Firewall Builder je konfigurace a správa firewall systému multi-platform. Skládá se z GUI a nastavení politických kompilátorů pro různé platformy firewallu.
Firewall Builder pomáhá uživatelům udržovat databázi objektů a umožňuje editaci politiky s použitím jednoduchých drag-and-drop operace.
V GUI a politické kompilátory jsou zcela nezávislé, to poskytuje konzistentní teoretického modelu a stejné GUI pro různé platformy firewallu. V současné době podporuje iptables, ipfilter, ipfw, OpenBSD pf a Cisco PIX.
Co je nového v této verzi:
- GUI Aktualizace:
- přestěhoval "šarže nainstalovat tlačítko" z hlavního instalačního průvodce k dialogu, kde uživatel zadá své heslo. Nyní může uživatel začít v non-dávkovém režimu instalovat, ale pokračujte v dávkovém režimu instalace kdykoli pokud jsou všechna jejich firewally ověření se stejným uživatelským jménem a heslem.
- viz # 2628 opraven pád, co se stalo, pokud uživatel vytvoří nový objekt, firewallu ze šablony a změnil jeden z IP adres, zatímco jiný objekt firewall vytvořený ze stejné šablony existoval již ve stromu.
- viz # 2635 typ objektu AttachedNetworks není povoleno v "rozhraní" pravidlo prvku.
- drop-down list rozhraní pro "route-through" možnost pravidla pro PF a iptables by měla zahrnovat nejen clusteru rozhraní, ale i rozhraní všech členů. Tímto způsobem můžeme vytvořit kompilátor generovat konfiguraci "předat rychle na em0 Route-na {(em0 10.1.1.2)} ..." pro pravidlo clusteru PF. Tady "em0" je rozhraní člena, ne clusteru.
- řeší # 2642 "GUI pády, pokud uživatel zruší dialogové okno newFirewall".
- řeší "dialog newFirewall nepřijímá IPv6 adresy s dlouhými předpony" # 2641. Dialog nedovolil IPv6 adresy inetrfaces s maskou sítě & gt; 64 bit.
- řeší # 2643 "GUI zhroutí, když uživatel škrty pravidlo, poté klepněte na pravé myši v libovolném pravidla prvku další"
- přidal kontrolu, aby se ujistil, uživatel nezadá síťové masky s nulami ve středu pro síťové objekt IPv4. Netmasks, jako že nejsou podporovány fwbuilder.
- řeší # 2648 ", klikněte na objekt firewall pravým tlačítkem myši na" odstraněných objektů "knihovna způsobí GUI pád"
- opravuje chybu SF 3388055 Přidání "Název DNS" s koncovou mezeru způsobuje selhání.
- řeší SF chyby 3302121 "kosmetických mis-formát v dialogovém okně cest fwb Linux"
- opravuje chybu SF 3247094 "nomenklatura editačním okně IP adresa". Dialog sítě IPv6 říká: "Prefix délka".
- viz # 2654 opravy GUI zhroucení, které se objevily, pokud uživatel kopírovat pravidlo ze souboru A do souboru B, pak zavřel oddíl B, otevřený soubor C a snažil se kopírovat stejné pravidlo od A do C '
- viz # 2655 názvy rozhraní není dovoleno mít pomlčku "-" dokonce s ověřováním rozhraní off. Měli bychom dovolit "-" v názvu rozhraní pro Cisco IOS
- viz # 2657 SNMP Network Discovery havaroval v případě volba "Confine skenování do sítě" byl použit.
- řeší # 2658 "SNMP zjišťování sítě vytváří duplicitní adresy a síťové objekty"
- umožňují fwbuilder využít GSSAPIAuthentication s OpenSSH pomocí návrh by Matthias Witte witte@netzquadrat.de
- opravena chyba (ne číslo): v případě, že název souboru uživatel zapsán do "název výstupního souboru" pole v "pokročilém nastavení", dialog o objektu firewall skončila s bílým prostorem, politika instalátor se nezdařilo s chybou "No tak soubor nebo adresář "
- pevné SF chyba # 3433587 "Ruční editace nová služba Destination Port konečnou hodnotu selže". Tato chyba nebylo možné upravit hodnotu na konci rozsahu portů protože jakmile hodnota stala nižší než hodnota na začátku rozsahu, GUI by resetovat, aby se rovnala hodnotě počátku rozsahu , To se promítlo jak TCP a UDP servis objektů dialogy.
