Starthilfe

Trotz allem fällt der Einstieg aufgrund der Funktionsvielfalt des FWBuilder manchmal schwerer als bei anderen Lösungen. Damit Sie bei den ersten Gehversuchen nicht allein sind, bietet der Firewall Builder neben vordefinierten Objekten in der Standard-Bibliothek einen Assistenten an, der Sie beim Erstellen des Grundgerüsts unterstützt.

Den Assistenten starten Sie entweder über die Schaltfläche Create new firewall im bei Programmstart noch leeren Hauptfenster, oder aber über einen Rechtsklick auf Firewalls in der Objektliste und den Menüpunkt New Firewall. Auf der ersten Seite vergeben Sie einen frei wählbaren Namen für die Firewall, zum Beispiel buero-muenchen und geben an, welches System zum Einsatz kommt – für gängige Ubuntu-Varianten beispielsweise iptables auf Linux 2.4/2.6. Markieren sollten Sie auf jeden Fall die Option Use preconfigured firewall templates, um auf die Vorlagen zuzugreifen.

In der nun folgenden Dialogbox (Abbildung 4) bietet der Firewall Builder verschiedene Templates zur Auswahl an, die als Grundgerüst der eigenen Firewall dienen. Neben drei Beispielen für Router beziehungsweise Gateways stehen auch solche für Server und diverse Appliances sowie Embedded-Systeme bereit.

Wählen Sie die für sich passende Variante aus – im Test kam das Template fw template 2 zum Einsatz. Mit einem Klick auf Next gelangen Sie zur Eingabemaske für die Netzwerkkarten. Dort konfigurieren Sie die einzelnen Interfaces mit ihren Adressen und weisen ihnen ein frei definierbares Label zu, also einen Namen – beispielsweise "intern" oder "extern". So vorhanden, legen Sie auch gleich die IPv6-Adresse mit an, um sie bei der Konfiguration der Firewall nicht zu vergessen. Nach einem Klick auf Finish öffnet FWBuilder das neue Regelwerk.

Abbildung 4: Die Auswahl an vorkonfigurierten Firewalls macht es einfach, für die eigenen Zwecke die passende Grundlage zu finden.

Aufbauarbeit

Sehen Sie sich zunächst in der Objektliste um. Im Beispiel legt FWBuilder einige Elemente an, die zum Betrieb der Firewall erforderlich sind: Das Netzwerk buero-muenchen:eth1:net (192.168.0.0/255.255.255.0), die Netzwerkinterfaces eth0, eth1 und das Loopback-Device lo. Dem Interface-Objekt eth1 weist FWBuilder eine fixe IP-Adresse zu, die er als eigenes Element abbildet, ebenso für das Loopback-Device.

Da das Gerät hinter dem Objekt eth0 seine IP-Adresse dynamisch erhält, fehlt hier ein entsprechender Eintrag. Die Tabelle Routing enthält keinen Eintrag, die NAT-Tabelle genau einen (Abbildung 5). Die dort angelegte Regel bedeutet, dass die Firewall künftig:

  • alle Pakete von der Quelle buero-muenchen:eth1:net (Original Src)
  • zu einem beliebigen Ziel (Original Dst und Original Srv)
  • über die Netzwerkkarte mit dem Label extern
  • ohne Umschreiben der Quell- oder Zieladresse (Translated Dst und Translated Srv)
  • maskiert (translate).
Abbildung 5: So stellt der Firewall-Builder das Masquerading (NAT) dar.

Um Details zu einem Element zu erhalten, fahren Sie mit der Maus darüber – in einem Tooltip zeigt der Firewall Builder dann die zugehörigen Eigenschaften an, wie zum Beispiel IP-Adressen. Mit einem Doppelklick auf ein Element hingegen steuern Sie den entsprechenden Ordner in der Objektbibliothek an. Ein Rechtsklick öffnet ein Kontextmenü mit weiteren Optionen, wie beispielsweise dem Invertieren von Regeln (Negate) oder dem Zuweisen von Farben und Gruppen zur besseren Übersichtlichkeit.

Letztere übernimmt FWBuilder übrigens nicht in das erzeugte Skript: Dafür steht das separate Feld Comments bereit. Per Kontextmenü zeigen Sie bei Bedarf alle Vorkommnisse des jeweiligen Elements an. Für fortgeschrittene Administratoren dürfte Compile Rule interessant sein, denn damit gibt FWBuilder eine Vorschau der aktuellen Regel in der Zielsyntax (Abbildung 6).

Abbildung 6: Auf Wunsch zeigt der FWBuilder, wie eine Regel in der Syntax des Zielsystems aussieht.

Mit diesem Wissen ausgestattet, fügen Sie leicht einzelne Filter über das grüne Pluszeichen hinzu oder verändern das bestehende Regelwerk. Im Beispiel sind die meisten Einstellungen in der Tabelle Policy abgelegt. Gerade bei umfangreichen Konfigurationen kommen die weiter oben erwähnten Gruppen und Farben gut zum Tragen (Abbildung 7). Um die anhand der Vorlage erstellte Basis-Firewall Ihren Wünschen anzupassen, editieren Sie die Regeln, indem Sie per Drag & Drop neue Elemente hinzufügen.

Abbildung 7: Malen nach Zahlen – der Übersichtlichkeit halber.

Um beispielsweise auf der Firewall-Maschine den Port für das HTTPS-Protokoll zu öffnen, wählen Sie in der Objektliste die Standard-Bibliothek, suchen unter Services | TCP das Objekt https und ziehen es bei gedrückter linker Maustaste in das Feld Service der entsprechenden Regel. Mit demselben Prinzip legen Sie neue Regeln an oder verändern Quell- und Zieladressen.

Die Einstellungen der Firewall lagern ebenfalls in der Objektliste und bieten erfahrenen Administratoren noch weitergehende Konfigurationsmöglichkeiten (Abbildung 8).

Abbildung 8: Der FWBuilder bietet selbst feingranulare Details zur Konfiguration an.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 03/2017: EFFIZIENTES BÜRO

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Probleme mit der Maus
Thomas Roch, 21.02.2017 13:43, 0 Antworten
Nach 20 Jahren Windows habe ich mich zu Linux Ubuntu probeweise durchgerungen!!! Installation - k...
KWin stürzt ab seit Suse Leap 42.2
Wimpy *, 21.02.2017 09:47, 0 Antworten
OpenSuse 42.2 KDE 5.8.3 Framework 5.26.0 QT 5.6.1 Kernel 4.4.46-11-default 64-bit Open-GL 2....
Shell-Befehl zur Installation von Scanner-Treiber
Achim Zerrer, 15.02.2017 12:13, 10 Antworten
Hallo, ich habe Einen Brother Drucker mit Scanner. Nachdem ich mit Hilfe der Community den Druck...
kiwix öffnet ZIM Datei nicht
Adrian Meyer, 13.02.2017 18:23, 1 Antworten
Hi, ich nutze Zim Desktop für mein privates Wiki. Fürs Handy habe ich mir kiwix heruntergelade...
registration
Brain Stuff, 10.02.2017 16:39, 1 Antworten
Hallo, Das Capatcha auf der Registrierungsseite von linux-community ist derartig schlecht gema...