Ползая по просторам интернета наткнулся на одну весьма замечательную вещь — fwBuilder. Это GUI для централизованной удобной настройки различных фаерволов. Только представьте, что из одной программы вы можете управлять правилами, роутингом, трансляцией адресов (NAT) целой кучи разномастных устройств. Класс! Поддерживаются Linux системы, BSD, аппаратные решения Cisco. Сама программа абсолютна бесплатна, что само по себе очень приятно. Скачать можно с сайта разработчика.
Естественно, я решил скачать и изучить данный софт более подробно. Скачиваем, устанавливаем, запускаем.
Основное окно fwBuilder выглядит так:
В левой части размещается дерево объектов. Здесь под объектами подразумеваются как железки над которыми осуществляется управление, так и различные элементы, на основе которых строятся все правила: сетевые интерфейсы, протоколы, порты, диапазоны адресов, временные интервалы и прочее. Дерево разделено на две библиотеки, между которыми можно свободно перемещаться. В одной хранится список стандартных, заранее определенных объектов, а в другой — пользовательские объекты. Переключение осуществляется здесь
Находясь в пользовательской библиотеке (User), в центре экрана программы есть три кнопки. Самая левая — добавление нового фаервола. Жмем её, после чего перед нами появится окно мастера. Здесь в первой строке указываем понятное для нас имя фаервола. Остальные два поля предназначены для определения типа фаервола. Если у вас Linux система, то надо выбирать iptables и верчию ядра 2.4/2.6.
Если фаервол основан на другой платформе, то там все по смыслу можно выбрать. Очень важно это сделать правильно, иначе ничего в дальнейшем не получится. Если с этими параметрами разобрались, то нажимаем Next.
Следующий этап — определение сетевых интерфейсов. По умолчанию fwBuilder предлагает указать их вручную, но если ваш фаервол поддерживает SNMP, то можно считать список интерфейсов автоматически.
В ручном режиме определения сетевых интерфейсов перед нами появится следующий диалог с кнопкой + в шапке. Здесь добавляем интерфейсы.
В поле Name указываем имя интерфейса в точности так, как он называется на фаерволе. В поле Label мы можем указать понятное нам название. В списке Type выбираем способ, который получается IP-адрес на этом интерфейсе. Кнопкой Add Address добавляем сам адрес и маску. Для добавления следующего интерфейса нажимаем кнопку +. Как видите пока все просто. После того, как все необходимые интерфейсы будут добавлены нажимаем кнопку Finish внизу.
Фаервол появится в дереве объектов в разделе Firewalls со всеми добавленными интерфейсами и разделами для добавления правил (Policy), правила трансляции адресов (NAT), правила маршрутизации (Routing).
Интерфейсов может быть много, но управление как правило осуществляется через какой-то один. Его нужно отметить соответствующей опцией. Пример на скриншоте.
Прежде чем создавать правила, надо наделать некоторых объектов. Для примера опишем нашу локальную сеть. Для этого жмем по кнопке New Object и там выбираем New Network
Затем указываем понятно нам имя этой сети и адресацию.
Теперь вернемся к нашему фаерволу. Зайдем в Policy и нажмем кнопку + вверху. Создастся пустое правило, как на скриншоте ниже
Как его редактировать? Очень просто — перетаскивайте нужные объекты из левого дерева в нужные ячейки правила. Ячейки Direction (направление), Action (действие), Options можно поменять кликнув по ним правой кнопкой мыши. Для примера я создал простое правило, которое по большому счету разрешает любой трафик.
Прежде чем правила будут загружены на фаервол они проходят проверку на наличие ошибок и компиляцию. Делается это кнопкой Compile на верхней панели.
После этого можно устанавливать правила с помощью кнопки Install. При этом нас попросят указать логин и пароль от фаервола.
Вот собственно и всё. Установленные правила начинают работать сразу без каких-либо дополнительных манипуляций.
Не забудьте сохранить всю вашу конфигурацию в fwBuilder, для этого на верхней панели есть кнопка Save 🙂
P.S. или некоторые замечания:
Не рекомендуется без реальной необходимости включать логирование правил. Я включил логирование всех парвил и на моей тестовой системе через неделю закончилось место на жестком диске.
Если вы используете Lunix в качестве фаервола и используете логирование нужных вам правил, то можно установить на фаервол веб-морду для просмотра логов firewall eyes. Выглядит она примерно так
Мы расскажем про ‘firewall eyes более подробно в отдельном обзоре.
