Firewall Builder

Brandvägg Builder är en konfiguration och hantering brandvägg multiplattform. Den består av ett GUI och ställa politiska kompilatorer för olika brandväggs plattformar.
Brandvägg Builder hjälper användare att upprätthålla en databas med objekt och låter politiken redigering med enkla dra-och-släpp-åtgärder.
De GUI och politiska kompilatorer är helt oberoende, detta ger en konsekvent abstrakt modell och samma GUI för olika brandväggs plattformar. Det stöder för närvarande iptables, ipfilter, ipfw, OpenBSD pf och Cisco PIX.

Vad är nytt i den här versionen:

• GUI Uppdateringar:
• flyttade "batch installera" -knappen från huvudinstaller guiden till dialog där användaren anger sitt lösenord. Nu kan användaren börja i en icke-batch installationsläge men fortsätter i batch installationsläget när som helst om alla sina brandväggar autentiseras med samma användarnamn och lösenord.
• se # 2628 fast krasch som hänt om användaren skapar nya brandväggs objekt från en mall och bytte en av IP-adresser, medan en annan brandvägg objekt som skapats från samma mall som redan fanns i trädet.
• Se # 2635 Objekttyp AttachedNetworks är inte tillåtet i "gränssnittet" regeln element.
• list av gränssnitt för "route-through" regeln alternativ för PF och iptables bör omfatta inte bara kluster gränssnitt, men även gränssnitt för alla medlemmar. På så sätt kan vi göra kompilatorn genererar konfiguration "passera i snabb på EM0 väg till {(EM0 10.1.1.2)} ..." för en bestämmelse i en PF-kluster. Här "EM0" är ett gränssnitt av en medlem, inte klustret.
• fixar # 2642 "GUI kraschar om användaren avbryter dialogen newFirewall".
• fixar "dialogrutan newFirewall accepterar inte IPv6-adresser med långa prefix" # 2641. Dialogrutan tillät inte IPv6-adresser till inetrfaces med nätmask & gt; 64 bit.
• fixar # 2643 "GUI kraschar när användaren klipper regel höger musklick i någon regel inslag av annan"
• lagt check för att se användaren inte kommer in nätmasken med nollor i mitten för IPv4 nätverksobjekt. Nätmaskar gillar som inte stöds av fwbuilder.
• fixar # 2648 "högerklicka på brandväggs objekt i" Borttagna objekt "biblioteket orsakar GUI krasch"
• fixar SF bugg 3388055 Lägga en "DNS Name" med ett avslutande utrymme orsakar misslyckande.
• fixar SF bugg 3302121 "kosmetiska mis-format stigar dialogrutan FWB Linux"
• fixar SF bugg 3247094 "Nomenklatur för redigeringsdialog IP-adress". Dialogrutan Nätverks ipv6 säger "Prefix längd".
• se # 2654 fixar GUI krasch som inträffade om användaren kopierat en regel från fil A till filen B, sedan stängd fil B, öppnade filen C och försökte kopiera samma regel från A till C '
• se # 2655 Gränssnittsnamn är inte tillåtet att ha bindestreck "-" även med gränssnitt verifiering av. Vi bör tillåta "-" i gränssnittsnamn för Cisco IOS
• se # 2657 snmp nätverksidentifiering kraschade om alternativet "Confine skanning till nätverk" användes.
• fixar # 2658 "snmp nätverksidentifiering skapar dubbletter adress och nätverksobjekt"
• möjliggör fwbuilder att dra nytta av GSSAPIAuthentication med openssh använder förslag av Matthias Witte witte@netzquadrat.de
• fixat en bugg (inget nummer): om filnamnet användaren skrev i "Output file name" i "avancerade inställningar" dialog av en brandvägg objekt slutade med en vit utrymme, policy installatör misslyckades med ett fel "Ingen sådan fil eller katalog "
• fast SF bugg # 3433587 "Manuell redigering av nya tjänsten Destination Port END värdet misslyckas". Denna bugg gjorde det omöjligt att redigera värdet i slutet av portintervall eftersom så fort det värde blev mindre än värdet på början sortimentet, skulle GUI återställa den vara lika med värdet på början av intervallet . Detta påverkade både TCP och UDP tjänsten objekt dialoger.
