Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:firewallbuilder_centos_7 [2014/10/12 05:53] – [Firewall] klaus
+++ tachtler:firewallbuilder_centos_7 [2020/02/09 14:13] (aktuell) – klaus
@@ Zeile 1: / Zeile 1: @@
 ====== FirewallBuilder CentOS 7 ======
-[[tachtler:FirewallBuilder|{{:tachtler:index:fwbuilder-48x48.png }}]] Der [[http://www.fwbuilder.org/|FirewallBuilder]] ist ein grafisches Programm, welches einen **X-Server** benötigt. Dabei ist die einfache, grafische Bedienung einer der größten Vorteile beim erstellen selbst komplexer Regelsätze, was enorm Zeitsparend ist und dazu **keine detaillierten Kenntnisse der Firewall-Syntax** voraussetzt.
+[[tachtler:FirewallBuilder|{{:tachtler:index:fwbuilder-48x48.png }}]] Der [[http://fwbuilder.sourceforge.net/|FirewallBuilder]] ist ein grafisches Programm, welches einen **X-Server** benötigt. Dabei ist die einfache, grafische Bedienung einer der größten Vorteile beim erstellen selbst komplexer Regelsätze, was enorm Zeitsparend ist und dazu **keine detaillierten Kenntnisse der Firewall-Syntax** voraussetzt.
 :!: **WICHTIG** - **Nachfolgend soll die Installation zur Nutzung mit**
@@ Zeile 13: / Zeile 13: @@
 :!: **HINWEIS** - **Mehr Informationen zum gezielten Einsatz, können unter nachfolgenden Link bezogen werden:**
-  * **[[http://www.fwbuilder.org|http://www.fwbuilder.org - Dokumentationen]]**
+  * **[[http://fwbuilder.sourceforge.net/|http://fwbuilder.sourceforge.net/ - Dokumentationen]]**
 Ab hier werden zur Ausführung nachfolgender Befehle **''root''**-Rechte benötigt. Um der Benutzer ''root'' zu werden, melden Sie sich bitte als ''root''-Benutzer am System an, oder wechseln mit nachfolgendem Befehl zum Benutzer ''root'':
@@ Zeile 23: / Zeile 23: @@
 ===== Voraussetzungen =====
-Um den [[http://www.fwbuilder.org/|FirewallBuilder]] einsetzen zu können, müssen nachfolgende **Voraussetzungen** gegeben sein:
+Um den [[http://fwbuilder.sourceforge.net/|FirewallBuilder]] einsetzen zu können, müssen nachfolgende **Voraussetzungen** gegeben sein:
   * Ein installiertes [[http://www.centos.org|CentOS]] **Version 7.x** Betriebssystem
   * mit einem installierten und gestarteten lauffähigen **X-Server** und
@@ Zeile 34: / Zeile 34: @@
 Zur Einbindung des **__externen Repositories__** von
-  * [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]]
+  * [[http://repo.mailserver.guru/|http://repo.mailserver.guru]]
-Mit nachfolgendem Befehlen kann ein ''rpm''-Installationspaket heruntergeladen und installiert werden, mit dem das **__externen Repositories__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] als Drittrepository im Betriebssystem, als zusätzliche Quelle, eingebunden werden kann.
+Mit nachfolgendem Befehlen kann ein ''rpm''-Installationspaket heruntergeladen und installiert werden, mit dem das **__externen Repositories__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] als Drittrepository im Betriebssystem, als zusätzliche Quelle, eingebunden werden kann.
 Zuerst sollte mit nachfolgendem Befehl in das Verzeichnis ''/tmp'' gewechselt werden:
@@ Zeile 43: / Zeile 43: @@
 </code>
-Nachfolgender Befehl kann das entsprechende ''rpm''-Paket für das **__externe Repository__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] heruntergeladen werden:
+Nachfolgender Befehl kann das entsprechende ''rpm''-Paket für das **__externe Repository__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] heruntergeladen werden:
 <code>
-# wget http://repo7.mailserver.guru/7/x86_64/mailserver.guru-7-1.noarch.rpm
+# wget http://repo.mailserver.guru/7/os/x86_64/Packages/mailserver.guru-7-1.noarch.rpm
---2014-10-10 09:59:03--  http://repo7.mailserver.guru/7/x86_64/mailserver.guru-7-1.noarch.rpm
+--2014-10-10 09:59:03--  http://repo.mailserver.guru/7/x86_64/mailserver.guru-7-1.noarch.rpm
-Resolving repo7.mailserver.guru... 217.91.103.190
+Resolving repo.mailserver.guru... 217.91.103.190
-Connecting to repo7.mailserver.guru|217.91.103.190|:80... connected.
