У меня галлюцинации или эта новость тут уже была? (но пропала)

Была...

Несмотря на то, что до этого новость о программе была в разделе "Безопасность", а сейчас переместилась в "Коммерческое ПО", сама программа доступна по лицензии GNU GPL.

P.S. Чтобы не было недопонимания ;)

вернул в Security

Влошебная вещь, спасибо.

> Влошебная вещь, спасибо.

Издеваешься?!

У мя эта хре*ь полжила систему, вернее где то подправила какие то пермишены в результате я не мог вооще связаться с сетью, а именно

ping 10.20.0.1 ping:sendmsg operation not permitted

и.т.д. три раза

Можно конечно ссылаться на кривые руки, но только если после iptables -F и iptables -F -t nat я получаю тот же х*р, тут уж извините, данный софт вмешался куда не следует и поменял что то не относиться к файеру.

Но может есть те кто знают что с этим делать.

Кстати систему пришлось похер*ть, хорошо что копию неделю назад сделал, а то бы ща всё заново ставить пришлось, поскольку сеть не работала вообще.

> У мя эта хре*ь
Напишите программу лучше или помогите автору улучшить эту. Ругать все умеют ... как всегда.

> полжила систему, вернее где то подправила какие то
Детский сад. Где то, какие то ... вы root или не root? Программа генерирует на выходе скрипт, настройками можно добиться того, чтобы он состоял целиком из команд iptables. И перед запуском ознакомиться с ним!

> если после iptables -F и iptables -F -t nat я получаю тот же х*р
Всё верно, его и получите :) Нужно делать еще iptables -P OUTPUT ACCEPT;iptables -P INPUT ACCEPT;iptables -P FORWARD ACCEPT

> извините, данный софт вмешался куда не следует и поменял что то не относиться к файеру
Не извиняю :) Вы же скрипт видите, команды в GUI компиляции и запуска этого скрипта - отдельные, что мешало вам перед запуском ознакомиться с ним?

> Но может есть те кто знают что с этим делать.
Я постарался вам растолковать в чем возможно была проблема, если она не решена и при успешном решении вы хотели бы использовать этот инструмент (хотя бы бесплатную версию), напишите.

> Кстати систему пришлось похер*ть
8-| Вы уверены, что это был Firewall Builder??? ;-)

А это чудо при этом сможет работать с десятком фаэрволов и прокачивать на них отредактированную конфигурацию?

А какой смысл в программе, действия которой нужно дополнительно контролировать?

>А какой смысл в программе, действия которой нужно дополнительно контролировать?

Вот помоему в мелкософте тоже так думают :). Все таки, лучше дать эту возможность, чем работать без нее.

> 8-| Вы уверены, что это был Firewall Builder??? ;-)

Разумеется, т.к. это была единственная софтина которую я ставил в тот день, и настроек я в тот день не менял.

> iptables -P OUTPUT ACCEPT;iptables -P INPUT ACCEPT;iptables -P FORWARD ACCEPT

Млин это уже детский сад понимаете ли, есессено это то что я посмотрел в первую очередь, к томже эти настройки не дадут такого результат как я описал, т.е. пакеты просто перестанут уходить, а тут явно что то было изменено на уровне системы (читай не файервола).

Да я бы юзал этот софт, но теперь стремаюсь его трогать, нервы понимаешь не железные, каждый раз восстанавливать систему, пусть и из резервки.

>> если после iptables -F и iptables -F -t nat я получаю тот же х*р >Всё верно, его и получите :) Нужно делать еще iptables -P OUTPUT >ACCEPT;iptables -P INPUT ACCEPT;iptables -P FORWARD ACCEPT

Честное слово, сначало хотел обратится за пакетом для Slackware, но потом что-то остановило. Я просто подумал, зачем мне это? Я сам что ли не в состояни написать скрипт с правилами? Как же я всё время жил без такой замечательной программы? Подумав, пришёл к выводу, что оное мне не надо. И реально даже не знаю кому понадобится? Чайнику который не знает правил iptables и не в сотсоянии прочитать iptables-tutorial? Оно ему не надо. Особельно после Вашего высказывания о том что эта программа не в состоянии после iptables -F iptables -t nat -F вернуть политику по в ACCEPT. Да чайнику и такие команды не известны, уж не говоря о установки политики по умолчанию. Простому юзеру который знает правила или професионалу? Тем более. Они и так напишут. Так что, реальная ценность данной программы стренмится в /dev/null. Тем более правили пишутся один раз, потом просто изменяются простой вставкой необходимой цепочки. Теперь перейдём к Windows. Что Вы предлагаете там настраивать?Встроенный фаервалл? Или что-то другое? Нет уж спасибо. даже встроенный фаервал там не требует данной программины. Да и лицензионный Outpost стоит дещшевле чем сборка этой программины под вин платформу. Даже в её семейной лицензии. Так что...

