Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.



Использование встроенного инструмента импортирования политик в Firewall Builder, часть 1

Рубрика: Firewall
Метки: | |
Четверг, 11 февраля 2010 г.
Просмотров: 8294
Подписаться на комментарии по RSS


В этой статье мы продолжаем знакомство с программой Firewall Builder, графическим интерфейсом для управление и конфигурации различных файерволов. В данной серии из двух статей я продемонстрирую как импортировать существующую конфигурацию iptables или Cisco в Firewall Builder. Для выполнения этой задачи есть два различных пути, либо использовать меню "File/Import Policy", либо "Tools/Discovery Druid" и затем выбрать опцию "Import configuration of a firewall or a router".

Импорт конфигурации iptables

Сохранить конфигурацию iptables мы может с помощью скрипта iptables-save. Скрипт "iptables-save" поставляется как часть стандартной установки iptables и присутствует во всех дистрибутивах Linux. Обычно найти его можено в директории /sbin/ . Сохраним конфигурацию в файл:

iptables-save > iptables_config.conf

Теперь запустите fwbuilder, выберите функцию "Import Policy" и используйте кнопку "Browse" для поиска сохраненного на предыдущем этапе файла iptables_config.conf. Не забудьте выбрать "iptables"в выпадающем меню "Platform".

Нажмите "Next" для запуска процедуры имортирования.

Программу будет пытаться интерпретировать конфигурационный файл правило за правилом и создавать их эквиваленты в fwbuilder. Обратите внимание что пользовательские цепочки iptables, найденные в конфигурационном файле пересозданы в fwbuilder как наборы правил. Скриншоты ниже демонстируют созданные наборы "LSI", "LSO", "OUTBOUND".

Новый сетевой экран, созданный в процессе иморта носит имя "New Firewall". Такое поведение обусловлено тем, что конфигурационный файл iptables не содержал сведений о имене хоста с файерволом. Также в нем не было информации о интерфейсах, их именах и адресах. Программа определила интерфейсы автоматически исходя из найденных опций -i <interface>" или "-o <interface>". Вам необходимо переименовать интерфейсы и добавить к ним IP адреса..

Скриншоты выше демонстрируют подсети и объекты созданные программой. К каждому объекту добавляется комментарий, сообщающий о том, что данный объект создан в результате импорта. Имена объектов выбераются автоматически, вы можете переименовать их, дав более понятные имена. Некоторые из объектов в процессе импортирования имеют теже свойства что и существующие службы и объекты в страндартной библиотеке объектов. В настоящее время программа не осуществляет проверку на существование дублей, однако в будущем подобное поведение будет исправлено и будут использоваться стандартные объекты.

Некоторые правила в iptables используют параметр "--tcp-flags" для обработки только определенных комбинаций TCP флагов. Например такой пример:

-A INPUT -s 10.3.14.10 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

При обработке данной строки fwbuilder создает специальный TCP объект с нужной комбинацией маск и флагов:

И наконец заключительный скриншот демонстрирует получившийся в результате набор правил.

Продолжение следует...

 

Полезные ссылки:

Нормальные чугунные радиаторы греют хорошо и долго. Места где продают их нужно знать обязательно.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru rutvit.ru myspace.com technorati.com digg.com friendfeed.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com yandex.ru del.icio.us

Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)