- opravy # 2665 "Přidání textu komentovat příčiny pravidlo, které jdou od 2 řádků na 1 řádek". Za určitých okolností, editace pravidlo komentář způsobil GUI kolaps odpovídající řádek v pravidla uvedeného názoru tak, že pouze první objekt každého pravidla prvku, který obsahoval několik objektů bylo vidět.
- řeší # 2669 "Cant kontrolovat vlastní servisní objekt Základní objekty knihovny".
- Změny v politice dovozce pro všechny podporované platformy
- Změny, které mají vliv na dovoz konfigurací PIX:
- změnil symbolické jméno od "ESP", aby "ESP_WORD" vyhnout se konfliktu s makro "ESP", ke které došlo v průběhu stavět na OpenSolaris
- viz # 2662 "Crash při sestavování ASA pravidlo s rozsahem IP". Potřebujete rozdělit rozsah adres, pokud je používán v "zdroj" pravidla, která řídí Telnet, SSH nebo http na samotný firewall a verzi firewallu je & gt; = 8,3. Příkazy "ssh", "telnet" a "http" (ty, které řídí přístup na příslušné protokoly na samotný firewall) přijmout pouze ip adresu hostitele nebo sítě jako jejich argument. Oni nepřijímají rozsah adres, pojmenovaný objekt, nebo objekt skupinu. Je tomu tak je přinejmenším stejně ASA 8.3. Vzhledem k tomu, jsme se rozšířit rozsahy adres pouze pro verze & lt; 8.3 a použití pojmenovaný objekt pro 8.3 a novější, musíme tuto dodatečnou kontrolu a stále rozšiřovat rozsahy adres v pravidlech, která se později převést na "ssh", "telnet" nebo "http" příkaz. Compiler stále vytváří redundantní prohlášení objektu skupina s CIDR bloky vytvořené z rozsahu adres, ale nepoužívá tuto skupinu v tomto pravidle. To se nerozbije generován konfiguraci, ale objekt skupina je nadbytečná, protože se nikdy nepoužívá. To bude odstraněna v budoucích verzích.
- řeší # 2668 odebrat "statické trasy" z textu vysvětlení v dialogu pro import / PIX ASA. Nemůžeme importovat PIX / ASA konfigurace směrování v tomto okamžiku.
- řeší # 2677 Zásady dovozce pro PIX / ASA příkaz nelze analyzovat "NAT (vnitřní) 1 0 0"
- řeší # 2679 Zásady dovozce pro PIX / ASA nemohli dovážet "nat o osvobození" pravidlo (například: "NAT (uvnitř) 0 access-list vyjímá")
- řeší # 2678 Zásady dovozce pro PIX / ASA nelze analyzovat nat příkaz s parametrem "vnější"
- změny a vylepšení v knihovně API libfwbuilder:
- funkce InetAddr :: isValidV4Netmask () kontroluje, zda masku sítě reprezentované objektem se skládá z posloupnosti "1" bity, následuje sekvence "0" bitů, a proto nemá nuly ve středu.
- opravena chyba # 2670. Per RFC3021 síti masky sítě / 31 nemá žádnou síť a přímé adresy vysílání. Když rozhraní firewallu je nakonfigurován s síťovou masku / 31, politik překladačů by nemělo zacházet druhou adresu tohoto "podsítě" jako vysílání.
- Změny v podpoře pro iptables:
- viz # 2639 "Podpora VLAN podrozhraní mostních rozhraní (např br0.5)". Momentálně fwbuilder nemůže generovat skript pro konfiguraci VLAN podrozhraní mostních rozhraní, takže pokud uživatel nepožádal o tento konfigurační skript, které mají být generovány, kompilátor by neměl přerušit, pokud narazí tuto kombinaci.
- řeší # 2650 "Pravidla se rozsah adres, které zahrnuje adresu firewallu v Src jsou umístěny v OUTPUT řetězci, i když adresy, které neodpovídají firewall by měl jít vpřed"
- řeší SF chyba # 3414382 "Segfault v fwb_ipt zabývající se prázdnými skupinami". Kompilátor pro iptables používá se zhroutí, když byla prázdná skupina používá v "Rozhraní" sloupci pravidla politiky.