+Connecting to repo.mailserver.guru|217.91.103.190|:80... connected.
 HTTP request sent, awaiting response... 200 OK
 Length: 5944 (5.8K) [application/x-rpm]
@@ Zeile 58: / Zeile 58: @@
 </code>
-Mit nachfolgendem Befehl, kann nun die Installation des ''rpm''-Pakets für das **__externe Repository__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] durchgeführt werden:
+Mit nachfolgendem Befehl, kann nun die Installation des ''rpm''-Pakets für das **__externe Repository__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] durchgeführt werden:
 <code>
 # yum localinstall /tmp/mailserver.guru-7-1.noarch.rpm
@@ Zeile 128: / Zeile 128: @@
 </code>
-:!: **HINWEIS** - Damit könnte bereits das das **__externe Repository__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] grundsätzlich genutzt werden!
+:!: **HINWEIS** - Damit könnte bereits das das **__externe Repository__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] grundsätzlich genutzt werden!
-Zur **Sicherheit** sollte jedoch noch der **GPG-Schlüssel** des **__externen Repositories__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] **importiert** werden, da alle Pakete via **GPG**-Schlüssel signiert sind, und diese Signatur nur dann überprüft werden kann!
+Zur **Sicherheit** sollte jedoch noch der **GPG-Schlüssel** des **__externen Repositories__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] **importiert** werden, da alle Pakete via **GPG**-Schlüssel signiert sind, und diese Signatur nur dann überprüft werden kann!
-Nachfolgender Befehl lädt den **GPG-Schlüssel** des **__externen Repositories__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] von
+Nachfolgender Befehl lädt den **GPG-Schlüssel** des **__externen Repositories__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] von
-  * [[http://repo7.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7|http://repo7.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7]]
+  * [[http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7|http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7]]
 herunter:
 <code>
-# wget http://repo7.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
+# wget http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
---2014-10-10 10:22:42--  http://repo7.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
+--2014-10-10 10:22:42--  http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
-Resolving repo7.mailserver.guru... 217.91.103.190
+Resolving repo.mailserver.guru... 217.91.103.190
-Connecting to repo7.mailserver.guru|217.91.103.190|:80... connected.
+Connecting to repo.mailserver.guru|217.91.103.190|:80... connected.
 HTTP request sent, awaiting response... 200 OK
 Length: 1650 (1.6K) [text/plain]
@@ Zeile 150: / Zeile 150: @@
 </code>
-Mit nachfolgendem Befehl, kann nun der **GPG**-Schlüssel des **__externen Repositories__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] **importiert** werden:
+Mit nachfolgendem Befehl, kann nun der **GPG**-Schlüssel des **__externen Repositories__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] **importiert** werden:
 <code>
 # rpm --import /tmp/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
@@ Zeile 215: / Zeile 215: @@
 </code>
-Jetzt kann das **__externe Repository__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] genutzt werden.
+Jetzt kann das **__externe Repository__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] genutzt werden.
 Es sollten mit nachfolgendem Befehl die von **''yum''**, dem Paket-Manager von [[http://www.centos.org|CentOS]], bereits zwischengespeicherten Informationen, welche bei der Nutzung von **''yum''** zu einem früheren Zeitpunkt ermittelt wurden, mit nachfolgenden Befehl gelöscht werden, um eine Neuermittlung aller verfügbaren Paketinformationen durchzuführen:
@@ Zeile 255: / Zeile 255: @@
 ==== Firewall Builder ====
-Zur Installation des [[http://www.fwbuilder.org/|Firewall Builder]] werden nachfolgende Pakete benötigt:
+Zur Installation des [[http://fwbuilder.sourceforge.net/|Firewall Builder]] werden nachfolgende Pakete benötigt:
   * **''fwbuilder''** - Eigentliches Paket
   * **''fwbuilder-ipt''** - Erweiterung zur Bearbeitung von **''iptables''**-Regeln
@@ Zeile 783: / Zeile 783: @@
 Aus Sicherheitsgründen, sollte ein bestimmter Benutzer zur Verwaltung von Firewall-Regelsätzen angelegt werden.
