Использование встроенного инструмента импортирования политик в Firewall Builder, часть 1
Метки: firewall | iptables | Linux
Четверг, 11 февраля 2010 г.
Просмотров: 8294
Подписаться на комментарии по RSS
В этой статье мы продолжаем знакомство с программой Firewall Builder, графическим интерфейсом для управление и конфигурации различных файерволов. В данной серии из двух статей я продемонстрирую как импортировать существующую конфигурацию iptables или Cisco в Firewall Builder. Для выполнения этой задачи есть два различных пути, либо использовать меню "File/Import Policy", либо "Tools/Discovery Druid" и затем выбрать опцию "Import configuration of a firewall or a router".
Импорт конфигурации iptables
Сохранить конфигурацию iptables мы может с помощью скрипта iptables-save. Скрипт "iptables-save" поставляется как часть стандартной установки iptables и присутствует во всех дистрибутивах Linux. Обычно найти его можено в директории /sbin/ . Сохраним конфигурацию в файл:
iptables-save > iptables_config.conf
Теперь запустите fwbuilder, выберите функцию "Import Policy" и используйте кнопку "Browse" для поиска сохраненного на предыдущем этапе файла iptables_config.conf. Не забудьте выбрать "iptables"в выпадающем меню "Platform".
Нажмите "Next" для запуска процедуры имортирования.
Программу будет пытаться интерпретировать конфигурационный файл правило за правилом и создавать их эквиваленты в fwbuilder. Обратите внимание что пользовательские цепочки iptables, найденные в конфигурационном файле пересозданы в fwbuilder как наборы правил. Скриншоты ниже демонстируют созданные наборы "LSI", "LSO", "OUTBOUND".
Новый сетевой экран, созданный в процессе иморта носит имя "New Firewall". Такое поведение обусловлено тем, что конфигурационный файл iptables не содержал сведений о имене хоста с файерволом. Также в нем не было информации о интерфейсах, их именах и адресах. Программа определила интерфейсы автоматически исходя из найденных опций -i <interface>" или "-o <interface>". Вам необходимо переименовать интерфейсы и добавить к ним IP адреса..
Скриншоты выше демонстрируют подсети и объекты созданные программой. К каждому объекту добавляется комментарий, сообщающий о том, что данный объект создан в результате импорта. Имена объектов выбераются автоматически, вы можете переименовать их, дав более понятные имена. Некоторые из объектов в процессе импортирования имеют теже свойства что и существующие службы и объекты в страндартной библиотеке объектов. В настоящее время программа не осуществляет проверку на существование дублей, однако в будущем подобное поведение будет исправлено и будут использоваться стандартные объекты.
Некоторые правила в iptables используют параметр "--tcp-flags" для обработки только определенных комбинаций TCP флагов. Например такой пример:
-A INPUT -s 10.3.14.10 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
При обработке данной строки fwbuilder создает специальный TCP объект с нужной комбинацией маск и флагов:
И наконец заключительный скриншот демонстрирует получившийся в результате набор правил.
Продолжение следует...
Полезные ссылки:
Нормальные чугунные радиаторы греют хорошо и долго. Места где продают их нужно знать обязательно.
Еще записи по теме
- Firewall Builder: использование сетевых объектов
- RDP через SSH порт 443
- Ubuntu Linux: Сохраняем и восстанавливаем правила Iptables
- Использование встроенного инструмента импортирования политик в Firewall Builder, часть 2
- Использование встроенного контроля изменений в Firewall Builder, часть2
- Iptables - ограничение количества подключений с IP
- Использование встроенного контроля изменений в Firewall Builder, часть1
Оставьте комментарий!