Mit Firewall Builder schnell zu iptables-Regeln
Firewall Builder ist ein grafisches Tool zum Erstellen von generischen Regeln, das dem Firewalladministrator einen intuitiveren Zugang zur Konfiguration seiner Firewall bietet.
- Daniel Bachfeld
Firewall Builder [2] besteht aus zwei Teilen: Einer grafischen Oberfläche, um die generischen Regeln einzugeben, und einem Compiler. Der Compiler erstellt aus den Regelsätzen die Konfigurationsdaten für die Firewall. Die Firewall muss nicht zwingend auf Netfilter und iptables basieren, Firewall Builder liefert auch Compiler für ipfilter, Cisco PIX und OpenBSD PF mit. Die Regeln werden im XML-Format gespeichert, der Compiler baut für iptables daraus dann ein Skript mit den entsprechenden Befehlen. Die GUI kennt die spezifischen Begriffe nicht. Erst im Skript tauchen wieder die Tables NAT, MANGLE und FILTER und die Chains INPUT,OUTPUT,FORWARD sowie POST- und PREROUTING auf. Das Skript kann anschließend auf einer Firewall installiert werden, zum Beispiel mit rsync und SSH, eine grafische Oberfläche muss dort nicht vorhanden sein.
Um in den Genuss der grafischen Konfiguration zu kommen, muss man zunächst das GUI installieren, die auf www.fwbuilder.org als RPM für Red Hat, Suse und Mandrake verfügbar ist. Für Debian-User gibt es auf Debian.org entsprechende Pakete. Anhänger von FreeBSD, OpenBSD, Solaris und Mac OS X können die Sourcen herunterladen und selbst kompilieren.
Deja vu
Vom Aufbau und Design orientiert sich die GUI des Firewall Builder an anderen Firewalls wie zum Beispiel Firewall-1 von Checkpoint und setzt damit auf Bewährtes. Jede Firewall-Regel besteht aus Source, Destination, Service, Action, Logging und Comment. Firewall Builder geht automatisch davon aus, das man Stateful Filtering verwenden möchte, im einfachsten Fall muss man Regeln nur für ausgehende Pakete definieren. Alle Netzwerkobjekte werden in einer Datenbank verwaltet, Änderungen an Objekten wirken sich sofort auf alle Regeln aus. Objekte können einzelne Rechner, Gruppen und ganze Subnetze sein, auch Firewalls werden hier definiert. Als Services lassen sich verschiedene Protokolle unter IP, TCP, UDP und ICMP eintragen und gruppieren. Zusätzlich kann man benutzerdefinierte Services anlegen, in denen die Filtererweiterungen (Matches) von iptables verwendet werden, zum Beispiel -m string --string "cmd.exe". Firewall Builder bringt zur Vereinfachung schon einen Satz an vordefinierten Services mit. Wem das nicht reicht, der kann selbst Hand anlegen, mit der Option Einfügen lassen sich problemlos neue Dienste definieren. Genauso werden neue Objekte angelegt, um sie später in die Regeln aufzunehmen.