-:!: **WICHTIG** - **Dieser Benutzer muss auf __ALLEN__ Firewalls __UND__ auf dem [[http://www.fwbuilder.org/|Firewall Builder]]-Server selbst angelegt werden !!!**
+:!: **WICHTIG** - **Dieser Benutzer muss auf __ALLEN__ Firewalls __UND__ auf dem [[http://fwbuilder.sourceforge.net/|Firewall Builder]]-Server selbst angelegt werden !!!**
 Es soll eine **Gruppe**:
@@ Zeile 833: / Zeile 833: @@
 ==== Einstellungen ====
-Um den [[http://www.fwbuilder.org|Firewall Builder]] zur Installation eines Firewall-Regelwerks nutzen zu können, müssen einige Parameter im [[http://www.fwbuilder.org|FirewallBuilder]] hinterlegt werden.
+Um den [[http://fwbuilder.sourceforge.net/|Firewall Builder]] zur Installation eines Firewall-Regelwerks nutzen zu können, müssen einige Parameter im [[http://fwbuilder.sourceforge.net/|FirewallBuilder]] hinterlegt werden.
-Als erstes sollte eine Verzeichnis im **''home''**-Verzeichnis des soeben angelegten Benutzers **''fwadmin''** mit nachfolgendem Befehl angelegt werden, welches zur Aufnahme von Daten des [[http://www.fwbuilder.org|FirewallBuilder]] dient:
+Als erstes sollte eine Verzeichnis im **''home''**-Verzeichnis des soeben angelegten Benutzers **''fwadmin''** mit nachfolgendem Befehl angelegt werden, welches zur Aufnahme von Daten des [[http://fwbuilder.sourceforge.net/|FirewallBuilder]] dient:
 <code>
 # mkdir /home/fwadmin/fwb
 </code>
-Nach dem erfolgreichen Start des [[http://www.fwbuilder.org|Firewall Builder]], sollte nachfolgendes Fenster erscheinen.
+Nach dem erfolgreichen Start des [[http://fwbuilder.sourceforge.net/|Firewall Builder]], sollte nachfolgendes Fenster erscheinen.
 {{:tachtler:fwbuilder:fwbuilder7-start.png|Firewall Builder - Start}}
-Zuerst sollte eine Basiskonfiguration des [[http://www.fwbuilder.org|Firewall Builder]] unter Aufruf des Menüpunktes
+Zuerst sollte eine Basiskonfiguration des [[http://fwbuilder.sourceforge.net/|Firewall Builder]] unter Aufruf des Menüpunktes
   * **Edit** | **Preferences**
@@ Zeile 897: / Zeile 897: @@
 Im **Reiter**
-  * **Labels**
+  * **Labels - Standard**
 {{:tachtler:fwbuilder:fwbuilder7-preferences-labels.png|Firewall Builder - Edit - Preferences - Labels}}
 :!: **HINWEIS** - **In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.**
+  * **Labels - Zonenmodell**
+{{:tachtler:fwbuilder:fwbuilder7-preferences-labels-zonenmodel.png|Firewall Builder - Edit - Preferences - Labels - Zonenmodell}}
+sollten nachfolgende Änderungen nun durchgeführt werden:
+^ Label                    ^ Farbcode ^   R ^   G ^   B ^   H ^   S ^   V ^
+| BLOCKED                  | rot      | 200 | 110 | 110 |   0 | 115 | 200 |
+| INPUT untrust            | türkis   |  60 | 168 | 168 | 180 | 164 | 168 |
+| INPUT trust              | grün     | 139 | 192 | 101 |  94 | 121 | 192 |
+| FORWARD untrust -> trust | orange   | 192 | 139 |  90 |  28 | 135 | 192 |
+| FORWARD trust -> untrust | gelb     | 192 | 186 |  68 |  57 | 165 | 192 |
+| OUTPUT untrust           | lila     | 163 | 126 | 192 | 273 |  58 | 192 |
+| OUTPUT trust             | blau     | 118 | 148 | 192 | 215 |  98 | 192 |
 Im **Reiter**
@@ Zeile 928: / Zeile 943: @@
 ==== Firewall ====
-**Vor** der Neuanlage einer Firewall durch den [[http://www.fwbuilder.org|Firewall Builder]] (welche durch eine Assistenten erfolgen kann), sollte ein Verzeichnis auf dem Server angelegt werden, in dem die **Regelsätze** abgespeichert werden, auf dem  der [[http://www.fwbuilder.org|Firewall Builder]] installiert ist.
