Firewall Builder

Firewall Builder ay isang multi-platform configuration at pamamahala ng firewall system. Binubuo ito ng isang GUI at hanay ng mga compiler patakaran para sa iba't-ibang firewall platform.
Firewall Builder tumutulong sa mga user mapanatili ang isang database ng mga bagay at nagbibigay-daan sa pag-edit ng patakaran sa paggamit simpleng pagpapatakbo drag-at-drop.
Ang GUI at patakaran compiler ay ganap na independiyenteng, ito ay nagbibigay ng para sa isang pare-pareho abstract modelo at sa parehong GUI para sa iba't ibang mga platform ng firewall. Ito ay kasalukuyang sumusuporta sa iptables, ipfilter, ipfw, OpenBSD pf at Cisco PIX.

Ano ang bagong sa paglabas:

• GUI Update:
• Inilipat ang "batch-install" na button mula sa pangunahing installer wizard sa dialog na kung saan ipinasok ng gumagamit ang kanilang mga password. Ngayon gumagamit ay maaaring magsimula sa isang non-batch mode install subalit patuloy sa batch mode install sa anumang oras kung ang lahat ng kanilang mga firewall patotohanan gamit ang parehong user name at password.
• tingnan ang # 2628 nakapirming pag-crash na naganap kapag lumikha user bagong firewall bagay mula sa isang template at nabago ang isa sa mga ip address, habang ang isa pang firewall bagay na nalikha mula sa parehong template na umiiral sa tree.
• tingnan ang # 2635 Uri ng Bagay AttachedNetworks ay hindi pinapayagan sa mga elemento ng panuntunan "interface".
• Ang drop-down na listahan ng mga interface para sa pagpipiliang "ruta-through" panuntunan para sa pf at iptables dapat isama ang hindi lamang kumpol interface, kundi pati na rin mga interface ng lahat ng mga miyembro. Sa ganitong paraan, maaari kaming magsagawa ng mga compiler bumuo ng configuration "pumasa sa mabilis sa em0 ruta-sa {(em0 10.1.1.2)} ..." para sa isang panuntunan ng isang pf kumpol. Narito "em0" ay isang interface ng isang miyembro, hindi sa kumpol.
• Inaayos ng # 2642 "-crash GUI kung magkakansela ng user newFirewall dialog na".
• Inaayos ng # 2641 "newFirewall dialog na hindi tumatanggap ng IPv6 address gamit ang haba prefix". Ang dialog na ay hindi payagan ang IPv6 address ng inetrfaces may netmask & gt; 64 bit.
• Inaayos ng # 2643 "-crash GUI kapag user ay mapuputol ng panuntunan, pagkatapos ay i-click kanan ng mouse sa anumang elemento ng isa pang patakaran"
• idinagdag check upang tiyakin na gumagamit ay hindi ipasok netmask may zeroes sa gitna para sa IPv4 network object. Netmasks tulad na ay hindi suportado ng fwbuilder.
• Inaayos ng # 2648 "right mouse-click sa firewall bagay sa" Tinanggal na bagay "library nagiging sanhi ng pag-crash GUI"
• Inaayos ng SF bug 3388055 Pagdaragdag ng "DNS Pangalan" sa isang trailing space nagiging sanhi ng kabiguan.
• Inaayos ng SF bug 3302121 "cosmetic maling-format sa fwb Linux dialog path"
• Inaayos ng SF bug 3247094 "mga katawagan ng mga IP address edit dialog na". Sabi IPv6 network dialog na "Prefix haba".
• tingnan ang # 2654 pag-aayos ng GUI ng pag-crash na naganap kapag kinopya gumagamit ng panuntunan mula sa file A papuntang B-file, pagkatapos ay i-closed file B, binuksan ang file C at sinubukan upang kopyahin ang mga parehong panuntunan mula A hanggang C '
• tingnan ang # 2655 mga pangalan Interface ay hindi pinapayagan na magkaroon ng gitling "-" kahit na interface na pag-verify. Dapat nating payagan ang "-" sa pangalan ng interface para sa Cisco iOS
