Starthilfe

Trotz allem fällt der Einstieg aufgrund der Funktionsvielfalt des FWBuilder manchmal schwerer als bei anderen Lösungen. Damit Sie bei den ersten Gehversuchen nicht allein sind, bietet der Firewall Builder neben vordefinierten Objekten in der Standard-Bibliothek einen Assistenten an, der Sie beim Erstellen des Grundgerüsts unterstützt.

Den Assistenten starten Sie entweder über die Schaltfläche Create new firewall im bei Programmstart noch leeren Hauptfenster, oder aber über einen Rechtsklick auf Firewalls in der Objektliste und den Menüpunkt New Firewall. Auf der ersten Seite vergeben Sie einen frei wählbaren Namen für die Firewall, zum Beispiel buero-muenchen und geben an, welches System zum Einsatz kommt – für gängige Ubuntu-Varianten beispielsweise iptables auf Linux 2.4/2.6. Markieren sollten Sie auf jeden Fall die Option Use preconfigured firewall templates, um auf die Vorlagen zuzugreifen.

In der nun folgenden Dialogbox (Abbildung 4) bietet der Firewall Builder verschiedene Templates zur Auswahl an, die als Grundgerüst der eigenen Firewall dienen. Neben drei Beispielen für Router beziehungsweise Gateways stehen auch solche für Server und diverse Appliances sowie Embedded-Systeme bereit.

Wählen Sie die für sich passende Variante aus – im Test kam das Template fw template 2 zum Einsatz. Mit einem Klick auf Next gelangen Sie zur Eingabemaske für die Netzwerkkarten. Dort konfigurieren Sie die einzelnen Interfaces mit ihren Adressen und weisen ihnen ein frei definierbares Label zu, also einen Namen – beispielsweise "intern" oder "extern". So vorhanden, legen Sie auch gleich die IPv6-Adresse mit an, um sie bei der Konfiguration der Firewall nicht zu vergessen. Nach einem Klick auf Finish öffnet FWBuilder das neue Regelwerk.

Abbildung 4: Die Auswahl an vorkonfigurierten Firewalls macht es einfach, für die eigenen Zwecke die passende Grundlage zu finden.

Aufbauarbeit

Sehen Sie sich zunächst in der Objektliste um. Im Beispiel legt FWBuilder einige Elemente an, die zum Betrieb der Firewall erforderlich sind: Das Netzwerk buero-muenchen:eth1:net (192.168.0.0/255.255.255.0), die Netzwerkinterfaces eth0, eth1 und das Loopback-Device lo. Dem Interface-Objekt eth1 weist FWBuilder eine fixe IP-Adresse zu, die er als eigenes Element abbildet, ebenso für das Loopback-Device.

Da das Gerät hinter dem Objekt eth0 seine IP-Adresse dynamisch erhält, fehlt hier ein entsprechender Eintrag. Die Tabelle Routing enthält keinen Eintrag, die NAT-Tabelle genau einen (Abbildung 5). Die dort angelegte Regel bedeutet, dass die Firewall künftig:

  • alle Pakete von der Quelle buero-muenchen:eth1:net (Original Src)
  • zu einem beliebigen Ziel (Original Dst und Original Srv)
  • über die Netzwerkkarte mit dem Label extern
  • ohne Umschreiben der Quell- oder Zieladresse (Translated Dst und Translated Srv)
  • maskiert (translate).
Abbildung 5: So stellt der Firewall-Builder das Masquerading (NAT) dar.

Um Details zu einem Element zu erhalten, fahren Sie mit der Maus darüber – in einem Tooltip zeigt der Firewall Builder dann die zugehörigen Eigenschaften an, wie zum Beispiel IP-Adressen. Mit einem Doppelklick auf ein Element hingegen steuern Sie den entsprechenden Ordner in der Objektbibliothek an. Ein Rechtsklick öffnet ein Kontextmenü mit weiteren Optionen, wie beispielsweise dem Invertieren von Regeln (Negate) oder dem Zuweisen von Farben und Gruppen zur besseren Übersichtlichkeit.

Letztere übernimmt FWBuilder übrigens nicht in das erzeugte Skript: Dafür steht das separate Feld Comments bereit. Per Kontextmenü zeigen Sie bei Bedarf alle Vorkommnisse des jeweiligen Elements an. Für fortgeschrittene Administratoren dürfte Compile Rule interessant sein, denn damit gibt FWBuilder eine Vorschau der aktuellen Regel in der Zielsyntax (Abbildung 6).

Abbildung 6: Auf Wunsch zeigt der FWBuilder, wie eine Regel in der Syntax des Zielsystems aussieht.

Mit diesem Wissen ausgestattet, fügen Sie leicht einzelne Filter über das grüne Pluszeichen hinzu oder verändern das bestehende Regelwerk. Im Beispiel sind die meisten Einstellungen in der Tabelle Policy abgelegt. Gerade bei umfangreichen Konfigurationen kommen die weiter oben erwähnten Gruppen und Farben gut zum Tragen (Abbildung 7). Um die anhand der Vorlage erstellte Basis-Firewall Ihren Wünschen anzupassen, editieren Sie die Regeln, indem Sie per Drag & Drop neue Elemente hinzufügen.

Abbildung 7: Malen nach Zahlen – der Übersichtlichkeit halber.

Um beispielsweise auf der Firewall-Maschine den Port für das HTTPS-Protokoll zu öffnen, wählen Sie in der Objektliste die Standard-Bibliothek, suchen unter Services | TCP das Objekt https und ziehen es bei gedrückter linker Maustaste in das Feld Service der entsprechenden Regel. Mit demselben Prinzip legen Sie neue Regeln an oder verändern Quell- und Zieladressen.

Die Einstellungen der Firewall lagern ebenfalls in der Objektliste und bieten erfahrenen Administratoren noch weitergehende Konfigurationsmöglichkeiten (Abbildung 8).

Abbildung 8: Der FWBuilder bietet selbst feingranulare Details zur Konfiguration an.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.