Firewall Builder é uma configuração e gerenciamento de firewall sistema multi-plataforma. Ele consiste de uma GUI e um conjunto de compiladores de políticas para várias plataformas de firewall.
Firewall Builder ajuda os usuários a manter um banco de dados de objetos e permite a edição de políticas usando operações de arrastar-e-soltar simples.
A GUI e política compiladores são completamente independentes, prevê-se um modelo abstrato consistente e ao mesmo GUI para diferentes plataformas de firewall. Ele suporta atualmente iptables, ipfilter, ipfw, OpenBSD PF e Cisco PIX.
O que é novo nesta versão:
- Atualizações de GUI:
- movido "lote instalar o" botão da principal assistente de instalação para a caixa de diálogo onde o usuário entra em sua senha. Agora o usuário pode começar em um não-lote modo de instalação, mas continuam em lote modo de instalação em qualquer momento, se todos os seus firewalls autenticar com o mesmo nome de usuário e senha.
- ver # 2628 acidente fixo que aconteceu se o usuário criar um novo objeto de firewall de um modelo e mudou um dos endereços IP, enquanto outro objeto firewall criado a partir do mesmo modelo já existia na árvore.
- ver # 2635 Tipo de objeto AttachedNetworks não é permitido na "interface" elemento de regra.
- A lista drop-down de interfaces para a opção de regra "route-through" para PF e iptables deve incluir não apenas interfaces de fragmentação, mas também as interfaces de todos os membros. Desta forma, podemos fazer compilador gerar configuração "passar rápido na em0 route-to {(em0 10.1.1.2)} ..." para uma regra de um cluster PF. Here "em0" é uma interface de um membro, e não o cluster.
- corrige # 2642 "falhas GUI se o usuário cancela diálogo newFirewall".
- corrige # 2641 "diálogo newFirewall não aceita endereços IPv6 com prefixos longos". O diálogo não permitia que os endereços IPv6 de inetrfaces com máscara de rede & gt; 64 bit.
- corrige # 2643 "falhas GUI quando o usuário corta uma regra, então clique com o botão direito do mouse em qualquer elemento de regra de outro"
- verificação adicionada para se certificar de usuário não digite a máscara de rede com zeros no meio para o objeto de rede IPv4. Máscaras de rede como essa não são suportados pelo fwbuilder.
- corrige # 2648 "do botão direito do mouse no objeto de firewall em" objetos excluídos "biblioteca causa acidente GUI"
- corrige bug SF 3388055 Adicionando um "Nome DNS" com um espaço sobrando causa a falha.
- corrige bug SF 3302121 "cosméticas mis-em formato de diálogo caminhos fwb Linux"
- corrige bug SF 3247094 "Nomenclatura de diálogo de edição de endereço IP de". Diálogo ipv6 Rede diz "comprimento Prefixo".
- ver # 2654 acidente correções GUI que ocorreu se o usuário copiado uma regra a partir de arquivos A arquivar B, em seguida, arquivo fechado B, abriu arquivo C e tentou copiar a mesma regra de A a C '
- ver # 2655 nomes de interface não são autorizados a ter hífen "-" mesmo com a verificação de interface off. Devemos permitir que "-" em nome de interface para Cisco IOS
- ver # 2657 a descoberta de rede SNMP danificada se a opção "Confine digitalize para a rede" foi usado.
- corrige # 2658 "descoberta de rede SNMP cria duplicado endereço de rede e objetos"
- permitir fwbuilder para aproveitar GSSAPIAuthentication com openssh usando sugestão por Matthias Witte witte@netzquadrat.de
- reparado um bug (sem número): se o usuário nome do arquivo inserido no campo "nome do arquivo de saída" em "Configurações avançadas" diálogo de um objeto de firewall terminou com um espaço em branco, instalador política fracassada com um erro "No such arquivo ou diretório "
- bug SF fixo # 3433587 "Edição manual do novo serviço Destino valor Porto END falhar". Este erro tornou impossível para editar o valor do fim do intervalo de porta, porque, logo que o valor foi menor do que o valor do início do intervalo, a GUI seria repô-la para ser igual ao valor do início do intervalo . Isso afetou tanto TCP e UDP objeto de serviço de diálogos.