• tingnan ang # 2657-crash ang pagtuklas snmp network kung pagpipiliang "magpinid i-scan sa network" ay ginagamit na.
• Inaayos ng # 2658 "pagtuklas snmp network ay lumilikha ng mga duplicate na address at network ng mga bagay"
• paganahin ang fwbuilder upang samantalahin ang GSSAPIAuthentication may openssh gamit mungkahi sa pamamagitan ng Matthias Witte witte@netzquadrat.de
• naayos ng isang bug (hindi numero): kung, installer patakaran Nabigo ang ipinasok "pangalan ng file Output" na patlang sa sa "mga advanced na setting" dialog ng isang firewall sa bagay na natapos na may puting espasyo ng pangalan ng file ng user na may isang error na "Walang ganoong file o direktoryo "
• naayos SF bug # 3433587 "Mano-manong i-edit ang halaga ng Port END bagong Destination serbisyo nabigo". Ginawa bug ito nito imposible upang i-edit ang halaga ng dulo ng hanay port dahil sa lalong madaling ang halaga ay naging mas mababa kaysa sa halaga ng simula ang hanay, ang GUI ay i-reset ito upang maging katumbas ng halaga ng simula ng hanay . Ito apektado ang parehong mga dialog serbisyo sa bagay na TCP at UDP.
• pag-aayos ng # 2665 "Pagdaragdag ng teksto upang magkomento sanhi ng panuntunan upang pumunta mula sa 2 mga hilera sa 1 hilera". Sa ilalim ng ilang mga pagkakataon, komento panuntunan sa pag-edit sanhi ng GUI upang tiklupin katumbas na hilera sa hanay ng panuntunan pagtingin upang tanging ang unang bagay ng bawat elemento panuntunan na naglalaman ng maraming mga bagay ay nakikita.
• Inaayos ng # 2669 "Hindi ma siyasatin pasadyang Serbisyo bagay sa Standard bagay library".
• Pagbabago sa patakaran importer para sa lahat ng mga suportadong mga platform
• Ang mga pagbabago na nakakaapekto sa pag-import ng PIX mga configuration:
• Nagbago ang pangalan ng token mula sa "ESP" sa "ESP_WORD" upang maiwasan ang conflict sa macro "ESP" na nangyari sa panahon ng build sa OpenSolaris
• tingnan ang # 2662 "sa pag-crash kapag kino-compile ASA panuntunan sa sakop ng IP." Kailangang mag-hatiin ang hanay ng address kung ito ay ginagamit sa "source" ng isang panuntunan na kumokontrol telnet, ssh o http sa firewall mismo at bersyon ng firewall ay & gt; = 8.3. Command "ssh", "telnet" at "http" (mga makontrol ang access sa ang katumbas na mga protocol sa firewall mismo) Tumatanggap lang ip address ng isang host o isang network bilang kanilang argumento. Hindi sila tumatanggap ng iba't-address, na pinangalanang object o bagay group. Ito ay upang hindi bababa sa bilang ng ASA 8.3. Dahil palawakin ang hanay ng aming address para lamang sa mga bersyon & lt; 8.3 at paggamit pinangalanang object para sa 8.3 at mas bago, kailangan naming gumawa ng mga ito ng karagdagang mga tseke at palawakin pa rin saklaw ng address sa panuntunan na magko-convert sa ibang pagkakataon sa "ssh", "telnet" o "http" na command. Bumubuo pa rin Compiler kalabisan pahayag object-group na may mga bloke CIDR na nabuo mula sa hanay address ngunit hindi gumagamit ng pangkat na ito sa panuntunan. Hindi ito BREAK nabuo configuration ngunit ang bagay-group ay kalabisan dahil hindi ito ginagamit. Ito ay rectified sa mga bersyon sa hinaharap.
• Inaayos ng # 2668 Alisin na "static na mga ruta" mula sa pagpapaliwanag ng teksto sa ASA / PIX dialog ng import. Hindi namin maaaring i-import PIX / ASA routing configuration sa oras na ito.
