt.x86_64 0:5.1.0.3599-4.el7.centos will be installed --> Running transaction check ---> Package qt.x86_64 1:4.8.5-8.el7 will be installed --> Processing Dependency: qt-settings for package: 1:qt-4.8.5-8.el7.x86_64 ---> Package qt-x11.x86_64 1:4.8.5-8.el7 will be installed --> Processing Dependency: libmng.so.1()(64bit) for package: 1:qt-x11-4.8.5-8.el7.x86_64 --> Running transaction check ---> Package libmng.x86_64 0:1.0.10-14.el7 will be installed ---> Package qt-settings.noarch 0:19-23.4.el7 will be installed --> Processing Dependency: pciutils for package: qt-settings-19-23.4.el7.noarch --> Running transaction check ---> Package pciutils.x86_64 0:3.2.1-4.el7 will be installed --> Finished Dependency Resolution Changes in packages about to be updated: Dependencies Resolved ================================================================================ Package Arch Version Repository Size ================================================================================ Installing: fwbuilder x86_64 5.1.0.3599-4.el7.centos mailserver.guru 7.0 M fwbuilder-ipt x86_64 5.1.0.3599-4.el7.centos mailserver.guru 759 k Installing for dependencies: libmng x86_64 1.0.10-14.el7 base 171 k pciutils x86_64 3.2.1-4.el7 base 90 k qt x86_64 1:4.8.5-8.el7 base 4.5 M qt-settings noarch 19-23.4.el7 base 17 k qt-x11 x86_64 1:4.8.5-8.el7 base 13 M Transaction Summary ================================================================================ Install 2 Packages (+5 Dependent packages) Total download size: 25 M Installed size: 75 M Is this ok [y/d/N]: y Downloading packages: (1/7): fwbuilder-ipt-5.1.0.3599-4.el7.centos.x86_64.rpm | 759 kB 00:00 (2/7): fwbuilder-5.1.0.3599-4.el7.centos.x86_64.rpm | 7.0 MB 00:00 (3/7): libmng-1.0.10-14.el7.x86_64.rpm | 171 kB 00:00 (4/7): pciutils-3.2.1-4.el7.x86_64.rpm | 90 kB 00:00 (5/7): qt-4.8.5-8.el7.x86_64.rpm | 4.5 MB 00:00 (6/7): qt-settings-19-23.4.el7.noarch.rpm | 17 kB 00:00 (7/7): qt-x11-4.8.5-8.el7.x86_64.rpm | 13 MB 00:00 -------------------------------------------------------------------------------- Total 25 MB/s | 25 MB 00:01 Running transaction check Running transaction test Transaction test succeeded Running transaction Installing : libmng-1.0.10-14.el7.x86_64 1/7 Installing : pciutils-3.2.1-4.el7.x86_64 2/7 Installing : qt-settings-19-23.4.el7.noarch 3/7 Installing : 1:qt-4.8.5-8.el7.x86_64 4/7 Installing : 1:qt-x11-4.8.5-8.el7.x86_64 5/7 Installing : fwbuilder-5.1.0.3599-4.el7.centos.x86_64 6/7 Installing : fwbuilder-ipt-5.1.0.3599-4.el7.centos.x86_64 7/7 Verifying : qt-settings-19-23.4.el7.noarch 1/7 Verifying : pciutils-3.2.1-4.el7.x86_64 2/7 Verifying : 1:qt-x11-4.8.5-8.el7.x86_64 3/7 Verifying : fwbuilder-5.1.0.3599-4.el7.centos.x86_64 4/7 Verifying : fwbuilder-ipt-5.1.0.3599-4.el7.centos.x86_64 5/7 Verifying : 1:qt-4.8.5-8.el7.x86_64 6/7 Verifying : libmng-1.0.10-14.el7.x86_64 7/7 Installed: fwbuilder.x86_64 0:5.1.0.3599-4.el7.centos fwbuilder-ipt.x86_64 0:5.1.0.3599-4.el7.centos Dependency Installed: libmng.x86_64 0:1.0.10-14.el7 pciutils.x86_64 0:3.2.1-4.el7 qt.x86_64 1:4.8.5-8.el7 qt-settings.noarch 0:19-23.4.el7 qt-x11.x86_64 1:4.8.5-8.el7 Complete!
Mit nachfolgenden Befehlen kann überprüft werden, welche Inhalte mit den Paketen installiert wurden.