• fixar # 2665 "Lägga till text att kommentera orsakerna regeln att gå från 2 v till 1 rad". Under vissa omständigheter, redigering regel kommentar orsakade GUI att kollapsa motsvarande rad i regeluppsättning vyn så att endast det första objektet i varje regel element som innehöll flera föremål var synlig.
• fixar # 2669 "Cant inspektera anpassade serviceobjekt i standardobjekt biblioteket".
• Ändringar i politiken importör för alla plattformar som stöds
• Ändringar som påverkar importen av PIX konfigurationer:
• bytte token namn från "ESP" till "ESP_WORD" för att undvika konflikt med macro "ESP" som hände under uppbyggnad på Opensolaris
• se # 2662 "Crash vid sammanställningen ASA regeln med IP-intervall". Behöver dela adressintervall om den används i "källa" av en regel som styr telnet, ssh eller http till brandväggen själv och brandvägg version är & gt; = 8,3. Kommandon "ssh", "telnet" och "http" (de som styr tillgången på motsvarande protokollen till brandväggen själv) accepterar endast ip-adressen för en värd eller ett nätverk som deras argument. De accepterar inte adressintervall, som heter objekt eller objektgrupp. Detta är så åtminstone från och med ASA 8.3. Eftersom vi expanderar adressintervall endast för versioner & lt; 8.3 och användning som heter objekt för 8,3 och senare, vi måste göra denna extra kontroll och fortfarande expandera adressintervall i regler som senare kommer att konvertera till "ssh", "telnet" eller "http" kommandot. Compiler fortfarande genererar redundanta objektgrupp uttalande med CIDR block genereras från adressområdet men använder inte den här gruppen i regeln. Detta bryter inte genererat konfiguration men objektgruppen är överflödig, eftersom den används aldrig. Detta kommer att rättas till i framtida versioner.
• fixar # 2668 Ta bort "statiska vägar" från förklaringen text i / PIX dialogimport ASA. Vi kan inte importera PIX / ASA routing konfiguration för närvarande.
• fixar # 2677 Policy importör för PIX / ASA kunde inte tolka kommandot "nat (inne) 1 0 0"
• fixar # 2679 Policy importör för PIX / ASA kunde inte importera "nat undantag" -regeln (till exempel: "nat (inne) 0 access-listan befriade")
• fixar # 2678 Policy importör för PIX / ASA kunde inte tolka nat kommando med parametern "utanför"
• Förändringar och förbättringar i API-bibliotek libfwbuilder:
• funktion InetAddr :: isValidV4Netmask () kontrollerar att nätmasken representeras av objektet består av en sekvens av "1" bitar, följt av en sekvens av "0" bitar och därför inte har nollor i mitten.
• fast bugg # 2670. Per RFC3021 nätverk med nätmask / 31 har inget nätverk och direktsändningar adresser. När gränssnittet för brandväggen är konfigurerad med nätmask / 31, politiska kompilatorer bör inte behandla den andra adressen för denna "subnät" som en sändning.
• Ändringar i stöd för iptables:
• se # 2639 "stöd för VLAN subinterfaces av brygggränssnitt (t.ex. br0.5)". För tillfället fwbuilder inte kan generera skript för att konfigurera VLAN subinterfaces av bro gränssnitt, men om användaren inte har begärt denna konfiguration skript att genereras bör kompilatorn inte avbryta när den stöter denna kombination.
• fixar # 2650 "regler med adressintervall som inkluderar brandvägg adress i Src placeras i OUTPUT kedjan trots adresser som inte matchar brandväggen ska gå i FRAMÅT"
• fixar SF bugg # 3414382 "segfault i fwb_ipt hantera tomma grupper". Kompilator för iptables används att krascha när en tom grupp användes i "Interface" kolumn i en handlingsregel.
• Se SF bugg # 3416900 "Ersätt` command` med `which`". Genererade skriptet (Linux / iptables) brukade använda "kommandot -v" för att kontrollera om kommandoradsverktyg den behöver finns på systemet. Detta användes för att hitta iptables, lsmod, modprobe, ifconfig, vconfig, logger och andra. Några inbäddade Linux-distributioner, särskilt TomatoUSB, kom utan stöd för "kommandot". Växla till "vilket" som är mer ubuquitous och bör vara tillgängliga ganska mycket överallt.