• Inaayos ng # 2677 Patakaran sa importer para sa PIX / ASA Hindi ma-parse ang command na "Nat (sa loob) 1 0 0"
• Inaayos ng # 2679 Patakaran sa importer para sa PIX / ASA Hindi ma-import ang "Nat exemption" panuntunan (halimbawa: "Nat (sa loob) 0 access-list Exempt")
• Inaayos ng # 2678 Patakaran sa importer para sa PIX / ASA Hindi ma-parse ang Nat utos sa parameter na "labas"
• Pagbabago at pagpapabuti sa libfwbuilder API library:
• pag-andar InetAddr :: isValidV4Netmask () tseke na netmask kinakatawan ng mga bagay na binubuo ng isang pagkakasunod-sunod ng "1" piraso, na sinusundan ng pagkakasunod-sunod ng "0" bits at samakatuwid ay walang zeroes sa gitna.
• naayos na bug # 2670. Bawat RFC3021 network na may netmask / 31 ay walang mga network at direktang broadcast address. Kapag interface ng firewall ay naka-configure na may compiler netmask / 31, patakaran ay hindi dapat ituring ang ikalawang address ng "subnet" bilang isang broadcast.
• Pagbabago sa suporta para sa iptables:
• tingnan ang # 2639 "suporta para sa vlan subinterfaces ng tulay interface (hal br0.5)". Sa kasalukuyan ay hindi maaaring makabuo ng fwbuilder script upang i-configure vlan subinterfaces ng tulay interface, gayunpaman kung hindi hiniling ang script configuration ng user na nabuo, na compiler hindi dapat i-abort kapag ito ay nakatagpo ng kumbinasyon na ito.
• Inaayos ng # 2650 "panuntunan sa hanay address na kinabibilangan ng firewall address sa SRC ay inilalagay sa output chain kahit na mga address na hindi tumutugma sa mga firewall ay dapat pumunta sa pasulong"
• Inaayos ng SF bug # 3414382 "Segfault sa fwb_ipt pagharap sa walang laman group." Compiler para sa iptables ginamit upang mag-crash kapag ang isang walang laman pangkat na ginamit sa hanay ng "Interface" ng isang panuntunan sa patakaran.
• tingnan ang SF bug # 3416900 "Palitan` command` sa `which`". Binuo ng script (Linux / iptables) na ginagamit upang gamitin ang "utos -v" upang suriin kung tool linya ng command na kailangan nito ay naroroon sa system. Ito ay ginamit upang hanapin ang iptables, lsmod, modprobe, ifconfig, vconfig, magtotroso at iba pa. Ang ilang mga naka-embed na mga distribusyon ng Linux, kapansin-pansin TomatoUSB, dumating nang walang suporta para sa "utos". Lumilipat sa "na" na ito ay mas ubuquitous at dapat ay magagamit halos lahat ng dako.
• naayos # 2663 "Panuntunan sa" old-broadcast "mga resulta bagay sa di-wastong iptables INPUT chain". Compiler ay pagpili chain INPUT may direksyon "papalabas" para sa mga panuntunan na nagkaroon ng lumang broadcast address sa "Pinagmulan", ang nangunguna sa mga hindi wastong configuration iptables may chain INPUT at "-o eth0" na tugma interface sugnay.
• naayos na bug sa panuntunan processor na papalit AddressRange bagay na iyon ay kumakatawan sa isang address na may isang IPv4 bagay. Inalis din code sa pag-uulit.
• Inaayos ng # 2664-update ng mensahe ng error kapag "na" nabigo ang command. Ginagamit Binuo iptables script "na" upang suriin kung ang lahat ng mga utility ginagamit nito umiiral sa machine. Dapat din namin suriin kung "na" mismo umiiral at magpalabas ng mga makahulugang mensahe ng error kung hindi.
