Het Linux besturingssysteem kan op verschillende manieren zijn firewall instellen. De meest eenvoudige manier is werken met het firewall hulpmiddelen van de distributie (YaST voor openSUSE). Alleen met de opdracht iptables kan je de firewall tot in de puntjes afregelen. De meeste mensen hebben niet de tijd en/of zin om zich te verdiepen in het complexe hulpmiddel iptables. Een zowel gebruiksvriendelijk als krachtig instrument om de firewall in te stellen, vinden we bij fwbuilder.
Met fwbuilder kun je met behulp van objecten een firewall op maat maken. Een object kan een firewall, een groep, een computer, een netwerkapparaat, een adres, een DNS-naam, enz. voorstellen. De bedoeling is deze objecten samen te voegen tot een samenhangend geheel en zo een complete firewall te vormen. Bij het starten van fwbuilder hebben beginners geen idee hoe ze eraan moeten beginnen. In het begin lijkt het nogal verwarrend, maar na de eerste stappen wordt de rest snel duidelijk.
Fwbuilder zit niet in de standaard softwarebronnen van uw distributie.
Fwbuilder kan je voor openSUSE vinden op http://software.opensuse.org.
Na de Eénklik-installatie, moet je de firewall-module van YaST uitschakelen.
Je kan namelijk geen twee hulpmiddelen gebruiken om de firewall in te stellen.
Start YaST > Beveiliging en gebruikers > Firewall.
Schakel het automatisch opstarten van de firewall uit.
Klik op de knop Firewall nu stoppen om de firewall uit te schakelen.
Bevestig de aanpassingen met de knop Verder.
Fwbuilder kan je opstarten via K menu > Programma's > Systeem > Beveiliging > Firewall-bouwer.
In het eerste dialoogvenster van de assistent staat een belangrijke optie. Je kunt de firewall baseren op reeds bestaande sjablonen (templates). Voor beginnende gebruikers is dit een ideale manier om te starten. Na de keuze van een sjabloon kun je de firewall verder aanpassen. Deze tip gebruikt geen sjabloon.
Het volgende dialoogvenster vraagt welke netwerkapparaten gebruikt worden. Er zijn twee mogelijkheden: Manueel en via SNMP. Manueel is de meest betrouwbare methode. Deze tip gebruikt de manuele methode.
In het volgende dialoogvenster kun je manueel netwerkapparaten toevoegen.
Het MAC-adres van de netwerkapparaten kun je achterhalen met de opdracht /sbin/ifconfig
bij de vermelding HWaddr.
Als je meerdere netwerkapparaten hebt, kun je deze via de knop met het groene plus-teken toevoegen.
Als alle netwerkapparaten toegevoegd zijn, klik je op Finish.
In het linkerpaneel zie je nu in de tak Firewalls het object Persoonlijk (de naam van onze firewall) staan. Klik op het plus-teken voor het object Persoonlijk om de verschillende onderdelen van de firewall Persoonlijk te zien. Dubbelklik op het firewall onderdeel Policy om het rechterpaneel met de firewall-regels te tonen.
In dit rechterpaneel voeg je met de knop met het groene plus-teken (Insert rule) een nieuwe regel toe.
Na het invoegen van de nieuwe regel, merk je dat deze waardeloos is.
Alle onderdelen van de regel laten immers alles toe (Any).
Het nieuwe object komt tevoorschijn in het linker paneel.
Als je dit adresbereik nu in de daarstraks aangemaakte firewall-regel als doel wilt gebruiken, sleep je het object Intern LAN naar de cel van de regel in de kolom Destination.
Klaar.
Je kunt nu zelf alle noorzakelijke objecten aanmaken. Sleep daarna de aangemaakte objecten naar de plaats waar je ze nodig hebt. Maak extra firewall-regels aan om de firewall naar wens in te stellen.
Als de firewall klaar is, compileer je de firewall met de knop met de hamer (Compile this firewall). Daarbij wordt de firewall eerst in een FWB-bestand opgeslagen.
Na het compileren, moet de firewall nog geïnstalleerd worden. Fwbuilder gebruikt voor het installeren een eigen methode. Klik op de knop met de naar beneden wijzende blauwe pijl (Compile and install this firewall). Deze knop compileert (indien nodig) en installeert de firewall. Fwbuilder gebruikt voor de installatie een SSH-verbinding met de computer (of toestel) waarop de firewall gebruikt wordt. Dit betekent dat de firewall steeds SSH-verkeer moet doorlaten. Indien dit niet het geval is, kun je na de installatie van de nieuwe firewall geen andere firewall meer via fwbuilder installeren. In deze tip beperken we ons tot de computer waarop we werken. Ik gebruik voor de installatie de volgende gegevens:De root-gebruiker is de enige die een firewall-installatie kan uitvoeren.
Het gebruikte IP-adres is deze van de computer zelf (loopback).
M.a.w. de firewall wordt geïnstalleert op de computer waarop we met fwbuilder werken.
Door de optie Test run: run the script on the firewall but do not store it permanently in te schakelen kan de firewall grondig getest worden.
Een simpele herstart van de firewall-computer zal de firewall uitschakelen.
Bij de bevestiging van het dialoogvenster Install options, krijg je een foutmelding.
Eén van de netwerkapparaten wordt namelijk gebruikt om de firewall te beheren.
Dubbelklik op een netwerkapparaat van de firewall (eth0 in deze tip). Activeer in het onderste paneel de optie Management interface. Veilige firewalls gebruiken daarvoor een netwerkapparaat dat enkel voor het beheer wordt gebruikt. Na deze aanpassing moet je de firewall opnieuw compileren en installeren. Bij de installatie kreeg ik de melding dat de SSH-verbinding verbroken werd en de installatie mislukt was. Ook hier merk je duidelijk dat fwbuilder een SSH-verbinding gebruikt om de installatie uit te voeren. Gaat er ergens iets mis met de SSH-verbinding, dan gaat het ook mis met de installatie.
De fout zit in het kopieren van de firewall naar de map /etc/fw/tmp/.
Deze map bestond niet, waardoor de scp opdracht afgebroken werd.
Met de opdracht sudo mkdir -p /etc/fw/tmp
maak je de noodzakelijke map aan.
Na deze aanpassing lukte de installatie.
De geïnstalleerde firewall zal de computer verschrikkelijk vertragen. Veel opdrachten in een grafische omgeving gebruiken het loopback netwerkapparaat om gegevens met elkaar uit te wisselen. Daar de firewall geen regel(s) heeft om dit loopback-verkeer te regelen, wordt alle loopback-verkeer tegengehouden. Dit heeft tot gevolg dat processen zitten te wachten op gegevens die via loopback uitgewisselt worden. Deze wachttijden zorgen ervoor dat opslaan van gegevens, starten van programma's zeer traag verloopt. Gelukkig was dit maar een firewall-test. De computer geduldig herstarten, verwijdert de firewall en dus ook de vertragingen.
De door de firewall ondernomen acties kan je volgen met behulp van de opdracht sudo tail -f /var/log/firewall
.