- correções # 2665 "Adicionar texto a comentar causas regra para ir de 2 linhas para 1 linha". Sob certas circunstâncias, a regra de edição comentário causou a GUI a entrar em colapso linha correspondente na visão do conjunto de regras para que apenas o primeiro objeto de cada elemento de regra que continha vários objetos era visível.
- corrige # 2669 "Cant inspecionar custom objeto Serviço de Padrão objetos de biblioteca".
- As mudanças na política de importador para todas as plataformas suportadas
- As mudanças que afetam a importação de configurações PIX:
- mudou o nome simbólico de "ESP" para "ESP_WORD" para evitar conflitos com macro "ESP", que aconteceu durante a compilação em OpenSolaris
- ver # 2662 "Bater quando compilar regra ASA com faixa de IP". Precisa dividir intervalo de endereço, se for utilizado em "fonte" de uma regra que controla telnet, ssh ou http para o próprio firewall e versão do firewall é & gt; = 8,3. Comandos "ssh", "telnet" e "http" (aqueles que controlam o acesso dos protocolos correspondentes ao próprio firewall) aceitar apenas o endereço IP de um host ou uma rede como seu argumento. Eles não aceitam intervalo de endereços, objeto nomeado ou objeto de grupo. Isto é assim, pelo menos a partir de ASA 8.3. Desde que expandimos intervalos de endereços somente para as versões & lt; 8,3 e uso nomeado objeto para 8,3 e depois, nós precisamos fazer esta verificação adicional e ainda expandir intervalos de endereços em regras que irão mais tarde converter em "ssh", "telnet" ou comando "http". Compiler ainda gera declaração objeto grupo redundante com blocos CIDR gerados a partir da faixa de endereços, mas não usar esse grupo na regra. Isso não quebra gerado configuração, mas o grupo objeto é redundante, uma vez que nunca é usado. Isso será corrigido em versões futuras.
- corrige # 2668 Remover "rotas estáticas" a partir do texto de explicação no diálogo de importação / PIX ASA. Não podemos importar configuração de roteamento PIX / ASA neste momento.
- corrige # 2677 Política de importador para PIX / ASA não conseguiu analisar comando "nat (interior) 1 0 0"
- corrige # 2679 Política de importador para PIX / ASA não poderia importar regra "nat isenção" (por exemplo: "nat (para dentro) 0 access-list de isenção")
- corrige # 2678 Política de importador para PIX / ASA não conseguiu analisar comando nat com o parâmetro "fora"
- As alterações e melhorias no libfwbuilder biblioteca API:
- função InetAddr :: isValidV4Netmask () verifica se a máscara de rede representados pelo objeto consiste de uma seqüência de bits "1", seguido pela seqüência de "0" bits e, portanto, não tem zeros no meio.
- bug corrigido # 2670. Per rede RFC3021 com máscara de rede / 31 não tem rede e endereços de transmissão diretos. Quando a interface do firewall está configurado com compiladores máscara de rede / 31, a política não deve tratar o segundo endereço desta "sub-rede", como uma transmissão.
- Mudanças no apoio para iptables:
- ver # 2639 "apoio para subinterfaces vlan de interfaces bridge (eg br0.5)". Atualmente fwbuilder não pode gerar script para configurar subinterfaces vlan de interfaces bridge, no entanto se o usuário não solicitou este script de configuração a ser gerada, compilador não deve abortar quando encontra esta combinação.
- corrige # 2650 "regras com intervalo de endereços que inclui endereço firewall em Src são colocados na chain OUTPUT embora endereços que não combinam com o firewall deve ir para a frente"
- corrige SF bug # 3414382 "segfault em fwb_ipt lidar com grupos vazios". Compiler para iptables usado para falhar quando um grupo vazio foi utilizado na coluna "Interface" de uma regra de política.
- ver SF bug # 3416900 "Substituir` `command` com which`". Script gerado (Linux / iptables) costumava usar "-v comando" para verificar se as ferramentas de linha de comando que necessita estão presentes no sistema. Este foi utilizado para encontrar iptables, lsmod, modprobe, ifconfig, vconfig, logger e outros. Algumas distribuições Linux embarcado, nomeadamente TomatoUSB, vem sem o apoio de "comando". Mudar para "que" que é mais ubuquitous e deve estar disponível praticamente em todos os lugares.