• SF bug # 3,439,613. Hindi pinapayagan physdev module --physdev-out para sa hindi bridged trapiko ngayon. Dapat nating magdagdag --physdev-ay-bridged upang matiyak na ito ay tumutugma lamang bridged packet. Gayundin pagdaragdag ng "-i" / "-o" sugnay upang tumugma sa magulang tulay interface. Nagbibigay-daan ito sa amin upang tumugma tama na tulay ang packet ay sa pamamagitan ng sa mga configuration ng paggamit ng mga wildcard na tulay port interface. Halimbawa, kapag br0 at br1 may "vnet +" tulay port interface, maaari pa ring tama tumugma sa iptables na tulay ang packet nagpunta sa pamamagitan ng paggamit ng "-o br0" o "-o br1" sugnay. Maaari itong maging kapaki-pakinabang sa pag-install na may maraming bridged mga interface na makakuha nilikha at dynamic na nawasak, hal may virtual machine. Tandaan na ang "-i br0" / "-o br0" sugnay ay idinagdag lamang kapag mayroong higit pa sa isang tulay na interface at ang pangalan ng tulay port ay nagtatapos sa isang simbolo ng ligaw card "+"
• naayos 3443609 Return ng ID ng SF bug #: 3059893 ": iptables" --set "na opsyon sa hindi na ginagamit." Kailangan mo ng gamitin --match-set sa halip na --set kung bersyon iptables ay & gt; = 1.4.4. Ang pag-aayos na ginawa para sa # 3059893 lamang sa compiler patakaran ngunit kailangang gawin sa parehong mga patakaran at Nat compiler.
• Pagbabago sa suporta para sa pf (FreeBSD, OpenBSD):
• tingnan ang # 2636 "pamumula: Maling output sa rc.conf.local format". Dapat na gumamit create_args_carp0 sa halip na ifconfig_carp0 i-set up pamumula vhid interface, ipasa at adskew parameter.
• tingnan ang # 2638 "Kapag pumula password ay walang laman ang advskew halaga ay hindi mabasa". Dapat laktawan "pumasa sa" parameter ng command ifconfig na lumilikha ng pamumula interface kung ang gumagamit ay hindi-set up ng anumang mga password.
• naayos SF bug # 3429377 "pf: mga panuntunan IPv6 ay hindi naidagdag sa IPv4 / IPv6 Ruleset (anchor)". Compiler para sa pf ay hindi inlcude panuntunan na binuo para sa IPv6 sa nabuong pf mga file ng configuration anchor.
• naayos SF bug 3428992: "pf: tuntunin problema order sa IPv4 at IPv6". Compiler para sa pf dapat grupo IPv4 at IPv6 NAT panuntunan magkasama, bago ito ay bumubuo ng IPv4 at IPv6 patakaran panuntunan.
• Maraming mga pag-aayos sa mga algorithm na ginamit upang iproseso ang mga panuntunan kapag ang opsyon na "pangalagaan group at mga address talahanayan pangalan ng object na" ay may bisa
• Inaayos ng # 2674 NAT compiler para sa pf-crash kapag AttachedNetworks object ay ginagamit sa mga isinaling Pinagmulan ng isang NAT panuntunan.
• Pagbabago sa suporta para sa Cisco iOS ACL:
• Inaayos ng # 2660 "compiler para sa IOSACL-crash kapag lumilitaw ang hanay ng address sa isang panuntunan AT opsyon object-group na ito ay naka-ON"
• naayos SF bug 3435004:. "Walang laman na linya sa resulta ng komento sa" Hindi kumpleto Command "sa iOS"
• Pagbabago sa suporta para sa ipfw:
• naayos SF bug # 3426843 "ay hindi gumagana para sa self-sanggunian, sa 5.0.0.3568 bersyon ipfw".
• Pagbabago sa suporta para sa Cisco ASA (PIX, FWSM):
• tingnan ang # 2656 "Binuo ng Cisco ASA access-list ay duplicate na entry na". Sa ilalim ng ilang mga compiler patakaran pangyayari fwb_pix nabuo duplicate access-list linya.
• Iba pang mga pagbabago:
• tingnan ang # 2646 at SF bug 3,395,658: Idinagdag ilang IPv4 at IPv6 bagay sa Standard network ng mga bagay sa aklatan: PAGSUBOK SA NET--2, PAGSUBOK SA NET--3 (RFC 5735, RFC 5737), isinalin-IPv4, nai-map-IPv4 , Teredo, natatanging-lokal at ilang iba.