- viz SF chybě # 3416900 "Nahradit` command` s `which`". Vygenerovaný skript (Linux / iptables) používali "příkaz -v", zkontrolujte, zda jsou přítomny v systému nástroje příkazového řádku, které potřebuje. Tato částka byla použita k nalezení iptables, lsmod, modprobe, ifconfig, vconfig, záznamník a další. Některé Embedded Linux distribuce, zejména TomatoUSB, přijít bez podpory "příkaz". Přepnutí do "toho", která je více ubuquitous a měl by být k dispozici skoro všude.
- pevná # 2663 "Rule s" old-vysílání "výsledky objektu v neplatném iptables řetězce INPUT". Compiler vybírala řetězu INPUT se směr "odchozí" pro pravidla, která měla starou adresu všesměrového vysílání v "Source", to vést k chybné nastavení iptables s řetízkem INPUT a "-o eth0" klauzule zápas rozhraní.
- opravena chyba v pravidle procesoru, který nahradí AddressRange objekt, který představuje jednu adresu s objektem IPv4. Také eliminovat redundance kódu.
- řeší # 2664 Aktualizace chybová zpráva při ", který" příkaz selže. Vygenerovaný iptables skript používá ", který" pro ověření, zda jsou splněny všechny nástroje, které používá, na stroji. Měli bychom také zkontrolovat, zda ", který" sám existuje, a pokud nevydá smysluplnou chybovou zprávu.
- SF chyba # 3439613. physdev modul neumožňuje --physdev-out pro non-přemostěna provozu ještě. Měli bychom dodat --physdev-je můstky, aby se ujistil to odpovídá pouze přemostěna pakety. Také přidání "-i" / "-o" klauzule, aby odpovídaly mateřskou rozhraní mostu. To nám umožňuje správně odpovídat které most paket projde v konfiguracích s použitím zástupných znaků mostů portů rozhraní. Například, když br0 a BR1 mají "VNET +" most portu rozhraní, iptables stále správně odpovídat, který most paket prošel pomocí "-o br0" nebo "-o BR1" klauzule. To může být užitečné v zařízeních s mnoha můstky rozhraní, které si vytvořili a zničených dynamicky, např s virtuálními stroji. Všimněte si, že "-i br0" / "-o br0" věty, která zní pouze v případě, že je více než jeden most rozhraní a název most portu končí symbolem divoké karty "+"
- pevné SF chyba # 3443609 Return of ID: 3059893 ": iptables" --set "možnost zastaralé". Je třeba použít --match nastavena namísto --set pokud je a iptables verze gt; = 1.4.4. Oprava udělal pro # 3059893 byla jen v politice kompilátoru, ale je třeba udělat, jak v politice a NAT překladače.
- Změny v podpoře pro PF (FreeBSD, OpenBSD):
- viz # 2636 "kapr: Nesprávné výstup v rc.conf.local formátu". V případě použití create_args_carp0 místo ifconfig_carp0 nastavit CARP rozhraní vhid, projít a adskew parametry.
- viz # 2638 "Kdy CARP je heslo prázdné advskew hodnota není čtení". Pokud by přeskočit "projít" parametr příkazu ifconfig, který vytváří kapra rozhraní, pokud uživatel neměl nastavit libovolné heslo.
- pevné SF chyba # 3429377 "PF: pravidla IPv6 nejsou přidány v IPv4 / IPv6 souboru pravidel (kotevní)". Compiler pro PF neměla obsahovala pravidla vytvořené pro IPv6 v generovaných PF konfiguračních souborech kotva.
- pevné SF chyba 3428992: "PF: vládne pořadí problém s IPv4 a IPv6". Compiler pro PF úprava by měla skupina IPv4 a IPv6 NAT dohromady, před tím, než vytváří IPv4 a IPv6 politických pravidel.
- Několik chyb v algoritmech, které používá ke zpracování pravidel možnost při "zachovat tabulky názvy objektů skupiny a adresy" je ve skutečnosti
- řeší # 2674 NAT překladač pro PF havaroval, když se AttachedNetworks objekt použito v překladu Zdroj NAT pravidla.
- Změny v podpoře pro Cisco IOS ACL:
- řeší # 2660 "kompilátor pro IOSACL havaroval, když se objeví rozsah adres v pravidle A volba objektově-group je zapnuto"
- pevné SF chyba 3435004:. "Prázdné řádky komentáře k" Neúplné Command "v IOS"
- Změny v podpoře pro IPFW:
- pevné SF chyba # 3426843 "ipfw nepracuje pro vlastní rozhodnutí, v 5.0.0.3568 verzi".