+**Vor** der Neuanlage einer Firewall durch den [[http://fwbuilder.sourceforge.net/|Firewall Builder]] (welche durch eine Assistenten erfolgen kann), sollte ein Verzeichnis auf dem Server angelegt werden, in dem die **Regelsätze** abgespeichert werden, auf dem  der [[http://fwbuilder.sourceforge.net/|Firewall Builder]] installiert ist.
 Dies kann mit nachfolgendem Befehl durchgeführt werden und sollte ebenfalls unter dem Benutzer **''fwadmin''** erfolgen:
@@ Zeile 935: / Zeile 950: @@
 </code>
-:!: **HINWEIS** - **Dies ist der Speicherort für alle Firewalls, welche durch den [[http://www.fwbuilder.org|Firewall Builder]] verwaltet bzw. ausgeliefert werden!**
+:!: **HINWEIS** - **Dies ist der Speicherort für alle Firewalls, welche durch den [[http://fwbuilder.sourceforge.net/|Firewall Builder]] verwaltet bzw. ausgeliefert werden!**
-Nachdem nun die Basiskonfiguration des [[http://www.fwbuilder.org|Firewall Builder]] durchgeführt sein sollte, kann nun eine Konfigurationsdatei für die **Firewalls** (am besten mehrere in einer Datei) erstellt werden, was unter Aufruf des Menüpunktes:
+Nachdem nun die Basiskonfiguration des [[http://fwbuilder.sourceforge.net/|Firewall Builder]] durchgeführt sein sollte, kann nun eine Konfigurationsdatei für die **Firewalls** (am besten mehrere in einer Datei) erstellt werden, was unter Aufruf des Menüpunktes:
   * **File** | **New Object File**
@@ Zeile 946: / Zeile 961: @@
 {{:tachtler:fwbuilder:fwbuilder7-preferences-file-new_object_file-dialog.png|Firewall Builder - File - New Object File - Dialog}}
-Nach erfolgreicher Anlage einer neuen Datei, in dem alle Firewalls, welche durch den [[http://www.fwbuilder.org|Firewall Builder]] verwaltet bzw. ausgeliefert werden, gespeichert werden können, sollte nachfolgendes Fenster erscheinen:
+Nach erfolgreicher Anlage einer neuen Datei, in dem alle Firewalls, welche durch den [[http://fwbuilder.sourceforge.net/|Firewall Builder]] verwaltet bzw. ausgeliefert werden, gespeichert werden können, sollte nachfolgendes Fenster erscheinen:
 {{:tachtler:fwbuilder:fwbuilder7-create_new_firewall.png|Firewall Builder - Create new firewall}}
@@ Zeile 986: / Zeile 1001: @@
 === Host OS Settings ===
-Nachdem nun im [[http://www.fwbuilder.org|Firewall Builder]] eine erste Firewall angelegt wurde, kann diese noch in Ihrem Verhalten Konfiguriert werden.
+Nachdem nun im [[http://fwbuilder.sourceforge.net/|Firewall Builder]] eine erste Firewall angelegt wurde, kann diese noch in Ihrem Verhalten Konfiguriert werden.
