Maurermeister

In und Out

Der Reiter outside der Beispielkonfiguration enthält eine Spoofing-Schutzregel. Sie verwirft alle hereinkommenden Pakete, deren Absender die Adresse der Firewall trägt: Solche offensichtlich gefälschten Pakete stellen ein Sicherheitsrisiko dar. Im loopback-Bereich ist jeder Verkehr gestattet, den die Firewall selbst generiert hat.

Ein einzelner Rechner braucht keine NAT-Regeln (im letzten Reiter vorgesehen). Die wären nur für Firewalls nötig, die als Gateway für andere, über eine private IP-Adresse konfigurierte Rechner fungieren und den Zugang ins Internet herstellen. In einem Heimnetz allerdings ist letzteres meist der Fall – die englische Dokumentation auf [1] leistet bei der entsprechenden Konfiguration wertvolle Hilfe.

Ein Management-Interface auf der Firewall darf auf keinen Fall fehlen. FWBuilder benötigt diesen Zugang später, um seine Regeln einzuspielen. Zur Einrichtung wählen Sie im linken Objektbaum die gewünschte Schnittstelle der Firewall – in diesem Fall das Loopback-Interface – und klicken mit der rechten Maustaste darauf. Über den Eintrag Edit des Kontextmenüs gelangen Sie zum Interface-Fenster und markieren dort das Kästchen Management Interface.

Stricken oder stricken lassen

Bevor die Regelsätze auf die Linux-Firewall kommen, muss sie FWBuilder in rudimentäre iptables-Aufrufe übersetzen. Der Firewall Builder geht noch einen Schritt weiter und erstellt ein Shell-Skript, das zusätzlich die Einstellungen aus dem Kontextmenü Firewall Settings ... umsetzt.

Das Erstellen des Skripts heißt in FWBuilder-Terminologie trefflich "Kompilieren" und lehnt sich bewusst an das Übersetzen von Quell- in Binärcode an. FWBuilder legt sich erst beim Kompilieren auf eine Zielplattform fest. Das bedeutet aber auch, dass jede Änderung der Policy einen neuen Policy-Compiler-Lauf erfordert. Das Menü Rules | Compile startet diesen Vorgang; die Dialogbox aus Abbildung 2 begleitet ihn. Das Ergebnis landet zunächst im selben Verzeichnis wie die Projektdatei.

Der Compiler bemerkt das erwähnte Rule Shadowing und meldet unsinnige Regeln, etwa doppelte oder widersprüchliche Einträge. Dieser Mechanismus schützt nicht vor schweren Fehlern im Regeldesign, findet aber viele Flüchtigkeitsfehler. Abbildung 3 zeigt die generierten iptables-Regeln. Der Compiler erzeugt ein recht übersichtliches Skript und fügt sogar Kommentare ein. Abbildung 3 zeigt Regel 0 aus dem Policy-Bereich von Abbildung 1. Für ein weiteres Verständnis von IPtables lohnt es sich, das Skript genauer zu untersuchen.

Abbildung 2: Die Policy-Compiler generieren plattformspezifisch die eigentlichen Firewall-Regeln. Hier ist der Compiler für IPtables "fwb_ipt" am Werk.

Abbildung 3: Das generierte Firewall-Skript enthält alle nötigen IPtables-Anweisungen. Obwohl es per GUI entstand und automatisch kompiliert wurde, enthält das Skript Kommentare und nützliche Hinweise.