Home / LinuxUser / 2011 / 05 / Firewalls in der GUI konfigurieren mit FWBuilder

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Debian leicht gemacht
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

AA_construct_linder6580_sxc_1342027.jpg

© linder6580, sxc.hu

Aufbauhilfe

Firewalls in der GUI konfigurieren mit FWBuilder

05.04.2011 Wer Rechner und Netzwerk richtig abschotten möchte, der greift zur Firewall. FWBuilder beherrscht nicht nur die Syntax verschiedenster Zielplattformen, sondern sorgt durch Zusatzfunktionen für ein übersichtliches Regelwerk.

Heutige Firewalls geraten immer komplexer, und aufgrund der teils umständlichen Syntax geht leicht der Überblick verloren. Kommt neben Iptables auch noch ein anderes System zum Einsatz, wie etwa die OpenBSD-Firewall, ist das Chaos perfekt. Mit dem Firewall Builder [1] steht ein Werkzeug bereit, mit dem Sie Firewalls in einer grafischen Oberfläche entwickeln und anschließend in die richtige Syntax konvertieren.

FWBuilder einrichten

Unser Testsystem besteht aus einem Notebook mit der aktuellen 32-Bit-Version von Ubuntu 10.10 (Maverick Meerkat). Dort ist FWBuilder, so die Kurzform des Firewall Builder, zwar bereits in den Universe-Repositories enthalten, doch als wir in unserem Test auf ebendiese Ubuntu-eigenen Pakete zurückgriffen, wies FWBuilder schon beim ersten Programmstart darauf hin, dass diese kaputt seien (Abbildung 1).

Abbildung 1

Abbildung 1: Satz mit X – die Ubuntu-eigenen Pakete sind unbrauchbar.

Glücklicherweise stellt der Hersteller eigene Repositories für Debian, Ubuntu, Fedora und OpenSuse samt Anleitung bereit [2]. Auf unserem Testsystem genügte es, mit den drei Zeilen aus Listing 1 in der Konsole das neue Repository einzubinden und zu aktivieren sowie den Signaturschlüssel für die Pakete zu installieren.

Danach installieren Sie das Paket fwbuilder wie gewohnt, etwa mittels sudo apt-get install fwbuilder auf der Konsole. Nach kurzer Wartezeit steht FWBuilder samt benötigter Libraries zum Einsatz bereit. Die herstellereigenen Pakete sind übrigens wesentlich neuer als die aus dem Ubuntu-Archiv.

Listing 1

# sudo echo "deb http://www.fwbuilder.org/deb/stable/ maverick contrib" >> /etc/apt/sources.list.d/fwbuilder.list
# sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com EAEE08FE
# sudo apt-get update

Funktionsweise

Den Firewall Builder gibt es für Linux, Windows, Mac OS X und diverse BSD-Varianten (siehe Kasten "Kommerzielle Binärpakete"). Er bearbeitet auf Wunsch sowohl lokale als auch entfernte Firewalls. Damit erhalten Sie plattformunabhängig Zugriff auf die gängigen Netzwerkfilter. Um den Spagat zwischen verschiedenen Welten zu bewerkstelligen, arbeitet das Programm dabei auf einer abstrakten Ebene: Sie erstellen die gewünschten Regeln bequem in der grafischer Oberfläche per Drag & Drop und konvertieren sie erst dann in das gewünschte Zielformat.

FWBuilder denkt dabei mit und bietet nur solche Funktionen an, die das Zielsystem unterstützt. Neben Iptables aus dem Netfilter-Projekt unterstützt der integrierte Compiler Ipfilter, Ipfw, OpenBSD PF, Cisco ASA (PIX), Cisco FWSM sowie die ACLs von Cisco IOS und HP Procurve.

Kommerzielle Binärpakete

FWBuilder steht unter zwei Lizenzen bereit: Der Quellcode der Linux- und BSD-Pakete steht unter der GNU GPL und ist als Binärpaket kostenfrei erhältlich. Möchten Sie das Programm hingegen unter Windows oder Mac OS X installieren, müssen Sie nach Ablauf von 30*Tagen eine kommerzielle Lizenz erwerben, die es ab rund 90 Euro gibt.

Im Test legten die herstellereigenen Pakete im Gegensatz zur Ubuntu-eigenen Version keinen Eintrag im Gnome-Menü an. Um das Programm zu starten, geben Sie daher fwbuilder entweder auf der Konsole oder aber im Anwendungsstarter mittels [Alt]+[F2] ein. Die Oberfläche selbst präsentiert sich recht aufgeräumt (Abbildung 2).

Abbildung 2

Abbildung 2: FWBuilder präsentiert sich nach dem ersten Start noch recht übersichtlich.

