Firewall Builder est un système de configuration du pare-feu et de la gestion multi-plate-forme. Il se compose d'une interface graphique et un ensemble de compilateurs de règles pour diverses plates-formes de pare-feu.
Firewall Builder permet aux utilisateurs de maintenir une base de données d'objets et permet de modifier la stratégie en utilisant les opérations de glisser-déposer simples.
L'interface graphique et politiques compilateurs sont complètement indépendants, cela fournit un modèle abstrait cohérente et la même interface graphique pour différentes plates-formes de pare-feu. Il supporte actuellement iptables, ipfilter, ipfw, OpenBSD pf et Cisco PIX.
Ce qui est nouveau dans cette version:
- Mises à jour l'interface graphique:
- déplacé "lot installer" bouton à partir de l'assistant principal de l'installateur pour la boîte de dialogue où l'utilisateur entre son mot de passe. Maintenant l'utilisateur peut commencer dans un non-batch mode d'installation mais continuent en batch mode d'installation à tout moment si tous leurs pare-feu se authentifient avec le même nom d'utilisateur et mot de passe.
- voir n ° 2628 Correction d'un crash qui se est produit si l'utilisateur crée un nouvel objet pare-feu à partir d'un modèle et changé l'une des adresses IP, tandis qu'un autre objet pare-feu créé à partir du même modèle existait déjà dans l'arbre.
- Voir # 2635 AttachedNetworks de type d'objet ne est pas autorisé dans l'élément de la règle "d'interface".
- La liste déroulante des interfaces pour l'option de règle "route-through» pour le PF et iptables devrait inclure non seulement les interfaces de munitions, mais également des interfaces de tous les membres. De cette façon, nous pouvons faire compilateur générer configuration "passer en rapide sur em0 route-to {(em0 10.1.1.2)} ..." pour une règle d'un cluster PF. Voici "em0" est une interface d'un membre, et non le cluster.
- Corrige # 2642 "accidents de GUI si l'utilisateur annule dialogue newFirewall".
- fixe # 2641 "dialogue newFirewall ne accepte pas les adresses IPv6 avec des préfixes longs". La boîte de dialogue ne permet pas les adresses IPv6 de inetrfaces avec masque & gt; 64 bits.
- Corrige # 2643 "accidents de GUI lorsque l'utilisateur coupe une règle, puis à droite-clic de souris dans ne importe quel élément de règle d'un autre"
- Ajout d'une vérification pour se assurer que l'utilisateur ne entre pas dans le masque de réseau avec des zéros au milieu de l'objet réseau IPv4. Netmasks comme ça ne sont pas pris en charge par fwbuilder.
- fixe # 2648 "clic droit sur l'objet pare-feu" objets supprimés "bibliothèque provoque accident GUI"
- fixe SF bug 3388055 Ajout d'un "Nom DNS" avec un espace de fuite provoque l'échec.
- fixe SF bug 3302121 "cosmétiques mal format dialogue chemins fwb Linux"
- fixe SF bug 3247094 «Nomenclature des dialogue d'édition de l'adresse IP". dialogue ipv6 réseau dit "La longueur du préfixe".
- voir n ° 2654 correctifs GUI accident qui se est produit si l'utilisateur copié une règle à partir du fichier A à déposer B, puis fichier fermé B, ouvert fichier C et a essayé de copier la même règle de A à C '
- voir # 2655 noms interface ne sont pas autorisés à avoir tiret "-" même avec la vérification d'interface hors tension. Nous devrions permettre "-" dans le nom de l'interface pour Cisco IOS
- voir n ° 2657 découverte du réseau snmp écrasé si l'option "Confine numérisation réseau" a été utilisé.
- fixe # 2658 «découverte de réseau SNMP crée adresse réseau double et objets"
- fwbuilder permettre de profiter de GSSAPIAuthentication avec OpenSSH utilisant suggestion de Matthias Witte witte@netzquadrat.de
- Correction d'un bug (pas de numéro): si l'utilisateur du nom de fichier entré dans "nom de fichier de sortie" terrain dans les "Paramètres avancés" de dialogue d'un objet pare-feu a pris fin avec un espace blanc, installateur de la politique a échoué avec une erreur "No such fichier ou répertoire "
- SF bug fixe # 3433587 "Manuel d'édition d'un nouveau service Destinations valeur Port FIN échoue". Ce bogue a rendu impossible de modifier la valeur de la fin de la plage de ports parce que dès que la valeur est devenue inférieure à la valeur du début de la gamme, l'interface graphique serait réinitialiser être égale à la valeur du début de la plage . Cette fois TCP et UDP dialogues d'objets de service. touchés
- correctifs # 2665 "Ajout de texte à commenter les causes dirigent pour aller de deux lignes à une ligne". Dans certaines circonstances, l'édition règle commentaire a causé la GUI effondrement ligne correspondante dans la vue de l'ensemble de règles de sorte que seul le premier objet de chaque élément de règle qui contenait plusieurs objets était visible.