 Aufruf über die Schaltfläche **[Host OS Settings ...]** durch anklicken mit der **[linken]**-Maustaste, sollte nachfolgendes Dialog-Fenster erscheinen:
@@ Zeile 1032: / Zeile 1047: @@
 === Firewall Settings ===
-Nachdem nun im [[http://www.fwbuilder.org|Firewall Builder]] eine erste Firewall angelegt wurde und die Betriebssystem-Einstellungen ggf. ebenfalls angepasst wurden, kann diese noch in Ihrem direkten Verhalten Konfiguriert werden.
+Nachdem nun im [[http://fwbuilder.sourceforge.net/|Firewall Builder]] eine erste Firewall angelegt wurde und die Betriebssystem-Einstellungen ggf. ebenfalls angepasst wurden, kann diese noch in Ihrem direkten Verhalten Konfiguriert werden.
 Aufruf über die Schaltfläche **[Firewall Settings ...]** durch anklicken mit der **[linken]**-Maustaste, sollte nachfolgendes Dialog-Fenster erscheinen:
@@ Zeile 1052: / Zeile 1067: @@
 Im **Reiter**
-  * **Installer**
+  * **Installer - Variante SCP/SSH**
-{{:tachtler:fwbuilder:fwbuilder7-firewall-firewall_settings-installer.png|Firwall Builder - Firewall Settings - Installer}}
+{{:tachtler:fwbuilder:fwbuilder7-firewall-firewall_settings-installer.png|Firwall Builder - Firewall Settings - Installer - SCP/SSH}}
 sollten nachfolgende Änderungen nun durchgeführt werden:
@@ Zeile 1064: / Zeile 1079: @@
 | Additional command line parameters for ssh                               |               | -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin  |
 | Additional command line parameters for scp                               |               | -P 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin  |
+  * **Installer - Variante SCRIPT**
+{{:tachtler:fwbuilder:fwbuilder7-firewall-firewall_settings-installer_script.png|Firwall Builder - Firewall Settings - Installer - SCRIPT}}
+sollten nachfolgende Änderungen nun durchgeführt werden:
+^ Feldname                    ^ Standardwert  ^ Neuer Wert                             ^
+| Policy install script (...) |               | /home/fwadmin/fw/myFirewall_wrapper.sh |
 Im **Reiter**
@@ Zeile 1133: / Zeile 1157: @@
 :!: **HINWEIS** - Die Zeile ''Defaults:fwadmin !requiretty'' bedeutet, das der Bernutzer ''fwadmin'' keine ''tty'' zur Ausführung des ''shell''-Skriptes benötigt !
+==== /home/fwadmin/fw/myFirewall_wrapper.sh ====
+Nachfolgende **__zwei__** Beipiele zeigen jeweils einen Wrapper für
+  - die **lokale** ''iptables''-Firewall
+  - eine **__nicht__ direkt via ''ssh'' erreichbare** ''iptables''-Firewall
+Nachfolegnd ein Beispiel für einen *Wrapper* für eine **lokale** ''iptables''-Firewall:
+<code ini>
+#!/bin/sh
+/home/fwadmin/fw/myFirewall_wrapper.sh
+</code>
+Nachfolegnd ein Beispiel für einen *Wrapper* für eine **__nicht__ direkt via ''ssh'' erreichbare** ''iptables''-Firewall:
+<code ini>
+#!/bin/sh
+scp -P 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin -o ProxyCommand="ssh -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin fwadmin@192.168.0.50 nc 192.168.1.10 22" /home/fwadmin/fw/myFirewall_wrapper.sh fwadmin@192.168.1.10:/home/fwadmin/fw
+ssh -t -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin -o ProxyCommand="ssh -t -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin fwadmin@192.168.0.50 nc 192.168.1.10 22" fwadmin@192.168.1.10 sudo -u root /home/fwadmin/fw/myFirewall_wrapper.sh
+</code>
+* //Der ''scp''-Befehl kopiert das auszuführende Skript auf den Ziel-Server!// \\
+* //Der ''ssh''-Befehl führt das zuvor kopierte Skript auf den Ziel-Server aus!//