• fast # 2663 "Rule med" gamla rund "objekt leder ogiltiga iptables INPUT kedja". Compiler var att välja kedja INPUT med riktning "outbound" för regler som hade gamla broadcast-adressen i "Source", detta leder till ogiltiga iptables-konfiguration med kedja INPUT och "-o eth0" interface match klausul.
• fast bugg i regeln processor som ersätter AddressRange objekt som representerar enda adress med en IPv4-objekt. Elimineras kod redundans.
• fixar # 2664 Uppdatera felmeddelande när "som" kommandot misslyckas. Generated iptables script använder "som" för att kontrollera om alla verktyg den använder existerar på maskinen. Vi bör också kontrollera om "som" i sig existerar och utfärda menings felmeddelande om inte.
• SF bugg # 3.439.613. physdev Modulen tillåter inte --physdev ut för icke-överbryggade trafik längre. Vi bör tillägga --physdev-är-överbryggas för att se till att detta stämmer endast överbryggas paket. Också lägga till "-i" / "-o" klausul för att matcha förälder bridge gränssnitt. Detta tillåter oss att korrekt matcha vilken bro paketet kommer genom i konfigurationer med joker bro gränssnitt hamn. Till exempel när br0 och BR1 har "VNET +" bro hamn, kan iptables fortfarande matcha rätt som bro paketet gick igenom med hjälp av "-o br0" eller "-o BR1" klausul. Detta kan vara användbart i installationer med många bryggade gränssnitt som får skapas och förstörs dynamiskt, t.ex. med virtuella maskiner. Observera att "-i br0" / "-o br0" klausulen endast läggs till när det finns mer än en bro gränssnitt och bryggportnamnet slutar med ett wild card symbolen "+"
• fast SF bugg # 3443609 Retur av ID: 3059893 ": iptables" --set "alternativet föråldrat". Behöver använda --match-set istället för --set om iptables versionen är & gt; = 1.4.4. Den fix gjort för # 3059893 var bara i politiken kompilatorn men behöver göras i både politiken och nat kompilatorer.
• Ändringar i stöd för PF (FreeBSD, OpenBSD):
• se # 2636 "karp: Felaktig produktionen i rc.conf.local format". Bör använda create_args_carp0 istället för ifconfig_carp0 att inrätta CARP gränssnitt vhid, passera och adskew parametrar.
• se # 2638 "När CARP lösenordet är tomt det advskew värdet inte läsa". Ska hoppa "pass" parameter i ifconfig kommandot som skapar karp gränssnitt om användaren inte inrättat något lösenord.
• fast SF bugg # 3429377 "PF: ​​IPv6 regler inte lagt in IPv4 / IPv6 regeluppsättning (ankare)". Kompilator för PF inte det omfattar regler som genereras för IPv6 i genererade PF ankare konfigurationsfiler.
• fast SF bugg 3428992: "PF: ​​regler för problem med IPv4 och IPv6". Kompilator för PF bör grupp IPv4 och IPv6 NAT regler tillsammans, innan den genererar IPv4 och IPv6 policyregler.
• Flera fixar i de algoritmer som används för att behandla regler när alternativet "bevara grupp och adresser tabellobjektnamn" är i själva verket
• fixar # 2674 NAT kompilator för PF kraschade när AttachedNetworks objektet användes Översatt Källa av en NAT regel.
• Ändringar i stöd för Cisco IOS ACL:
• fixar # 2660 "kompilator för IOSACL kraschade när adressintervall visas i en regel och objektgrupp alternativet är PÅ"
• fast SF bugg 3435004:. "Tomma linjer i kommentaren resultat i" Ofullständig Command "i IOS"
• Ändringar i stöd för ipfw:
• fast SF bugg # 3426843 "ipfw fungerar inte för självreferens i 5.0.0.3568 version".
• Ändringar i stöd för Cisco ASA (PIX, FWSM):
• se # 2656 "Generated Cisco ASA tillgång-lista har duplicera posten". Under vissa omständigheter politik kompilator fwb_pix genererade duplicera åtkomst-listlinjer.
• Andra förändringar:
• se # 2646 och SF bugg 3.395.658: Inkom några IPv4 och IPv6 nätverksobjekt till standarden objekt biblioteket: TEST-NET-2, TEST-NET-3 (RFC 5735, RFC 5737), översatt-ipv4, mappas-ipv4 , Teredo, unika-lokala och några andra.

