Suche GUI fuer iptables

Der_Frank_176821 · 7. November 2019 um 15:20

Hi,

demnachst muss ich eine firewall fuer die Anbindung von ein paar Tausend, nicht gerade vertrauenswuerdigen Leuten an das Internet entwerfen. Zentraler Bestandteil wird dabei ein Paketfilter basierend auf dem netfilter von Linux sein. Normalerweise schreib ich meine Regeln mit einer guten shell, einem schlanken editor und iptables. Diesmal ist aber teamwork angesagt und ich werde den Rest des Teams wahrscheinlich auf die Schnelle nicht an iptables heranfuehren koennen. Ich suche daher nach einem graphischen frontend fuer das frontend von netfilter (lange keinen schicken Matroschkaeffekt gesehen).

In den letzten Tagen hab ich mir fwbuilder angesehen. Auf den ersten Blick macht das einen ganz guten Eindruck und man kann einfache Regelwerke auch schnell zusammenklickern. Insbesondere die zentrale Verwaltung von mehreren Paketfiltern in einer Datenbank hat mir gefallen. Auch der von iptables unabhaengige Export der Regeln als shell script, welches auf dem Zielsystem (mit iptables) ausgefuehrt wird, um die Regeln einzupflegen, kommt mir sehr entgegen. Das Ablegen der Datenbank in xml, was man ggf. auch mit einem editor bearbeiten kann, mag ich auch. Das Gruppieren von Objekten (hosts, Netzwerken, services) ist auch ganz praktisch. Von der GUI nicht unterstuetzte Regeln koennen in iptables-Syntax nachgetragen werden.

Weniger gefallen hat mir, dass es (AFAICS) keine Definition von eigenen Ketten zulaesst, sondern alles auf die von netfilter bereitgestellten INPUT, OUTPUT und FORWARD (in -t filter) runterbricht. Damit eng verbunden ist, dass das entstehende Regelwerk (IMHO) sehr uneffizient, unuebersichtlich und ohne fwbuilder schlecht wartbar ist. Darueberhinaus scheint mir die Unterstuetzung von routern mit mehr als zwei interfaces eher lueckenhaft zu sein: bei der Erstellung der Regeln, so wie ich sie wollte wurden mir mehrere Steine in den Weg gelegt, und ich musste Kompromisse machen. Dass es gelegentlich segfaulted ist zwar hinnehmbar, aber macht gerade bei einem security tool keinen guten Eindruck.

Am Wochenende werd ich einen Blick auf KMyFirewall werfen (obwohl ich Programme mit K am Anfang eigentlich nicht mag). Laut feature list unterstuetzt das schon mal nutzerdefinierte Ketten, mal sehen, wie man sonst so damit arbeiten kann.

Hat vielleicht jemand noch ein paar Tips zu Programmen, die ich mir ansehen koennte? Hat jemand aehnliche Ansprueche, wie ich oben erwaehnt hab, und mit einem bestimmten tool gute Erfahrungen gemacht?

Vielen Dank im Voraus,
Gruss vom Frank.

Anonym_d5503925c587 · 7. November 2019 um 15:20

Hi…

Normalerweise schreib ich meine Regeln mit einer guten shell,
einem schlanken editor und iptables. Diesmal ist aber
teamwork angesagt und ich werde den Rest des Teams
wahrscheinlich auf die Schnelle nicht an iptables heranfuehren
koennen.

Wenn das mal gutgeht. Viele Polizisten verderben die Sicherheit - oder so.

In den letzten Tagen hab ich mir fwbuilder angesehen. Auf den
ersten Blick macht das einen ganz guten Eindruck und man kann
einfache Regelwerke auch schnell zusammenklickern.

Weniger gefallen hat mir, dass es (AFAICS) keine Definition
von eigenen Ketten zulaesst, sondern alles auf die von
netfilter bereitgestellten INPUT, OUTPUT und FORWARD (in -t
filter) runterbricht.

Vorweg: Deine eigentliche Frage kann ich nciht beantworten. Ich kenne weder dieses, noch irgendein anderes Frontend, aber ich habe vielleicht eine Idee:
Wenn jeder im Team für einen bestimmten Teil des Netzwerks zuständig ist (oder wie soll die Aufteilung funktionieren?), könnte jeder mit fwbuilder Regeln genau für seinen Teil zusammenklicken.
Je nach Aufbau des Netzes kann man evtl. diese Regelsätze auch einzeln testen. Dann definiert man für jedes Teammitglied neue Ketten, packt dessen Regeln dort hinein und schreibt noch eine Handvoll Regeln von Hand, die die Pakete auf die zuständigen Ketten verteilen.
Nicht unbedingt optimal, weil viele Regeln mehrfach vorkommen werden, auch nach dem Zusammenführen nicht mehr mit fwbuilder wartbar.

Mein Vorgehensweise wäre ähnlich, aber ganz anders: Alle, die entscheiden sollen, was durch die FW darf, schreiben ihre Regeln in einem definierten, einfachen Format auf. Einer, der Netfilter kennt, nimmt diese Pflichtenhefte und hackt die Regeln runter - möglicherweise auch mit GUI-Unterstützung.

Schneller geht es IMO nur noch, wenn man das Team auf die absolut notwendigen Mitglieder zusammenstreicht - also auf einen.

genumi

deconstruct_efa77f · 7. November 2019 um 15:20

Hallo,

Am Wochenende werd ich einen Blick auf KMyFirewall werfen
(obwohl ich Programme mit K am Anfang eigentlich nicht mag).
Laut feature list unterstuetzt das schon mal nutzerdefinierte
Ketten, mal sehen, wie man sonst so damit arbeiten kann.

KMyFirewall ist zumindest das beste, was mir bis jetzt in der Richtung untergekommen ist. V.a. ist das Resultat halbwegs übersichtlich und per Hand wartbar. Unterstützt auch mehrere Interfaces.

Hat vielleicht jemand noch ein paar Tips zu Programmen, die
ich mir ansehen koennte? Hat jemand aehnliche Ansprueche, wie
ich oben erwaehnt hab, und mit einem bestimmten tool gute
Erfahrungen gemacht?

KMyFirewall ist IMHO schon ganz nett. Ich habs aber nur mal ausprobiert, weil normal nehm ich nicht Linux iptables her.
Im groben und ganzen hats mir gefallen, auf jeden Fall hätte es für meine Ansprüche gereicht (2 Interfaces, DMZ, Ketten, etc)

mfg
deconstruct

P.S: Wieso magst du denn keine „K“-Tools??