- fixe # 2669 "Cant inspecter objet Service personnalisé dans objets standards bibliothèque".
- Les changements dans importateur de la politique pour toutes les plateformes supportées
- Les changements qui affectent l'importation de configurations de PIX:
- changé de nom symbolique de "ESP" à "ESP_WORD" pour éviter les conflits avec macro "ESP" qui se est passé lors de la construction sur OpenSolaris
- voir n ° 2662 "Crash lors de la compilation règle ASA avec la gamme IP". Besoin de diviser plage d'adresses se il est utilisé en "source" d'une règle qui contrôle telnet, ssh ou http au pare-feu lui-même et la version de pare-feu est & gt; = 8,3. Commandes "ssh", "telnet" et "http" (ceux qui contrôlent l'accès sur les protocoles correspondants au pare-feu lui-même) acceptent adresse ip seulement d'un hôte ou un réseau que leur argument. Ils ne acceptent pas la plage d'adresses, objet nommé ou un groupe d'objets. Ce est donc au moins aussi des ASA 8.3. Depuis nous élargissons plages d'adresses uniquement pour les versions & lt; 8.3 et l'utilisation du nom de l'objet pour 8,3 et plus tard, nous avons besoin de procéder à cette vérification supplémentaire et encore élargir les plages d'adresses dans les règles qui seront ensuite convertir en "ssh", "telnet" ou "http" commande. Compilateur génère encore énoncé objet groupe redondante avec des blocs CIDR générés par la plage d'adresses, mais ne utilise pas ce groupe dans la règle. Cela ne veut pas généré configuration break mais l'objet-groupe est redondant car il ne est jamais utilisé. Ce sera corrigée dans les versions futures.
- Corrige # 2668 Supprimer "routes statiques" de l'explication de texte dans le dialogue d'importation / PIX ASA. Nous ne pouvons pas importer configuration de routage PIX / ASA en ce moment.
- fixe # 2677 importateur de politique pour PIX / ASA n'a pas pu analyser commande "nat (à l'intérieur) 1 0 0"
- fixe # 2679 importateur de politique pour PIX / ASA ne pouvait pas importer "nat exemption" règle (par exemple: "nat (à l'intérieur) 0 access-list exonérés»)
- fixe # 2678 importateur de politique pour PIX / ASA n'a pas pu analyser commande nat avec le paramètre "en dehors"
- Les changements et des améliorations dans la bibliothèque API libfwbuilder:
- Fonction InetAddr :: isValidV4Netmask () vérifie que le masque de réseau représentés par l'objet se compose d'une séquence de bits "1", suivi par la séquence de bits "0" et n'a donc pas zéros au milieu.
- Correction d'un bug # 2670. Par réseau RFC3021 avec masque / 31 n'a pas de réseau et les adresses de diffusion directe. Lorsque l'interface du pare-feu est configuré avec les compilateurs masque / 31, la politique ne doit pas traiter la deuxième adresse de cette «sous-réseau», comme une émission.
- Modifications dans le support pour iptables:
- voir n ° 2639 "soutien aux sous-interfaces VLAN interfaces de pont (par exemple br0.5)". Actuellement fwbuilder ne peut pas générer le script pour configurer des sous-interfaces VLAN interfaces de pont, si l'utilisateur n'a pas demandé ce script de configuration à générer, compilateur ne doit pas abandonner quand il rencontre cette combinaison.
- fixe # 2650 «règles avec plage d'adresses qui comprend l'adresse de pare-feu dans Src sont placés dans la chaîne de sortie même si les adresses qui ne correspondent pas le pare-feu devrait aller vers l'avant"
- fixe SF bug # 3414382 "Segfault dans fwb_ipt traiter avec des groupes vides". Compiler pour iptables utilisé pour bloquer lorsque un groupe vide a été utilisé dans la colonne "Interface" d'une règle de politique.