Vad är nytt i version 5.0.0:

• Denna version innehåller flera GUI förbättringar och förbättrat stöd för stora konfigurationer med nya funktioner som användardefinierade undermappar, sökord för taggning objekt, dynamiska grupper med smarta filter och mycket mer.
• Andra nya funktioner inkluderar stöd för import PF konfigurationsfiler och ett nytt objekt typ kallas Bifogade Networks, som representerar en lista över nätverk som är anslutna till ett nätverksgränssnitt.

Vad är nytt i version 4.2.1:

• v4.2.1 är en mindre bug-fix release, korrigerar det problem i den inbyggda politiken installer satsvis, SNMP nätverksidentifiering guiden och några andra buggar i GUI.

Vad är nytt i version 4.2.0:

• Den här versionen förbättrar import av befintliga brandväggskonfigurationer, introducerar suport för import av Cisco ASA / PIX / FWSM konfiguration och de-duplicering av importerade objekt för alla plattformar. Den här utgåvan innehåller även stöd för konfigurering av bro- och VLAN gränssnitt och statiska vägar på FreeBSD och gör det möjligt att generera konfigurationen i formatet rc.conf filer. Fwbuilder stöder nu senaste versionerna av Cisco ASA programvara inklusive nya kommandosyntax för nat kommandon i ASA 8.3.

Vad är nytt i version 4.1.3:

• Den här versionen innehåller ett antal användbarhetsförbättringar och buggfixar. Förbättrad användarvänlighet inkluderar tillägg av en avancerad användarläge som minskar antalet verktygstips för avancerade användare och tillägg av en ny handlingsregel kryssrutan för att definiera om nya regler har loggning aktiverad eller inaktiverad som standard. Kritiska buggfixar innehåller förbättrat stöd för Windows-system som använder Putty sessioner, stöd för konfigurering IP broadcast-adresser på gränssnitt och flera korrigeringar rörande klusterkonfigurationer. Klusterkonfiguration fixar inkluderar att lägga till stöd för att importera förgrenings regler när ett kluster skapas och stöd för att generera NAT regler som kräver iptables REDIRECT mål.

Vad är nytt i version 4.1.2:

• Aktivera verktygstips som standard och lägga till ytterligare verktygstips
• Förenkla konfigurationsgränssnitt i nya objekt guider för New brandvägg och ny värd
• Automatiskt öppna brandväggsprincipobjekt när nya brandväggs objekt skapas
• Ytterligare navigationshjälpmedel och hjälp strängar
• Fast installatör fråga för Windows-användare som använder Putty sessioner
• Fix fråga (SF 307.732) där joker gränssnitt inte matchades i PREROUTING regel
• Fast utfärdats (SF 3.049.665) där Brandvägg Builder inte genererat riktiga uppgifter filnamnstillägg

Vad är nytt i version 4.1.1:

• v4.1.1 innehåller korrigeringar för ett antal mindre buggar och är den första utgåvan som officiellt stöder HP ProCurve ACL konfiguration. Tack vare en generös donation av flera växlar från HP kunde vi testa och slutföra ProCurve stöd. Denna utgåva rättar också en kritisk bugg i V4.1.0 relaterad till Cisco IOS ACL-konfigurationer. Vissa konfigurationer skulle orsaka Firewall Builder felaktigt generera och fel med meddelandet "Kan inte hitta gränssnitt med nätverks zon som innehåller adress ABCD".

Vad är nytt i version 4.0.0:

• Efter flera månads beta-testning, är denna stabila produktionsfärdigt utgåvan.

Vad är nytt i version 3.0.6:

• Det här är en bugg-fix release, det kommer med förbättringar i gränssnittet för att åtgärda problem med utskrifter av stora regeluppsättningar och ytterligare optimering i den genererade iptables och PF-konfigurationer.