- # fixo 2663 "Regra com" old-transmissão "objeto resulta em iptables inválidos chain INPUT". Compiler estava escolhendo ENTRADA cadeia com direção de "saída" para as regras que tinham endereço de broadcast de idade em "Source", essa liderança para inválido configuração iptables com chain INPUT e "-o eth0" cláusula de jogo interface.
- bug corrigido no processador regra que substitui addressrange objeto que representa o endereço único com um objeto IPv4. Também eliminado redundância de código.
- corrige # 2664 mensagem de erro Update quando ", que" o comando falhar. Script de iptables gerado usa ", que" para verificar se todos os serviços públicos que utiliza existir na máquina. Também deve verificar se ", que" em si existe e emitir mensagem de erro significativo se não.
- SF bug # 3439613. módulo physdev não permite --physdev-out para o tráfego não-ponte anymore. Devemos acrescentar --physdev-se-ponte para garantir que este corresponde apenas em ponte pacotes. Também adicionando "-i" / "-o" cláusula para coincidir com interface de ponte pai. Isto permite-nos corresponder corretamente qual a ponte que o pacote vem através de configurações que usam interfaces de porta ponte curinga. Por exemplo, quando br0 e br1 ter "VNET +" interface de porta ponte, iptables ainda pode combinar corretamente qual a ponte que o pacote passou por usando "-o br0" ou "-o br1" cláusula. Isso pode ser útil em instalações com muitas interfaces em ponte que ficam criados e destruídos de forma dinâmica, por exemplo, com máquinas virtuais. Note que o "br0 -i" / "-o br0" cláusula só é adicionado quando há mais de uma ponte interface e nome da porta ponte termina com um símbolo wild card "+"
- fixo SF bug # 3443609 Return of ID: 3059893 ": iptables opção" "obsoleta" --set. Necessidade de usar se a versão iptables é & gt --match-set em vez de --set; = 1.4.4. A correção feita para # 3059893 foi apenas no compilador política, mas precisa ser feito tanto em política e compiladores nat.
- Mudanças no apoio à PF (FreeBSD, OpenBSD):
- ver # 2636 "carpa: Saída incorreta em formato rc.conf.local". Devem usar create_args_carp0 em vez de ifconfig_carp0 configurar interface do CARP vhid, passar e parâmetros adskew.
- ver # 2638 "Quando a senha CARP está vazio o valor advskew não é lido". Deve pular "passar" parâmetro do comando ifconfig que cria interface carp se o usuário não constituiu qualquer senha.
- fixo SF bug # 3429377 "PF: regras IPv6 não são adicionados em conjunto de regras IPv4 / IPv6 (âncora)". Compiler para PF não inlcude regras geradas para IPv6 em arquivos de configuração âncora PF gerados.
- fixo bug SF 3428992: "PF: governa problema ordem com IPv4 e IPv6". Compiler para PF deve regras IPv4 e IPv6 grupo NAT em conjunto, antes de gerar regras IPv4 e IPv6 política.
- Várias correções nos algoritmos usados para processar regras quando a opção "preservar grupo e endereços de nomes de objetos de mesa" está em vigor
- corrige # 2674 NAT compilador para PF caiu quando AttachedNetworks objeto foi utilizado na Fonte Traduzido de uma regra NAT.
- Mudanças no suporte para Cisco IOS ACL:
- corrige # 2660 "do compilador para IOSACL caiu quando a série de endereço aparece em uma regra e opção opor-grupo é ligado"
- fixo bug SF 3435004:. "Linhas vazias no resultado comentário em" Command Incomplete "no IOS"
- Mudanças no apoio para ipfw:
- fixo SF bug # 3426843 "ipfw não funciona para a auto-referência, na versão 5.0.0.3568".
- Mudanças no suporte para Cisco ASA (PIX, FWSM):
- ver # 2656 "lista de acesso Cisco ASA gerado tem entrada duplicada". Sob certas circunstâncias compilador política fwb_pix gerado duplicar linhas de lista de acesso.