- voir SF bug # 3416900 "Remplacez` `commande` avec which`". Script généré (Linux / iptables) l'habitude d'utiliser "-v" pour vérifier si les outils de ligne de commande dont il a besoin sont présents sur le système. Il a été utilisé pour trouver iptables, lsmod, modprobe, ifconfig, vconfig, enregistreur et d'autres. Certaines distributions Linux embarquées, notamment TomatoUSB, viennent sans le soutien de "commande". Le passage à "qui" ce est plus ubuquitous et devrait être disponible un peu partout.
- # fixe 2663 "la règle des« vieux-diffusion "Résultats de l'objet dans iptables invalides chaîne INPUT". Compiler choisissait INPUT chaîne avec la direction "sortant" des règles qui avaient ancienne adresse de diffusion en "Source", cela a conduit à la configuration invalide iptables avec la chaîne INPUT et "-o eth0" clause de correspondance de l'interface.
- Correction d'un bug dans le processeur de règle qui remplace AddressRange objet qui représente une seule adresse IPv4 avec un objet. Également éliminé la redondance de code.
- fixe # 2664 message d'erreur de mise à jour lorsque "qui" commande échoue. Script iptables généré utilise "qui" pour vérifier si tous les services publics qu'il utilise existent sur la machine. Nous devons également vérifier si "qui" se existe et délivrer un message d'erreur significatif sinon.
- SF bug # 3439613. module de physdev ne permet plus --physdev-out pour le trafic non-comblé. Nous devrions ajouter --physdev-est ponté se assurer que cela correspond seulement comblé paquets. Aussi ajoutant / clause "-i" "-o" pour correspondre à l'interface de pont parent. Cela nous permet de faire correspondre correctement quel pont le paquet vient à travers dans des configurations utilisant des interfaces portuaires de pont joker. Par exemple, lorsque br0 et br1 avoir «vnet +" interface de port de pont, iptables peut correspondre correctement quel pont le paquet est passé par l'aide "-o br0" ou clause «-o br1". Cela peut être utile dans les installations avec de nombreuses interfaces de pontage qui se créés et détruits dynamiquement, par exemple avec des machines virtuelles. Notez que le "br0 -i" / "-o br0" clause ne est ajouté quand il ya plus d'un pont interface et le nom de port de pont se termine par un symbole wild card "+"
- fixe SF bug # 3443609 Retour de ID: 3059893 ": iptables" option "obsolète" --set. Besoin d'utiliser --match-set au lieu de --set si iptables version est & gt; = 1.4.4. Le correctif fait pour # 3059893 ne est que dans le compilateur de politique, mais doit être fait dans les politiques et les compilateurs nat.
- Modifications dans le support pour PF (FreeBSD, OpenBSD):
- voir n ° 2636 "la carpe: sortie incorrecte au format rc.conf.local". Doivent utiliser create_args_carp0 lieu de ifconfig_carp0 de mettre en place l'interface CARP vhid, passer et paramètres adskew.
- voir n ° 2638 «Quand le mot de passe de CARP est vide la valeur advskew ne est pas lu". Devriez sauter "passer" paramètre de la commande ifconfig qui crée l'interface de la carpe si l'utilisateur n'a pas mis en place un mot de passe.
- fixe SF bug # 3429377 "PF: règles IPv6 ne sont pas ajoutés au jeu de règles IPv4 / IPv6 (ancre)". Compiler pour PF n'a pas inlcude règles générées pour IPv6 dans les fichiers de configuration d'ancrage PF générés.
- fixe SF bug 3428992: "PF: règles problème de commande avec IPv4 et IPv6". Compiler pour PF devrait règles groupe de IPv4 et IPv6 NAT ensemble, avant de générer ipv4 et ipv6 règles politiques.
- Plusieurs corrections dans les algorithmes utilisés pour traiter les règles lorsque l'option «préserver les noms d'objets de table groupe et adresses" est en vigueur
- fixe # 2674 compilateur NAT pour le PF se est écrasé lors AttachedNetworks objet a été utilisé dans la source Traduit d'une règle NAT.
- Modifications dans le support pour Cisco IOS ACL:
- fixe # 2660 "compilateur pour IOSACL écrasé lorsque la plage d'adresse apparaît dans une règle et l'option objet-groupe est activé"
- fixe SF bug 3435004:. "Les lignes vides du commentaire résultat en" commande incomplète "dans l'IOS"
- Modifications dans le support pour ipfw:
- SF bug # 3426843 "ipfw ne fonctionne pas pour l'auto-référence, dans 5.0.0.3568 version" fixe.
- Modifications dans le support pour Cisco ASA (PIX, FWSM):
- voir n ° 2656 «Cisco ASA liste d'accès a généré une double saisie". Dans certaines compilateur politique relative aux circonstances fwb_pix généré reproduire access-list lignes.