Paket fwbuilder:
# rpm -qil fwbuilder Name : fwbuilder Version : 5.1.0.3599 Release : 4.el7.centos Architecture: x86_64 Install Date: Fri 10 Oct 2014 02:37:18 PM CEST Group : Applications/System Size : 22134827 License : GPLv2+ Signature : RSA/SHA1, Thu 02 Oct 2014 04:05:24 PM CEST, Key ID 60ecfb9e8195aea0 Source RPM : fwbuilder-5.1.0.3599-4.el7.centos.src.rpm Build Date : Thu 02 Oct 2014 04:03:17 PM CEST Build Host : vml000200.dmz.nausch.org Relocations : (not relocatable) Packager : Django <django@nausch.org> URL : http://www.fwbuilder.org/ Summary : Firewall Builder Description : Firewall Builder consists of a GUI and set of policy compilers for various firewall platforms. It helps users maintain a database of objects and allows policy editing using simple drag-and-drop operations. GUI generates firewall description in the form of XML file, which compilers then interpret and generate platform-specific code. Several algorithms are provided for automated network objects discovery and bulk import of data. The GUI and policy compilers are completely independent, this provides for a consistent abstract model and the same GUI for different firewall platforms. /usr/bin/fwbedit /usr/bin/fwbuilder /usr/share/applications/fwbuilder.desktop /usr/share/doc/fwbuilder-5.1.0.3599 /usr/share/doc/fwbuilder-5.1.0.3599/AUTHORS /usr/share/doc/fwbuilder-5.1.0.3599/COPYING /usr/share/doc/fwbuilder-5.1.0.3599/ChangeLog /usr/share/doc/fwbuilder-5.1.0.3599/Credits /usr/share/doc/fwbuilder-5.1.0.3599/PatchAcceptancePolicy.txt /usr/share/doc/fwbuilder-5.1.0.3599/README.floppyfw /usr/share/doc/fwbuilder-5.1.0.3599/ReleaseNotes_template.html /usr/share/fwbuilder /usr/share/fwbuilder/configlets /usr/share/fwbuilder/configlets/bsd /usr/share/fwbuilder/configlets/bsd/bridge_interface /usr/share/fwbuilder/configlets/bsd/bridge_port /usr/share/fwbuilder/configlets/bsd/carp_interface /usr/share/fwbuilder/configlets/bsd/ifconfig_interface /usr/share/fwbuilder/configlets/bsd/kernel_vars /usr/share/fwbuilder/configlets/bsd/pfsync_interface /usr/share/fwbuilder/configlets/bsd/shell_functions /usr/share/fwbuilder/configlets/bsd/tools /usr/share/fwbuilder/configlets/bsd/update_addresses /usr/share/fwbuilder/configlets/bsd/update_bridge /usr/share/fwbuilder/configlets/bsd/update_carp /usr/share/fwbuilder/configlets/bsd/update_pfsync /usr/share/fwbuilder/configlets/bsd/update_vlans /usr/share/fwbuilder/configlets/dd-wrt-jffs /usr/share/fwbuilder/configlets/dd-wrt-jffs/check_utilities /usr/share/fwbuilder/configlets/dd-wrt-jffs/installer_commands_reg_user /usr/share/fwbuilder/configlets/dd-wrt-jffs/installer_commands_root /usr/share/fwbuilder/configlets/dd-wrt-jffs/routing_functions /usr/share/fwbuilder/configlets/dd-wrt-jffs/script_skeleton /usr/share/fwbuilder/configlets/dd-wrt-jffs/top_comment /usr/share/fwbuilder/configlets/dd-wrt-nvram /usr/share/fwbuilder/configlets/dd-wrt-nvram/check_utilities /usr/share/fwbuilder/configlets/dd-wrt-nvram/installer_commands_reg_user /usr/share/fwbuilder/configlets/dd-wrt-nvram/installer_commands_root /usr/share/fwbuilder/configlets/dd-wrt-nvram/routing_functions /usr/share/fwbuilder/configlets/dd-wrt-nvram/script_skeleton /usr/share/fwbuilder/configlets/dd-wrt-nvram/top_comment /usr/share/fwbuilder/configlets/freebsd /usr/share/fwbuilder/configlets/freebsd/carp_interface /usr/share/fwbuilder/configlets/freebsd/ifconfig_interface /usr/share/fwbuilder/configlets/freebsd/installer_commands_reg_user /usr/share/fwbuilder/configlets/freebsd/installer_commands_root /usr/share/fwbuilder/configlets/freebsd/kernel_vars /usr/share/fwbuilder/configlets/freebsd/rc_conf_bridge_port /usr/share/fwbuilder/configlets/freebsd/rc_conf_carp_interface /usr/share/fwbuilder/configlets/freebsd/rc_conf_ifconfig_interface /usr/share/fwbuilder/configlets/freebsd/rc_conf_kernel_vars /usr/share/fwbuilder/configlets/freebsd/rc_conf_pfsync_interface /usr/share/fwbuilder/configlets/freebsd/routing_functions /usr/share/fwbuilder/configlets/freebsd/tools /usr/share/fwbuilder/configlets/fwsm_os /usr/share/fwbuilder/configlets/fwsm_os/failover_commands_2 /usr/share/fwbuilder/configlets/fwsm_os/failover_commands_3_2 /usr/share/fwbuilder/configlets/fwsm_os/failover_interface_2 /usr/share/fwbuilder/configlets/fwsm_os/failover_interface_3_2 /usr/share/fwbuilder/configlets/fwsm_os/installer_commands_post_config /usr/share/fwbuilder/configlets/fwsm_os/installer_commands_pre_config /usr/share/fwbuilder/configlets/fwsm_os/installer_commands_reg_user /usr/share/fwbuilder/configlets/fwsm_os/ntp /usr/share/fwbuilder/configlets/fwsm_os/regular_interface_2 /usr/share/fwbuilder/configlets/fwsm_os/regular_interface_3_2 /usr/share/fwbuilder/configlets/fwsm_os/snmp /usr/share/fwbuilder/configlets/fwsm_os/ssh /usr/share/fwbuilder/configlets/fwsm_os/vlan_parent_interface_2 /usr/share/fwbuilder/configlets/fwsm_os/vlan_parent_interface_3_2 /usr/share/fwbuilder/configlets/fwsm_os/vlan_subinterface_2 /usr/share/fwbuilder/configlets/fwsm_os/vlan_subinterface_3_2 /usr/share/fwbuilder/configlets/ios /usr/share/fwbuilder/configlets/ios/installer_commands_post_config /usr/share/fwbuilder/configlets/ios/installer_commands_pre_config /usr/share/fwbuilder/configlets/ios/installer_commands_reg_user /usr/share/fwbuilder/configlets/ios/safety_net_acl /usr/share/fwbuilder/configlets/ios/script_skeleton /usr/share/fwbuilder/configlets/ios/top_comment /usr/share/fwbuilder/configlets/ipcop /usr/share/fwbuilder/configlets/ipcop/automatic_rules /usr/share/fwbuilder/configlets/ipcop/installer_commands_reg_user /usr/share/fwbuilder/configlets/ipcop/installer_commands_root /usr/share/fwbuilder/configlets/ipcop/kernel_vars /usr/share/fwbuilder/configlets/ipcop/script_skeleton /usr/share/fwbuilder/configlets/ipcop/shell_functions /usr/share/fwbuilder/configlets/ipcop/update_addresses /usr/share/fwbuilder/configlets/ipcop/update_bonding /usr/share/fwbuilder/configlets/ipcop/update_bridge /usr/share/fwbuilder/configlets/ipcop/update_vlans /usr/share/fwbuilder/configlets/ipf /usr/share/fwbuilder/configlets/ipf/activation /usr/share/fwbuilder/configlets/ipf/script_skeleton /usr/share/fwbuilder/configlets/ipf/top_comment /usr/share/fwbuilder/configlets/ipfw /usr/share/fwbuilder/configlets/ipfw/script_skeleton /usr/share/fwbuilder/configlets/ipfw/top_comment /usr/share/fwbuilder/configlets/linux24 /usr/share/fwbuilder/configlets/linux24/automatic_rules /usr/share/fwbuilder/configlets/linux24/block_action /usr/share/fwbuilder/configlets/linux24/check_utilities /usr/share/fwbuilder/configlets/linux24/configure_interfaces /usr/share/fwbuilder/configlets/linux24/conntrack /usr/share/fwbuilder/configlets/linux24/constants /usr/share/fwbuilder/configlets/linux24/installer_commands_reg_user /usr/share/fwbuilder/configlets/linux24/installer_commands_root /usr/share/fwbuilder/configlets/linux24/ip_forwarding /usr/share/fwbuilder/configlets/linux24/kernel_vars /usr/share/fwbuilder/configlets/linux24/load_modules /usr/share/fwbuilder/configlets/linux24/prolog_epilog_functions /usr/share/fwbuilder/configlets/linux24/reset_iptables /usr/share/fwbuilder/configlets/linux24/routing_functions /usr/share/fwbuilder/configlets/linux24/run_time_address_tables /usr/share/fwbuilder/configlets/linux24/run_time_wrappers /usr/share/fwbuilder/configlets/linux24/script_body_iptables_restore /usr/share/fwbuilder/configlets/linux24/script_body_iptables_shell /usr/share/fwbuilder/configlets/linux24/script_body_single_rule /usr/share/fwbuilder/configlets/linux24/script_skeleton /usr/share/fwbuilder/configlets/linux24/shell_functions /usr/share/fwbuilder/configlets/linux24/status_action /usr/share/fwbuilder/configlets/linux24/stop_action /usr/share/fwbuilder/configlets/linux24/top_comment /usr/share/fwbuilder/configlets/linux24/update_addresses /usr/share/fwbuilder/configlets/linux24/update_bonding /usr/share/fwbuilder/configlets/linux24/update_bridge /usr/share/fwbuilder/configlets/linux24/update_vlans /usr/share/fwbuilder/configlets/linux24/verify_interfaces /usr/share/fwbuilder/configlets/macosx /usr/share/fwbuilder/configlets/macosx/installer_commands_reg_user /usr/share/fwbuilder/configlets/macosx/installer_commands_root /usr/share/fwbuilder/configlets/macosx/kernel_vars /usr/share/fwbuilder/configlets/macosx/tools /usr/share/fwbuilder/configlets/openbsd /usr/share/fwbuilder/configlets/openbsd/installer_commands_reg_user /usr/share/fwbuilder/configlets/openbsd/installer_commands_root /usr/share/fwbuilder/configlets/openbsd/kernel_vars /usr/share/fwbuilder/configlets/openbsd/routing_functions /usr/share/fwbuilder/configlets/openbsd/tools /usr/share/fwbuilder/configlets/openwrt /usr/share/fwbuilder/configlets/openwrt/check_utilities /usr/share/fwbuilder/configlets/openwrt/installer_commands_reg_user /usr/share/fwbuilder/configlets/openwrt/installer_commands_root /usr/share/fwbuilder/configlets/openwrt/load_modules /usr/share/fwbuilder/configlets/openwrt/script_skeleton /usr/share/fwbuilder/configlets/openwrt/top_comment /usr/share/fwbuilder/configlets/pf /usr/share/fwbuilder/configlets/pf/activation /usr/share/fwbuilder/configlets/pf/rc_conf_activation /usr/share/fwbuilder/configlets/pf/rc_conf_skeleton /usr/share/fwbuilder/configlets/pf/rc_conf_top_comment /usr/share/fwbuilder/configlets/pf/script_skeleton /usr/share/fwbuilder/configlets/pf/top_comment /usr/share/fwbuilder/configlets/pix_os /usr/share/fwbuilder/configlets/pix_os/failover_commands_6 /usr/share/fwbuilder/configlets/pix_os/failover_commands_7 /usr/share/fwbuilder/configlets/pix_os/failover_interface_6 /usr/share/fwbuilder/configlets/pix_os/failover_interface_7 /usr/share/fwbuilder/configlets/pix_os/installer_commands_post_config /usr/share/fwbuilder/configlets/pix_os/installer_commands_pre_config /usr/share/fwbuilder/configlets/pix_os/installer_commands_reg_user /usr/share/fwbuilder/configlets/pix_os/ntp /usr/share/fwbuilder/configlets/pix_os/regular_interface_6 /usr/share/fwbuilder/configlets/pix_os/regular_interface_7 /usr/share/fwbuilder/configlets/pix_os/script_skeleton /usr/share/fwbuilder/configlets/pix_os/snmp /usr/share/fwbuilder/configlets/pix_os/ssh /usr/share/fwbuilder/configlets/pix_os/top_comment /usr/share/fwbuilder/configlets/pix_os/vlan_parent_interface_6 /usr/share/fwbuilder/configlets/pix_os/vlan_parent_interface_7 /usr/share/fwbuilder/configlets/pix_os/vlan_subinterface_6 /usr/share/fwbuilder/configlets/pix_os/vlan_subinterface_7 /usr/share/fwbuilder/configlets/procurve /usr/share/fwbuilder/configlets/procurve/installer_commands_post_config /usr/share/fwbuilder/configlets/procurve/installer_commands_pre_config /usr/share/fwbuilder/configlets/procurve/installer_commands_reg_user /usr/share/fwbuilder/configlets/procurve/safety_net_acl /usr/share/fwbuilder/configlets/procurve/script_skeleton /usr/share/fwbuilder/configlets/procurve/top_comment /usr/share/fwbuilder/configlets/secuwall /usr/share/fwbuilder/configlets/secuwall/installer_commands_reg_user /usr/share/fwbuilder/configlets/secuwall/installer_commands_root /usr/share/fwbuilder/configlets/secuwall/management_rules /usr/share/fwbuilder/configlets/secuwall/script_skeleton /usr/share/fwbuilder/configlets/solaris /usr/share/fwbuilder/configlets/solaris/installer_commands_reg_user /usr/share/fwbuilder/configlets/solaris/installer_commands_root /usr/share/fwbuilder/configlets/solaris/kernel_vars /usr/share/fwbuilder/configlets/solaris/tools /usr/share/fwbuilder/configlets/sveasoft /usr/share/fwbuilder/configlets/sveasoft/installer_commands_reg_user /usr/share/fwbuilder/configlets/sveasoft/installer_commands_root /usr/share/fwbuilder/configlets/sveasoft/script_skeleton /usr/share/fwbuilder/configlets/sveasoft/shell_functions /usr/share/fwbuilder/configlets/sveasoft/top_comment /usr/share/fwbuilder/fwbuilder.dtd /usr/share/fwbuilder/help /usr/share/fwbuilder/help/en_US /usr/share/fwbuilder/help/en_US/cluster_interfaces.png /usr/share/fwbuilder/help/en_US/create_and_add_to_group.png /usr/share/fwbuilder/help/en_US/ipcopAdvancedDialog.html /usr/share/fwbuilder/help/en_US/ipcoposAdvancedDialog.html /usr/share/fwbuilder/help/en_US/ipfw_Classify.html /usr/share/fwbuilder/help/en_US/iptAdvancedDialog.html /usr/share/fwbuilder/help/en_US/iptables_Branch.html /usr/share/fwbuilder/help/en_US/iptables_Classify.html /usr/share/fwbuilder/help/en_US/iptables_Route.html /usr/share/fwbuilder/help/en_US/iptables_Tag.html /usr/share/fwbuilder/help/en_US/iptables_rule_options.html /usr/share/fwbuilder/help/en_US/linux24AdvancedDialog.html /usr/share/fwbuilder/help/en_US/main.html /usr/share/fwbuilder/help/en_US/new_bridge_interfaces.png /usr/share/fwbuilder/help/en_US/pfAdvancedDialog.html /usr/share/fwbuilder/help/en_US/pf_Branch.html /usr/share/fwbuilder/help/en_US/pf_Classify.html /usr/share/fwbuilder/help/en_US/pf_Route.html /usr/share/fwbuilder/help/en_US/pf_Tag.html /usr/share/fwbuilder/help/en_US/pf_rule_options.html /usr/share/fwbuilder/help/en_US/pix-failover-group-1.png /usr/share/fwbuilder/help/en_US/pix-failover-groups-mapping.png /usr/share/fwbuilder/help/en_US/pix-statesync-group-1.png /usr/share/fwbuilder/help/en_US/pix-statesync-group-mapping.png /usr/share/fwbuilder/help/en_US/release_notes_4.0.0.html /usr/share/fwbuilder/help/en_US/release_notes_4.0.1.html /usr/share/fwbuilder/help/en_US/release_notes_4.1.0.html /usr/share/fwbuilder/help/en_US/release_notes_4.1.1.html /usr/share/fwbuilder/help/en_US/release_notes_4.1.2.html /usr/share/fwbuilder/help/en_US/release_notes_4.1.3.html /usr/share/fwbuilder/help/en_US/release_notes_4.2.0.html /usr/share/fwbuilder/help/en_US/release_notes_4.2.1.html /usr/share/fwbuilder/help/en_US/release_notes_4.2.2.html /usr/share/fwbuilder/help/en_US/release_notes_5.0.0.html /usr/share/fwbuilder/help/en_US/release_notes_5.0.1.html /usr/share/fwbuilder/help/en_US/release_notes_5.1.0.html /usr/share/fwbuilder/help/en_US/state_sync_configuration.png /usr/share/fwbuilder/help/en_US/tip01.html /usr/share/fwbuilder/help/en_US/tip02.html /usr/share/fwbuilder/help/en_US/tip03.html /usr/share/fwbuilder/help/en_US/tip04.html /usr/share/fwbuilder/help/en_US/tip05.html /usr/share/fwbuilder/help/en_US/tip06.html /usr/share/fwbuilder/help/en_US/tip07.html /usr/share/fwbuilder/help/en_US/tip08.html /usr/share/fwbuilder/help/en_US/tip09.html /usr/share/fwbuilder/help/en_US/tip10.html /usr/share/fwbuilder/help/en_US/vlan_interfaces.png /usr/share/fwbuilder/migration /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.0.