>И реально даже не знаю кому понадобится?

Людям, которые не хотят изучать правила iptables. И таких имеется в количестве, и им она нужна.

Вот ща решил заценить kmyfirewall, эксперимент закончился удачно и даже не потребовалось смотреть скрипт, т.е. я сразу же увидел эту кнпоку для просмотра оного, я бы даже сказал что он лучше чем Firewall Builder... да наверное так и есть, но будущее рассудит ;)

...

предпочитаю обычный скрипт на bash, никто не мешает написать его для работы с аргументами для включения и отключения нужных цепочек.

2Carlos:
> А это чудо при этом сможет работать с десятком фаэрволов и прокачивать на них отредактированную конфигурацию?
По идее может (у меня самый большой проект состоит из 7 межсетевых экранов - крупная компания и несколько ее основных филиалов). Обновлять конфигурацию конечно же может, возможно скоро сможет выкачивать конфигурацию, сохраненную по iptables-store.

2bbk123:
> А какой смысл в программе, действия которой нужно дополнительно контролировать?
Доверяй, но проверяй, особенно это касается любых вопросов безопасности, про M$ тоже верно подметили ;)

2cyclon:
> а тут явно что то было изменено на уровне системы
Хорошо, я пока не понял, что же он там наворотил у тебя. Давай попробуем еще раз ;) поставь fwbuilder и сгенерируй скрипт, после чего можешь его сам проверить или выслать мне по почте.

> Да я бы юзал этот софт, но теперь стремаюсь его трогать, нервы понимаешь не железные, каждый раз восстанавливать систему, пусть и из резервки.
Не стоит волноваться, лучше давай выясним, что было в прошлый раз, чтобы ни ты, ни кто то еще в новых версиях не попадали в такую ситуацию.

> Вот ща решил заценить kmyfirewall
KMyFirewall и Firewall Builder продукты разного класса, первый нацелен на домашних пользователей, второй - хотя бы на среднюю компанию у которой имеется несколько межсетевых экранов.

2MoS:
> программа не в состоянии
Поработайте с программой, получаются очень много голословных утверждений. Программу вы не видели и не знаете.

> Что Вы предлагаете там настраивать?Встроенный фаервалл? Или что-то другое?
Прочтите внимательно заголовок новости, там все написано, в т.ч. поддерживаемые для настройки типы межсетевых экранов. Под Windows идет GUI для создания и установки скриптов на те экраны.

2fagot:
> >И реально даже не знаю кому понадобится?
> Людям, которые не хотят изучать правила iptables. И таких имеется в количестве, и им она нужна.
Я, например, правила изучал и хорошо их знаю. Когда у тебя несколько экранов, создавать для каждого скрипт настоящая морока, особенно если нужно дать доступ к одному узлу через несколько экранов, всего в голове не удержишь. Придется или с распечатками скриптов сидеть и смотреть с одного листа на другой, третий ... или использовать такую программу :) Да и потом у меня столько заказчиков, когда задают вопрос, приходится искать скрипт на диске, потом искать в нем что то не всегда очевидное ... а так запустил fwbuilder выбрал заказчика и межсетевой экран и всё :)

2x97Rang:
> предпочитаю обычный скрипт на bash
Мне кажется, что когда вы будете управлять несколькими экранами, то думать так перестанете :) а для одного-двух компьютеров согласен, можно и вручную набить скрипты :)

а зачем экранами управлять ? у меня в сети 6 серверов, на каждом сервере стоит экран, написал скрипт для каждого и все, службы добавляются редко, порты разрешил нужные - остальное все закрыл, для роутеров отладил форвард. Или существуют ситуации когда надо часто и в короткое время менять конфигурации экранов ?

> Или существуют ситуации когда надо часто и в короткое время менять конфигурации экранов ?

Конечно такие ситуации существуют! Когда у тебя появляются больше десятка фаэрволов, то гемор который ты получаешь при КАЖДОМ вмешательстве в оные просто непересказать цензурными словами! Эти огромные простыни! А когда еще на этих фаэрволах интерфейсов так по двадцать(на vlan'ы), это просто виселица.

Завтра обязательно посмотрю что эта софтина умеет в реальности, ибо похожий функционал давно ищу.

Если заметите проблемы и недостатки - сообщите, я работаю с автором программы, в принципе новые возможности добавляются по требованию не сразу, но если это нужно, то добавят.