- Autres changements:
- voir n ° 2646 et SF bug 3395658: quelques IPv4 et IPv6 Ajouté objets de réseau à la norme bibliothèque d'objets: TEST-NET-2, TEST-NET-3 (RFC 5735, RFC 5737), traduit-ipv4, mappé-ipv4 , Teredo, d'autres uniques locaux et quelques.
Ce qui est nouveau dans la version 5.0.0:
- Cette version inclut plusieurs améliorations de l'interface graphique et un support amélioré pour les grandes configurations avec de nouvelles fonctionnalités comme définis par l'utilisateur sous-dossiers, des mots-clés pour les objets de marquage, des groupes dynamiques avec des filtres intelligents, et plus.
- Autres nouvelles fonctionnalités incluent un support pour l'importation de fichiers de configuration PF et un nouveau type d'objet appelé Réseaux attenant, qui représente la liste de réseaux connectés à une interface réseau.
Ce qui est nouveau dans la version 4.2.1:
- V4.2.1 est une version corrigeant des bogues mineurs, il corrige des problèmes dans le haut-mode de la politique d'installation de lot, l'assistant de découverte de réseau SNMP et quelques autres bugs dans l'interface graphique.
Ce qui est nouveau dans la version 4.2.0:
- Cette version améliore significativement l'importation de configurations de pare-feu existants, introduit suport pour l'importation de PIX configuration Cisco ASA / / FWSM et dé-duplication des objets importés pour toutes les plateformes. Cette version ajoute également le support pour la configuration des interfaces de pont et VLAN et routes statiques sur FreeBSD et permet de générer configuration dans le format des fichiers de rc.conf. Fwbuilder prend désormais en charge les dernières versions du logiciel Cisco ASA, y compris une nouvelle syntaxe de commande pour les commandes NAT dans ASA 8.3.
Ce qui est nouveau en version 4.1.3:
- Cette version comprend un certain nombre d'améliorations d'utilisabilité et corrections de bugs. Amélioration de la convivialité comprennent l'ajout d'un mode utilisateur avancé qui réduit le nombre des infobulles pour les utilisateurs de puissance et l'ajout d'une nouvelle case de la règle de la politique de définir si de nouvelles règles ont journalisation activée ou désactivée par défaut. Corrections de bogues critiques incluent un support pour les systèmes Windows qui utilisent sessions Mastic, le soutien à la configuration des adresses IP de diffusion sur les interfaces et plusieurs corrections relatives aux configurations de cluster améliorées. corrections de configuration de grappe comprennent l'ajout du support pour l'importation de règles de branchement lorsqu'un cluster est créé et le soutien pour générer les règles NAT qui nécessitent iptables REDIRECT cible.
Ce qui est nouveau dans la version 4.1.2:
- Activer info-bulles par défaut et ajouter des infobulles supplémentaires
- simplifier la configuration de l'interface dans de nouveaux assistants d'objets pour le Nouveau pare-feu et Nouvel hôte
- Ouvrir automatiquement objet de stratégie de pare-feu pare-feu lorsque de nouveaux objets sont créés
- aides à la navigation supplémentaires et chaînes d'aide
- question d'installation fixe pour les utilisateurs Windows qui utilisent sessions Mastic
- Correction d'un problème (SF 307 732) où les interfaces génériques ne correspondaient pas à la règle PREROUTING
- fixe émis (SF 3049665) où Firewall Builder n'a pas généré extensions appropriées de nom de fichier de données
Ce qui est nouveau dans la version 4.1.1:
- v4.1.1 comprend des correctifs pour un certain nombre de bugs mineurs et est la première version à supporter officiellement configuration HP ProCurve ACL. Merci à un don généreux de plusieurs commutateurs de HP, nous avons pu tester et finaliser le soutien de ProCurve. Cette version corrige également un bug critique dans V4.1.0 liés aux configurations Cisco IOS ACL. Certaines configurations provoqueraient Firewall Builder pour générer de façon incorrecte et l'erreur avec le message "Vous ne trouvez pas l'interface avec la zone de réseau qui comprend l'adresse ABCD".
Ce qui est nouveau dans la version 4.0.0:
- Après plusieurs mois de bêta test, ce est la production de presse prête stable.
Ce qui est nouveau dans la version 3.0.6:
- Ce est une version corrigeant des bogues, il est livré avec des améliorations dans l'interface graphique pour régler les problèmes avec l'impression de grands ensembles de règles et d'optimisation supplémentaire dans les iptables générés et configurations PF.
Commentaires non trouvées