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.1.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.10.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.11.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.12.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.13.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.14.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.2.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.3.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.4.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.5.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.6.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.7.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.8.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.10.9.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.9.0.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.9.1.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.9.2.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.9.3.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.9.4.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_0.9.5.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_1.0.0.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_1.0.1.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_1.0.2.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_10.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_11.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_12.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_13.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_14.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_15.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_16.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_17.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_18.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_19.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.0.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.1.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.10.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.11.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.12.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.2.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.3.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.4.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.5.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.6.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.7.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.8.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.9.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.0.99.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.0.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.1.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.10.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.11.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.12.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.13.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.14.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.15.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.16.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.17.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.18.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.19.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.2.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.3.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.4.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.5.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.6.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.7.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.8.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.9.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_2.1.99.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_20.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_21.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_3.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_4.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_5.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_6.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_7.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_8.xslt /usr/share/fwbuilder/migration/FWObjectDatabase_9.xslt /usr/share/fwbuilder/objects_init.xml /usr/share/fwbuilder/os /usr/share/fwbuilder/os/dd-wrt-jffs.xml /usr/share/fwbuilder/os/dd-wrt-nvram.xml /usr/share/fwbuilder/os/endian.xml /usr/share/fwbuilder/os/freebsd.xml /usr/share/fwbuilder/os/fwsm_os.xml /usr/share/fwbuilder/os/ios.xml /usr/share/fwbuilder/os/ipcop.xml /usr/share/fwbuilder/os/linux24.xml /usr/share/fwbuilder/os/macosx.xml /usr/share/fwbuilder/os/oneshield.xml /usr/share/fwbuilder/os/openbsd.xml /usr/share/fwbuilder/os/openwrt.xml /usr/share/fwbuilder/os/pix_os.xml /usr/share/fwbuilder/os/procurve.xml /usr/share/fwbuilder/os/secuwall.xml /usr/share/fwbuilder/os/solaris.xml /usr/share/fwbuilder/os/sveasoft.xml /usr/share/fwbuilder/os/unknown_os.xml /usr/share/fwbuilder/platform /usr/share/fwbuilder/platform/fwsm.xml /usr/share/fwbuilder/platform/iosacl.xml /usr/share/fwbuilder/platform/ipf.xml /usr/share/fwbuilder/platform/ipfw.xml /usr/share/fwbuilder/platform/iptables.xml /usr/share/fwbuilder/platform/pf.xml /usr/share/fwbuilder/platform/pix.xml /usr/share/fwbuilder/platform/procurve_acl.xml /usr/share/fwbuilder/platform/unknown.xml /usr/share/fwbuilder/resources.xml /usr/share/fwbuilder/templates.xml /usr/share/icons/hicolor/128x128/apps/fwbuilder.png /usr/share/icons/hicolor/16x16/apps/fwbuilder.png /usr/share/icons/hicolor/24x24/apps/fwbuilder.png /usr/share/icons/hicolor/256x256/apps/fwbuilder.png /usr/share/icons/hicolor/32x32/apps/fwbuilder.png /usr/share/icons/hicolor/48x48/apps/fwbuilder.png /usr/share/icons/hicolor/512x512/apps/fwbuilder.png /usr/share/icons/hicolor/72x72/apps/fwbuilder.png /usr/share/man/man1/fwbedit.1.gz /usr/share/man/man1/fwbuilder.1.gz
Paket fwbuilder-ipt:
# rpm -qil fwbuilder-ipt Name : fwbuilder-ipt Version : 5.1.0.3599 Release : 4.el7.centos Architecture: x86_64 Install Date: Fri 10 Oct 2014 02:37:20 PM CEST Group : Applications/System Size : 2725755 License : GPLv2+ Signature : RSA/SHA1, Thu 02 Oct 2014 04:05:26 PM CEST, Key ID 60ecfb9e8195aea0 Source RPM : fwbuilder-5.1.0.3599-4.el7.centos.src.rpm Build Date : Thu 02 Oct 2014 04:03:17 PM CEST Build Host : vml000200.dmz.nausch.org Relocations : (not relocatable) Packager : Django <django@nausch.org> URL : http://www.fwbuilder.org/ Summary : Policy Compiler for IPTables Description : Policy compiler for IPTables /usr/bin/fwb_ipt /usr/share/doc/fwbuilder-ipt-5.1.0.3599 /usr/share/doc/fwbuilder-ipt-5.1.0.3599/README.ipt /usr/share/man/man1/fwb_ipt.1.gz
Konfiguration
Benutzer
Aus Sicherheitsgründen, sollte ein bestimmter Benutzer zur Verwaltung von Firewall-Regelsätzen angelegt werden.
WICHTIG - Dieser Benutzer muss auf ALLEN Firewalls UND auf dem Firewall Builder-Server selbst angelegt werden !!!
Es soll eine Gruppe:
fwadmin
angelegt werden, und ein Benutzer:
fwadmin
angelegt werden unter dem die gesamte Verwaltung der Firewall-Regelsätze erfolgen soll.
Um eine neue Gruppe anzulegen, kann nachfolgender Befehl genutzt werden:
# groupadd -g 599 fwadmin
Ob der vorhergehende Befehl korrekt durchgeführt wurde, kann mit nachfolgendem Befehl ermittelt werden, welcher eine Ausgabe, wie nachfolgend dargestellt, anzeigen sollte:
# cat /etc/group | grep 599 fwadmin:x:599:
Um eine neuen Benutzer anzulegen, kann nachfolgender Befehl genutzt werden:
# useradd -c "FirewallBuilder" -g 599 -m -s /bin/bash -u 599 fwadmin
Ob der vorhergehende Befehl korrekt durchgeführt wurde, kann mit nachfolgendem Befehl ermittelt werden, welcher eine Ausgabe, wie nachfolgend dargestellt, anzeigen sollte:
# cat /etc/passwd | grep 599 fwadmin:x:599:599:FirewallBuilder:/home/fwadmin:/bin/bash
Abschließend muss noch ein Passwort für den Benutzer fwadmin
mit nachfolgendem Befehl gesetzt werden:
# passwd fwadmin Changing password for user fwadmin. New password: Retype new password: passwd: all authentication tokens updated successfully.
Public-Key
HINWEIS - Aus Sicherheitsgründen, sollte SSH-Schlüsselpaar für den Benutzer erzeugt werden !!!
Der Benutzer fwadmin
sollte sich nicht mit seinem Benutzernamen und einem Passwort zum verteilen der iptables
-Firewall-Regeln am jeweiligen Server anmelden, sondern dies unter Zuhilfenahme eines SSH-Schlüssel durchführen.
Wie ein SSH-Schlüssel erzeugt und eingesetzt werden kann, kann unter nachfolgendem internen Link nachgelesen werden:
Einstellungen
Um den Firewall Builder zur Installation eines Firewall-Regelwerks nutzen zu können, müssen einige Parameter im FirewallBuilder hinterlegt werden.
Als erstes sollte eine Verzeichnis im home
-Verzeichnis des soeben angelegten Benutzers fwadmin
mit nachfolgendem Befehl angelegt werden, welches zur Aufnahme von Daten des FirewallBuilder dient:
# mkdir /home/fwadmin/fwb
Nach dem erfolgreichen Start des Firewall Builder, sollte nachfolgendes Fenster erscheinen.