Der Firewall Builder arbeitet mit dem Konzept von Objekten, die untereinander in Beziehung stehen. Das Programm speichert dies innerhalb von Bibliotheken als Baumstruktur ab. Zwei Bibliotheken bringt das Programm mit, Standard und User. Während erstere eine umfangreiche Sammlung verschiedener vordefinierter Komponenten enthält und keine Modifikationen erlaubt, speichern Sie eigenen Objekte in letzterer ab. Bei Bedarf legen Sie einfach weitere benutzerdefinierte Bibliotheken an, beispielsweise für verschiedene Standorte oder Einsatzbereiche.

Als Objekt bezeichnet FWBuilder alle Elemente, die in einer Firewall vorkommen, wie Netzwerkkarten, Subnetze, IP-Bereiche, einzelne Adressen, DNS-Namen, Protokolle (ICMP, IP, TCP und UDP), Zeitfenster und Benutzer, wobei Sie einzelne Elemente teilweise in Untergruppen zusammenfassen oder aus externen Quellen auslesen. Die Firewall selbst und sogar ganze Firewall-Cluster bildet das Programm als Objekt in der Bibliothek ab. Neue Objekte legen Sie über das Plus-Zeichen links neben dem Bibliotheksnamen an.

Neben IPv4 versteht FWBuilder übrigens das IPv6-Protokoll, dem künftig eine immer größere Bedeutung zukommt. Damit bei der Vielzahl der möglichen Objekte der Überblick nicht verloren geht, steht eine komfortable Suchfunktion bereit (Abbildung 3), die zusätzlich eine Chronik vergangener Anfragen bereithält.

Abbildung 3

Abbildung 3: Schon ein paar Objekte und aktive Regeln geben einen vorsichtigen Eindruck von den mächtigen Fähigkeiten des Firewall Builder.

Das Hauptfenster teilt sich in drei große Bereiche auf: Links finden Sie die Objektliste und die Auswahl der Bibliothek. Haben Sie ein Objekt ausgewählt, beispielsweise eine Subnetzmaske, editieren Sie dessen Eigenschaften wie Name und Adresse im Editierfenster, das sich im unteren Bereich des Bildschirms befindet. Um die einzelnen Objekte nun untereinander in Beziehung zu setzen und daraus die Firewall-Regeln zu bauen, stehen Ihnen die Tabellen Policy für die Filterregeln, NAT für die IP-Masquerading beispielsweise bei DSL-Einwahlverbindungen, und eine Tabelle für das Routing auf der rechten Seite des Bildschirms bereit.

Regelwerk

Die einzelnen Regeln selbst legen Sie durch verschiedene Felder in den jeweiligen Tabellen fest: Mögliche Werte dabei sind Quelle, Ziel, Dienst beziehungsweise Port, Netzwerkkarte und Zeitfenster sowie die Aktion, die das System beim Zutreffen einer Regel ausführt. Eingehende und ausgehende Verbindungen verwalten Sie je nach Wunsch getrennt oder gemeinsam, und einzelne Felder dürfen den Wert any annehmen, was bedeutet, dass die Regel bei jedem Zustand des entsprechendes Feldes greift. Ein Beispiel: Zugang zum SSH-Server können Sie sowohl von allen Netzwerkinterfaces aus erlauben (any) als auch nur von Verbindungen, die über die erste Netzwerkkarte eingehen (eth0).

Wie bei Firewalls üblich, arbeitet der FWBuilder die Regeln hintereinander ab, sprich: Blockt eine Regel ein Datenpaket, bleiben spätere Regeln unberücksichtigt, durch die das entsprechende Paket gelangen würde. Es erscheint daher sinnvoll, zuerst alle erlaubten Verbindungen aufzuführen, um am Ende der Tabelle alle übrigen Verbindungen zu verbieten.

Möchten Sie Ihr Netzwerk dagegen eher offen halten, wählen Sie den umgekehrten Weg – die letzte Regel erlaubt die Verbindung, unerwünschte Dienste blocken Sie vorher explizit. Ein solches Setup findet sich beispielsweise häufig in Universitätsnetzwerken, bei denen die Administratoren ausgehende Verbindungen zu anderen Mailservern und diversen Filesharing-Diensten verbieten, ansonsten aber alle anderen Dienste erlauben.

Bei dem, was sich in der Theorie so kompliziert anhört, spielt der Firewall Builder seine Stärken erst so richtig aus, denn jetzt zahlt sich das Konzept der Elemente und Bibliotheken aus. Im Gegensatz zu Iptables erstellen Sie Ihr Regelwerk nicht per kryptischer Kommandozeile, sondern ziehen einfach die Elemente aus den Bibliotheken in die Tabelle, um daraus Regeln zu bauen.

Tip a friend    Druckansicht Bookmark and Share
Kommentare

4099 Hits
Wertung: 108 Punkte (5 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

Owncloud mit Linuxmint 15 32 Bit
Santana Muggel, 24.04.2014 16:45, 0 Antworten
Hallo, ich habe nach dem Artikel in Heft 05.2014 versucht, owncloud einzurichten. Bei der Inst...
programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...