- Outras alterações:
- ver # 2646 e SF bug 3395658: poucos IPv4 e IPv6 Adicionado objetos de rede para o padrão objetos biblioteca: TEST-NET-2, TEST-NET-3 (RFC 5735, RFC 5737), traduzido-ipv4, mapeou-ipv4 , Teredo, outros exclusivos-locais e poucos.
O que é novo na versão 5.0.0:
- Esta versão inclui várias melhorias de interface gráfica e suporte melhorado para grandes configurações com novos recursos como subpastas definidas pelo utilizador, palavras-chave para objetos de marcação, grupos dinâmicos com filtros inteligentes, e muito mais.
- Outros novos recursos incluem suporte para importação de arquivos de configuração PF e um novo tipo de objeto chamado redes conectadas, o que representa a lista de redes conectadas a uma interface de rede.
O que é novo na versão 4.2.1:
- v4.2.1 é um menor liberação de correção de bugs, ele corrige problemas no built-in de diretiva de modo instalador lote, assistente SNMP descoberta de rede e alguns outros bugs no GUI.
O que é novo na versão 4.2.0:
- Esta versão melhora significativamente a importação de configurações de firewall existentes, introduz suport para a importação de Cisco ASA / PIX / configuration FWSM e de-duplicação de objetos importados para todas as plataformas. Esta versão também adiciona suporte para configuração de interfaces de pontes e de VLAN e rotas estáticas no FreeBSD e faz com que seja possível gerar configuração no formato de arquivos rc.conf. Fwbuilder agora suporta versões mais recentes do software Cisco ASA incluindo nova sintaxe de comando para os comandos NAT no ASA 8.3.
O que é novo na versão 4.1.3:
- Esta versão inclui uma série de melhorias de usabilidade e correções de bugs. Melhorias na usabilidade incluem a adição de um modo de usuário avançado, que reduz o número de dicas de ferramentas para usuários avançados e a adição de uma nova caixa de seleção regra de política para definir se as novas regras têm o log habilitado ou desabilitado por padrão. Correções de bugs críticos incluem suporte para sistemas Windows que usam sessões de massa de vidraceiro, suporte para configurar endereços IP de transmissão em interfaces e várias correções relativas a configurações de cluster melhorada. Correções de configuração Cluster incluem a adição de suporte para importar regras de ramificação quando um cluster é criado e apoio para a geração de regras NAT que exigem iptables REDIRECT alvo.
O que é novo na versão 4.1.2:
- Ativar dicas de ferramentas por padrão e adicionar dicas de ferramentas adicionais
- Simplifique a configuração de interface em novos assistentes de objetos para New Firewall e Novo Host
- automaticamente aberto firewall objecto de política quando novos objetos de firewall são criados
- As ajudas à navegação adicionais e ajuda cordas
- questão instalador fixo para usuários de Windows que usam sessões Putty
- Fix questão (SF 307732) onde interfaces de curinga não foram pareados em regra PREROUTING
- fixa emitidos (SF 3049665) onde Firewall Builder não gerar extensões de nome de arquivo de dados adequados
O que é novo na versão 4.1.1:
- v4.1.1 inclui correções para uma série de pequenos bugs e é o primeiro lançamento de apoiar oficialmente configuração HP ProCurve ACL. Graças a uma generosa doação de vários interruptores de HP, fomos capazes de testar e finalizar o apoio ProCurve. Esta versão também corrige um bug crítico no v4.1.0 relacionado a configurações Cisco IOS ACL. Algumas configurações causaria Firewall Builder para gerar incorretamente e erro com a mensagem "Não é possível encontrar interface com a zona de rede que inclui o endereço ABCD".
O que é novo na versão 4.0.0:
- Depois de vários meses de testes beta, esta é a liberação pronto produção estável.
O que é novo na versão 3.0.6:
- Esta é uma versão de correção de bugs, ele vem com melhorias no GUI para corrigir problemas com a impressão de grandes conjuntos de regras e otimização adicional nas iptables gerados e configurações PF.
Comentários não encontrado