Zuerst sollte eine Basiskonfiguration des Firewall Builder unter Aufruf des Menüpunktes
- Edit | Preferences
nachfolgendes Dialog-Fenster zu sehen sein und der Reiter
- General
geöffnet sein:
Nachfolgende Ergänzungen sollten nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
Working directory: | /home/fwadmin/fwb | |
Data directory: | /home/fwadmin/fwb |
HINWEIS - Alle anderen Einstellungen können auf den Standardwerten belassen werden.
Im Reiter
- Objects
sollten nachfolgende Änderungen im Unterreiter Policy Rules nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
Create new policy rules with logging turned on | ✔ | [ohne Haken] |
Create new policy rules with action | Deny | Accept |
HINWEIS - Alle anderen Einstellungen können auf den Standardwerten belassen werden.
Im Reiter
- Data File
HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.
Im Reiter
- Installer
sollten nachfolgende Änderungen nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
A full path to the Secure Shell utility (…): | ssh | /usr/bin/ssh |
A full path to the SCP utility (…): | scp | /usr/bin/scp |
HINWEIS - Alle anderen Einstellungen können auf den Standardwerten belassen werden.
Im Reiter
- Labels - Standard
HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.
- Labels - Zonenmodell
sollten nachfolgende Änderungen nun durchgeführt werden:
Label | Farbcode | R | G | B | H | S | V |
---|---|---|---|---|---|---|---|
BLOCKED | rot | 200 | 110 | 110 | 0 | 115 | 200 |
INPUT untrust | türkis | 60 | 168 | 168 | 180 | 164 | 168 |
INPUT trust | grün | 139 | 192 | 101 | 94 | 121 | 192 |
FORWARD untrust → trust | orange | 192 | 139 | 90 | 28 | 135 | 192 |
FORWARD trust → untrust | gelb | 192 | 186 | 68 | 57 | 165 | 192 |
OUTPUT untrust | lila | 163 | 126 | 192 | 273 | 58 | 192 |
OUTPUT trust | blau | 118 | 148 | 192 | 215 | 98 | 192 |
Im Reiter
- Appearance
sollten nachfolgende Änderungen nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
Icons size in rules | 25×25 | 16×16 |
Im Reiter
- Platform and OS
sollten nachfolgende Änderungen nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
iptables | ✔ | ✔ |
Linux 2.4/2.6 | ✔ | ✔ |
HINWIES - Alle anderen Werte sollten deaktiviert werden !!!
Firewall
Vor der Neuanlage einer Firewall durch den Firewall Builder (welche durch eine Assistenten erfolgen kann), sollte ein Verzeichnis auf dem Server angelegt werden, in dem die Regelsätze abgespeichert werden, auf dem der Firewall Builder installiert ist.
Dies kann mit nachfolgendem Befehl durchgeführt werden und sollte ebenfalls unter dem Benutzer fwadmin
erfolgen:
# mkdir /home/fwadmin/fw
HINWEIS - Dies ist der Speicherort für alle Firewalls, welche durch den Firewall Builder verwaltet bzw. ausgeliefert werden!
Nachdem nun die Basiskonfiguration des Firewall Builder durchgeführt sein sollte, kann nun eine Konfigurationsdatei für die Firewalls (am besten mehrere in einer Datei) erstellt werden, was unter Aufruf des Menüpunktes:
- File | New Object File
und mit erscheinen des nachfolgenden Dialog-Fenster durchgeführt werden kann:
Nach erfolgreicher Anlage einer neuen Datei, in dem alle Firewalls, welche durch den Firewall Builder verwaltet bzw. ausgeliefert werden, gespeichert werden können, sollte nachfolgendes Fenster erscheinen:
Hier kann dann die Schaltfläche [Create new fiewall] mit der [linke Maustaste] angeklickt werden, wodurch nachfolgendes Dialog-Fenster erscheinen sollte:
Nachfolgende Ergänzungen sollten nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
Name of the new firewall object: | myFirewall | |
Choose firewall software it is running: | iptables | |
Choose OS the new firewall runs on | Linux 2.4/2.6 |
Um zum nächsten Schritt zu gelangen kann mit der [linkes Maustase] auf die Schaltfläche [Next >] geklickt werden, wonach nachfolgender Dialog erscheinen sollte:
HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.
Um zum nächsten Schritt zu gelangen kann mit der [linkes Maustase] auf die Schaltfläche [Next >] geklickt werden, wonach nachfolgender Dialog erscheinen sollte:
HINWEIS - Hier können, müssen aber keine Interface angelegt werden. Dies kann auch später noch durchgeführt werden!
Um zum letzten Schritt zu gelangen und die Einrichtung einer Firewall abzuschließen kann mit der [linkes Maustase] auf die Schaltfläche [Finish] geklickt werden, wonach die Anzeige auf das ursprüngliche Fenster, durch beenden des Dialog-Fensters, zurückspringt:
Im Editor kann als abschließende Aktion hier, noch die
- Version
eingestellt werden.
Feldname | Standardwert | Neuer Wert |
---|---|---|
Version: | 1.4.4 or later |
Host OS Settings
Nachdem nun im Firewall Builder eine erste Firewall angelegt wurde, kann diese noch in Ihrem Verhalten Konfiguriert werden.
