Maurermeister
Grafische Firewall-Administration mit FWBuilder 2.0
Regeln installieren
Laufen FWBuilder und Firewall auf zwei getrennten Maschinen, dann muss das Regelskript nun noch auf die Firewall kommen. Der Firewall Builder bedient sich dabei der Hilfe von SSH. Daher muss ein entsprechender Daemon auf dem Management-Interface der Firewall lauschen. Im vorliegenden Beispiel handelt es sich bei der Schnittstelle um das Loopback-Device, wie das verwendete Template es vorgibt. SSH muss Root-Logins akzeptieren, weil nur root die iptables-Befehle absetzen darf (mit sudo lässt sich diese Einschränkung umgehen).
Nach Eintragen des Benutzernamens root mit Kennwort öffnet FWBuilder eine SSH-Verbindung zur Firewall (hier dem lokalen Rechner), überträgt das Skript und führt es aus (Abbildung 4). Ein Eintrag in /var/log/messages auf der Firewall bestätigt, dass das Skript erfolgreich lief:
Mar 2 17:02:11 mynotebook root: ↩ Activating firewall script gener↩ ated Wed Mar 2 17:00:06 2005 CET↩ by stephan
In der Logdatei landen auch Hinweise über Pakete, die die Firewall mit reject oder deny verworfen hat. Wünschen Sie ein weniger ausführliches Logging, so stellen Sie dies im Policy-Fenster des FWBuilder unter Options bei der jeweiligen Regel ein.
Abbildung 4: Der Policy Installer überträgt das Firewall-Skript auf die Firewall und führt es aus. Damit aktiviert er die neuen Regel. Über den kompletten Ablauf informiert der Installer übersichtlich und dennoch detailliert.
Fazit
FWBuilder hat seit Version 1 in Puncto Stabilität und Benutzerfreundlichkeit enorm zugelegt. Es bietet weitaus mächtigere Funktionen, als man auf den ersten Blick vermuten würde. Lediglich in Details weist das Tool noch kleinere Schwächen auf. So wirkt etwa das GUI manchmal etwas hakelig, eine Integration von Bandbreiten-Policies (Quality of Service, QoS) fehlt bislang.
Die kompromisslose Umsetzung der Idee einer objektorientierten, zentralen Verwaltung von Firewalls macht das Werkzeug gleichermaßen für Heimanwender wie für Security-Profis interessant. Selbst komplexe Setups mit mehreren hundert Regeln behält man im Griff, ohne die Übersicht zu verlieren. Feineinstellungen lassen sich mit wenigen zielsicheren Mausklicks erledigen. Das Installieren der Regeln erfolgt schlicht und effizient. (fjl/jlu)
Glossar
direkte Internetanbindung
Der Rechner ist selbst mit dem Internet verbunden, etwa per ISDN, DSL oder Modem. Bei indirekter Anbindung trennt ein Zugangs-Router das Internet von einem lokalen Netz.
dynamische Adresse
Der Rechner erhält bei jeder Einwahl ins Internet eine neue Adresse. Weil IP-Adressen knapp und teuer sind, vergeben die Provider ihre Adressen heute fast immer dynamisch. Der Vorteil: Eine Nummer wird wieder frei, sobald der Teilnehmer seine Verbindung trennt.
HTTP
Hyper Text Transfer Protocol. Mit diesem Protokoll liefern Webserver ihre Seiten aus. Üblicherweise lauscht ein HTTP-Dienst auf Port 80, er nimmt auf diesem Port Verbindungen von Webbrowsern entgegen.
Loopback
Diese virtuelle Netzwerk-Schnittstelle ist nur für die Kommunikation innerhalb eines Rechners gedacht. Üblicherweise erhält sie die IP-Adresse 127.0.0.1 und den Namen "localhost".
NAT
Network Address Translation. In der üblichen Variante S-NAT (Source-NAT) verändert der Zugangs-Router eines Netzes die Absenderangaben in Paketen, die das lokale Netz verlassen. Er ersetzt die privaten Adressen durch öffentliche, die auch im Internet Gültigkeit haben. NAT sorgt zudem dafür, dass auch die Antworten wieder ihr Ziel im internen Netz erreichen.
private IP-Adresse
IP-Adressen, die nur innerhalb eines Netzes gültig sind. Damit ist es möglich, Netze aufzubauen ohne (teure) öffentliche Adressen zu besitzen. Am Übergang ins Internet ist dann allerdings NAT nötig.
Infos
[1] Homepage von FWBuilder: http://www.fwbuilder.org
[2] Firewall Builder auf Sourceforge: http://sourceforge.net/project/showfiles.php?group_id=5314
[3] IPtables: http://www.netfilter.org
[4] Achim Leitner, "Im Netzwerkwald: Grundlagen von TCP/IP", EasyLinux 03/2005, S. 11
[5] Marc André Selig, "Private Feuerwände: Paketfilter mit IPtables", LinuxUser 05/2002, S. 30
Einem Freund empfehlen