- Změny v podpoře pro Cisco ASA (PIX, FWSM):
- viz # 2656 "Generated Cisco ASA access-list je duplicitní záznam". Za určitých okolností politiky kompilátor fwb_pix vytvořeného duplicitní access-list linky.
- Další změny:
- viz # 2646 a SF chybu 3395658: přidáno několik IPv4 a IPv6 sítě objektů na standardní objekty knihovny: TEST-NET-2, TEST-NET-3 (RFC 5735, RFC 5737), překládal-IPv4 mapované-IPv4 , Teredo, jedinečné místní, a několik dalších.
Co je nového ve verzi 5.0.0:
- Tato verze obsahuje několik vylepšení grafického uživatelského rozhraní a vylepšenou podporu pro velké konfigurace s novými funkcemi, jako uživatelem definované podsložky, klíčová slova pro označování objektů, dynamických skupin inteligentní filtry, a další.
- Mezi další nové funkce patří podpora pro import PF konfiguračních souborů a nový typ objektu s názvem Přiložené Networks, která představuje seznam sítí, připojených k síťovému rozhraní.
Co je nového ve verzi 4.2.1:
- v4.2.1 je menší bug-fix vydání, opravuje problémy v vestavěné politiky installer dávkovém režimu, průvodce SNMP Network Discovery a pár dalších chyb v GUI.
Co je nového ve verzi 4.2.0:
- Tato verze výrazně zlepšuje import stávajících konfigurací brány firewall, zavádí mate pro dovoz Cisco ASA / PIX / konfiguraci FWSM a de-duplikace dovážených předmětů pro všechny platformy. Tato verze také přidává podporu pro konfiguraci mostů a VLAN rozhraní a statických cest na FreeBSD a umožňuje vytvářet konfigurace ve formátu rc.conf souborů. Fwbuilder nyní podporuje nejnovější verze softwaru Cisco ASA, včetně nové syntaxi příkazu pro NAT příkazů ASA 8.3.
Co je nového ve verzi 4.1.3:
- Tato verze obsahuje řadu vylepšení použitelnosti a oprav chyb. Zlepšení použitelnosti patří přídavek rozšířeném režimu uživatele, která snižuje počet popisků pro pokročilé uživatele a přidání nové zaškrtávací políčko pravidlo zásad pro určení, zda nová pravidla zaznamenávání povoleno, nebo ve výchozím nastavení zakázána. Kritické opravy chyb patří vylepšenou podporu pro systémy Windows, které používají Putty zasedání, podporu pro konfiguraci vysílání IP adresy na rozhraní a několik oprav týkajících se konfigurace clusteru. Konfigurace Cluster opravy patří přidání podpory pro import větvení pravidel při vytvoření clusteru a podpora pro vytváření pravidel NAT, které vyžadují iptables REDIRECT cíl.
Co je nového ve verzi 4.1.2:
- Povolit nástroj tipy ve výchozím nastavení a přidat další tipy na nářadí
- zjednodušení konfigurace rozhraní v nových objektů průvodců pro Nový Firewall a nového hostitele
- Automaticky otevřít firewall Policy objekt při vytvoření nové objekty firewall
- Doplňkové navigační pomůcky a pomocné řetězce
- Opraven instalátor problém pro uživatele Windows, které používají Putty relace
- Fix problém (SF 307732), kde byly zástupné rozhraní nemá v PREROUTING pravidle
- Pevné vydány (SF 3049665), kde Firewall Builder neměl vytvářet správné přípony datový soubor
Co je nového ve verzi 4.1.1:
- v4.1.1 obsahuje opravy pro řadu drobných chyb a je první verze oficiálně podporují konfiguraci HP ProCurve ACL. Díky velkorysému daru několika přepínačů od společnosti HP jsme byli schopni testovat a dokončit podporu ProCurve. Tato verze také opravuje kritickou chybu v V4.1.0 týkající se konfigurace Cisco IOS ACL. Některé konfigurace by způsobilo Firewall Builder nesprávně vytvářet a chyba se zprávou "Nelze nalézt rozhraní s zóny sítě, která obsahuje adresu ABCD".
Co je nového ve verzi 4.0.0:
- Po několika měsíci testování beta, to je stabilní výrobní připraven vydání.
Co je nového ve verzi 3.0.6:
- Toto je bug-fix vydání, přichází se zlepšením v GUI na odstranění problémů s tiskem velkých sad pravidel a další optimalizace ve vytvořeném iptables a konfigurací PF.
Komentáře nebyl nalezen