Aufruf über die Schaltfläche [Host OS Settings …] durch anklicken mit der [linken]-Maustaste, sollte nachfolgendes Dialog-Fenster erscheinen:
Im Reiter
- Options
sollten nachfolgende Änderungen nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
Kernel anti-spoofing protection | No change | On |
HINWEIS - Je nachdem, ob IPv4 Packet forwarding aktiviert ist, wird dies entsprechend gesetzt angezeigt und sollte auch nicht verändert werden !
Im Reiter
- TCP
HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.
Im Reiter
- Path
HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.
Im Reiter
- conntrack
HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.
Im Reiter
- Data
HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.
Firewall Settings
Nachdem nun im Firewall Builder eine erste Firewall angelegt wurde und die Betriebssystem-Einstellungen ggf. ebenfalls angepasst wurden, kann diese noch in Ihrem direkten Verhalten Konfiguriert werden.
Aufruf über die Schaltfläche [Firewall Settings …] durch anklicken mit der [linken]-Maustaste, sollte nachfolgendes Dialog-Fenster erscheinen:
Im Reiter
- Compiler
sollten nachfolgende Änderungen nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
Output file name: | /home/fwadmin/fw/myFirewall.fw | |
Assume firewall ist part of 'any' | ✔ | |
Accept ESTABLISHED and RELATED packets before the first rule | ✔ | |
Ignore empty groups in rules | ✔ | |
Enable support of NAT of locally originated connections | ✔ | |
Default action on 'Reject': | ICMP Host unreachable |
Im Reiter
- Installer - Variante SCP/SSH
sollten nachfolgende Änderungen nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
Directory on the firewall where script should be installed | /home/fwadmin/fw | |
User name used to authentivcate to the firewall (…) | fwadmin | |
Alternative name or address used to communicate with the firewall (…) | [IPv4-Adresse] | |
Additional command line parameters for ssh | -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin | |
Additional command line parameters for scp | -P 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin |
- Installer - Variante SCRIPT
sollten nachfolgende Änderungen nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
Policy install script (…) | /home/fwadmin/fw/myFirewall_wrapper.sh |
Im Reiter
- Prolog/Epilog
sollten nachfolgende Änderungen nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
The following command will be added verbatim after generated configuration | /usr/sbin/iptables-save > /etc/sysconfig/iptables |
Im Reiter
- Logging
sollten nachfolgende Änderungen nun durchgeführt werden:
Feldname | Standardwert | Neuer Wert |
---|---|---|
use numeric syslog levels | ✔ |
Im Reiter
- Script
HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.
Im Reiter
- IPv6
HINWEIS - In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.
/etc/sudoers
Nachfolgende Änderung, MUSS auf JEDER Firewall durchgeführt werden, um den Firewall-Regelsatz auch ausführen bzw. installieren zu können!
Die Konfigurationsdatei
/etc/sudoers
sollte mit nachfolgendem Befehl
# visudo
wie folgt ergänzt werden (nur relevanter Ausschnitt):
... ## Allow root to run any commands anywhere root ALL=(ALL) ALL # Tachtler %fwadmin ALL = PASSWD: /home/fwadmin/fw/firewallname.fw ...
HINWEIS - Falls die entsprechende Firewall nicht direkt, mit einer route
erreichbar ist, kann auch nachfolgende Konfiguration nötig sein!
... ## Allow root to run any commands anywhere root ALL=(ALL) ALL # Tachtler Defaults:fwadmin !requiretty %fwadmin ALL = NOPASSWD: /home/fwadmin/fw/firewallname.fw ...
HINWEIS - Die Zeile Defaults:fwadmin !requiretty
bedeutet, das der Bernutzer fwadmin
keine tty
zur Ausführung des shell
-Skriptes benötigt !
/home/fwadmin/fw/myFirewall_wrapper.sh
Nachfolgende zwei Beipiele zeigen jeweils einen Wrapper für
- die lokale
iptables
-Firewall - eine nicht direkt via
ssh
erreichbareiptables
-Firewall
Nachfolegnd ein Beispiel für einen *Wrapper* für eine lokale iptables
-Firewall:
#!/bin/sh /home/fwadmin/fw/myFirewall_wrapper.sh
Nachfolegnd ein Beispiel für einen *Wrapper* für eine nicht direkt via ssh
erreichbare iptables
-Firewall:
#!/bin/sh scp -P 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin -o ProxyCommand="ssh -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin fwadmin@192.168.0.50 nc 192.168.1.10 22" /home/fwadmin/fw/myFirewall_wrapper.sh fwadmin@192.168.1.10:/home/fwadmin/fw ssh -t -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin -o ProxyCommand="ssh -t -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin fwadmin@192.168.0.50 nc 192.168.1.10 22" fwadmin@192.168.1.10 sudo -u root /home/fwadmin/fw/myFirewall_wrapper.sh
* Der scp
-Befehl kopiert das auszuführende Skript auf den Ziel-Server!
* Der ssh
-Befehl führt das zuvor kopierte Skript auf den Ziel-Server aus!