Ошибки исправляются быстро, уже в 2.0.5 две сборки вышло, не без непосредственного моего участия. В 2.0.x версии перешли с GTK-- на QT, 2.0.х стабильна, бОльшая часть ошибок некритичные и не затрагивает генерацию скриптов, скорее ошибки в интерфейсе.

По переводу тоже пишите, но в новой версии 2.0.5 добавятся мои исправления для перевода, в сборках их пока нет.

Свежие сборки программы тут: http://www.fwbuilder.org/nightly_builds/

Экранами нужно управлять, чтобы безопасность была адаптивной, иначе с нашими темпами развития ИТ безопасности не будет (это требование ISO-17799).

Я уже писал по этому поводу, но повторюсь.

У fwbuilder есть (пока что) только два ограничения:
1. Правила для интерфейсов (-i и -o для iptables) добавляются самыми первыми в списке.
2. Нельзя создать глобальную политику для самого экрана без перечисления всех его IP адресов (то есть, если есть правило с участием МЭ, то он сделает из него несколько строчек a la -A INPUT -d FWIP1, -A INPUT -d FWIP2 и.т.д.). Однако для интерфейса такое правило можно сделать (-A INPUT -o lo без перечисления IP-адресов). В остальном - гибче не видел, все эти GuardDog и пр. как небо и земля по сравнению с fwbuilder. Сравнивал года два назад, сейчас слежу за этим (по работе нужно).

В остальном в нём вы сможете создать политику 1:1 созданной руками. В версии 1.0.9 (старая, да) нет ограничения N2. Сейчас ведем разговор от своей компании (мы распространяем его в РФ), чтобы убрали ограничение N2 в новых версиях, так как они не позволяют фильтровать multicast и broadcast пакеты через -m pkttype (автор обещал это убрать в 2.0.5).

Для vlan1 ... vlan20 интерфейсов есть понятие wildcard interface (создаете его как vlan*), это сразу, чтобы не было проблем. Обычно для всех экранов (но не правил) "Assume firewall as part of any" я не использую.

> И реально даже не знаю кому понадобится?

Тому, кому надо настроить некоторое количество однотипных файрволов в разных системах. Мне уже интересно. Правда, надо сделать библиотеки для тех железок, которых нет (черт, ни одной нет...). Интересно, на сколько сложно/просто они делаются ?...

Начал разбираться - довольно интересно. Правда у меня Debian Testing, там только 2.03, но это проапдейтят.

Из неудобств которое сразу бросается в глаза - при указании адреса, с которого всегда должнен быть доступ на локальный SSH нельзя указать на каком порту этот SSH отвечает. У меня, например, очень мало хостов, где SSH отвечает на 22-м, в основном все на гораздо более высоких чем 1024.

Народ, а есть ли для линукса фаевольная софтина, позволяющая интерактивно создавать цепочки.
Как было в виндовозном AtGuard.
Т.е. лезет наружу/иль наооборот кто, выскакивает окошко, а ты уже решаешь, разрешить или нет.
Удобно. Видишь сразу же проблему(не копаясь в логах).

> Как было в виндовозном AtGuard.
Вроде KMyFirewall или GuardDog умел это штатно.

Решить проблему с вашим SSH можно в 2.0.4 (там есть возможность добавлять в скрипт пролог- и эпилог-скрипты).

>Вроде KMyFirewall или GuardDog

Что за звери? Платные?

Google ещё не прикрыли: http://kmyfirewall.sourceforge.net/ http://www.simonzone.com/software/guarddog/

>Google ещё не прикрыли: http://kmyfirewall.sourceforge.net/
>http://www.simonzone.com/software/guarddog/

Это не совсем то что я хотел.
Речь шла о том чтобы налету создавать новые цепочки или оперативно реагировать на необычные соединения(запретить, разрешить, создать новые цепочки).
guarddog,kmyfirewall как я понял это гуевые надстройки для создания скриптов для iptables.

В iptabls есть connection tracking , но я не смотрел еще как это работает. Не думаю,ч то у гуевых тулзовин есть более тесный контакт с iptables.

Да, я тоже уже посмотрел, вижу, что ошибся. Но такой GUI точно был (проблема в том, что когда я нашел fwbuilder, я потер все остальные GUI, которые тестровал, включая этот, со всплывающими окошками). Я помню точно одно - тот GUI, который работал как AtGuard был написан под GNOME или KDE (GTK или QT).

> Я помню точно одно - тот GUI, который работал как AtGuard был >написан под GNOME или KDE (GTK или QT).

если найдешь, - замыль мне урлик-название. ig_l@mail.ru