Ano ang bagong sa bersyon 5.0.0:

• Ang bersyon na ito ay may kasamang maramihang mga pagpapahusay GUI at pinahusay na suporta para sa mga malalaking mga configuration gamit ang mga bagong tampok tulad ng tinukoy ng gumagamit mga subfolder, mga keyword para sa pag-tag sa mga bagay, dynamic group na may mga matalinong mga filter, at higit pa.
• Iba pang mga bagong tampok isama ang suporta para sa pag-import ng pf configuration file at isang bagong uri ng bagay na tinatawag na Naka-attach Mga Network, na kumakatawan sa listahan ng mga network na konektado sa isang interface ng network.

Ano ang bagong sa bersyon 4.2.1:

• v4.2.1 ay isang maliit na bug-fix release, itinatama nito isyu sa built-in na patakaran installer batch mode, SNMP network ng pagtuklas wizard at ilang iba pang mga bug sa GUI.

Ano ang bagong sa bersyon 4.2.0:

• Ang release na ito ay makabuluhang nagpapabuti sa pag-import ng mga umiiral na mga configuration ng firewall, introduces suport para sa pag-import ng Cisco ASA / PIX / configuration FWSM at alisin sa pag-duplicate ng na-import na mga bagay para sa lahat ng mga platform. Nagdaragdag ang release na ito ay din ng suporta para sa configuration ng tulay at vlan interface at static na mga ruta sa FreeBSD at ginagawang posible upang bumuo ng configuration sa format ng file rc.conf. Sinusuportahan na ngayon ng Fwbuilder pinakabagong bersyon ng Cisco ASA software kabilang ang mga bagong utos syntax para sa Nat utos sa ASA 8.3.

Ano ang bagong sa bersyon 4.1.3:

• Ang release na ito ay nagsasama ng isang bilang ng mga pagpapabuti kakayahang magamit at pag-aayos ng bug. Mga pagpapahusay ng kakayahang magamit isama ang pagdaragdag ng isang mode Advanced na User na binabawasan ang bilang ng mga tooltip para sa mga power user at ang pagdaragdag ng isang bagong checkbox panuntunan patakaran upang tukuyin kung bagong panuntunan pinagana mo ang pag-log o hindi pinagana bilang default. Kritikal-aayos ng bug ay kabilang ang pinabuting suporta para sa mga sistema ng Windows na gumagamit ng masilya session, suporta para sa pag-configure ng broadcast address IP sa interface at iba't-ibang mga pag-aayos na may kaugnayan sa kumpol configuration. Pag-aayos configuration Cluster ay kabilang ang pagdaragdag ng suporta para sa pag-import ng sumasanga panuntunan kapag ang isang kumpol ay nilikha at suporta para sa pagbuo ng mga panuntunan NAT na nangangailangan ng iptables pag-redirect na target.

Ano ang bagong sa bersyon 4.1.2:

• Paganahin ang tool tip sa pamamagitan ng default at magdagdag ng mga karagdagang tool tip
• Pasimplehin ang configuration interface sa bagong wizard na bagay para sa Bagong Firewall at Bagong Host
• Awtomatikong bukas firewall Patakaran sa bagay na kapag may mga bagong bagay firewall ay ginawa
• Karagdagang mga pantulong sa pag-navigate at mga string ng tulong
• Mga Fixed installer isyu para sa mga gumagamit ng Windows na gumagamit ng masilya session
• Ayusin ang isyu (SF 307732) kung saan wildcard mga interface ay hindi tumugma sa PREROUTING sa panuntunan
• Ang Nakatakdang ipalabas (SF 3,049,665) kung saan Firewall Builder ay hindi makabuo ng tamang mga extension ng pangalan data file

Ano ang bagong sa bersyon 4.1.1:

• v4.1.1 Kabilang sa mga pag-aayos para sa isang bilang ng mga menor de edad bug at ang unang release sa opisyal na sumusuporta sa configuration ng HP ProCurve ACL. Salamat sa isang mapagbigay donasyon sa ilang mga switch mula sa HP namin nagawang upang subukan at i-finalize ang ProCurve suporta. Inaayos din release na ito ay isang kritikal na bug sa V4.1.0 na may kaugnayan sa Cisco iOS ACL configuration. Ang ilang mga configuration ay magdudulot Firewall Builder upang makabuo ng hindi tama at error sa mensaheng "Hindi mahanap ang interface sa network zone na may kasamang address ABCD".

Ano ang bagong sa bersyon 4.0.0:

• Matapos ang ilang buwan ng pagsubok na beta, ito ay matatag na produksyon handa na release.

Ano ang bagong sa bersyon 3.0.6:

• Ito ay isang bug-fix release, ito ay may mga pagpapabuti sa GUI upang ayusin ang mga problema sa pag-print ng malaking hanay ng panuntunan at mga karagdagang pag-optimize sa nabuong iptables at pf mga configuration.