Palomuuri Builder on monen alustan palomuurinmääritysongelma ja hallintajärjestelmä. Se koostuu GUI ja asettaa politiikan kääntäjiä eri palomuuri alustoille.
Palomuuri Builder auttaa käyttäjiä ylläpitää tietokantaa esineitä ja mahdollistaa politiikan editointia yksinkertaisesti vetämällä ja pudottamalla.
GUI ja politiikka kääntäjät ovat täysin riippumattomia, tämä määrätään johdonmukaisen teoreettisen ja sama GUI eri palomuuri alustoille. Se tukee tällä hetkellä iptables, ipfilter, ipfw, OpenBSD laituri ja Cisco PIX.
Mitä uutta strong> tässä julkaisussa:
- GUI Päivitykset:
- siirretty "erän asentaa" -painiketta asentimeen ohjatun ikkunan jossa käyttäjä syöttää salasanan. Nyt käyttäjä voi käynnistää ei-erän asentaa tilaan, mutta jatkaa erän asentaa tilassa milloin tahansa, jos kaikki palomuurit todentaa samaa käyttäjätunnusta ja salasanaa.
- katso # 2628 kiinteä kaatuminen tapahtui jos käyttäjä luo uuden palomuurin objektin mallin ja muutti yksi IP-osoitteita, kun taas toinen palomuuri objekti luodaan samaan malliin oli jo puussa.
- katso # 2635 Kohdetyyppi AttachedNetworks ei ole sallittu "käyttöliittymä" sääntö elementti.
- avattavasta luettelosta rajapinnat "reitti läpi" sääntö vaihtoehto PF ja iptables ei tulisi sisältää ainoastaan klusterin rajapinnat, mutta myös rajapinnat kaikille jäsenille. Näin voimme tehdä kääntäjä tuottaa kokoonpano "kulkea vikkelä em0 reitti-to {(em0 10.1.1.2)} ..." varten sääntö PF klusterin. Täällä "em0" on käyttöliittymä jäsen, ei klusterin.
- korjaa # 2642 "GUI kaatuu jos käyttäjä peruu newFirewall dialogi".
- korjaa # 2641 "newFirewall dialogi ei hyväksy IPv6 osoitteet pitkä etuliitteitä". Dialogi ei salli IPv6 osoitteet inetrfaces kanssa verkkopeite- & gt; 64 bittinen.
- korjaa # 2643 "GUI kaatuu, kun käyttäjä pääsee sääntö, sitten oikealla hiiren napsautuksella sääntöä elementti toisen"
- lisätään Varmista vielä käyttäjä ei kirjoita verkon peitosta nollia keskellä IPv4 verkon esine. Netmasks kuin että ei tue fwbuilder.
- korjaa # 2648 "oikealla hiiren napsautuksella palomuuri objektia" Poistetut esineet "kirjasto saa GUI kaatua"
- korjaa SF bug 3388055 lisääminen "DNS-nimi", jossa ylimääräinen välilyönti aiheuttaa epäonnistumisen.
- korjaa SF bug 3302121 "kosmeettinen mis-muodossa FWB Linux polkuja dialogi"
- korjaa SF bug 3247094 "nimikkeistöön IP-osoite muokkausikkunassa". Verkko IPv6 dialogi sanoo "etuliite pituus".
- katso # 2654 korjauksia GUI kaatuminen tapahtui jos käyttäjä kopioitu säännön tiedosto tiedostoon B, sitten suljettu tiedosto B, avatun tiedoston C ja yritti kopioida saman säännön C "
- katso # 2655 Interface nimet eivät saa olla viiva "-" vaikka käyttöliittymä todentaminen pois. Meidän pitäisi sallia "-" käyttöliittymän nimi Cisco IOS
- katso # 2657 SNMP löytö kaatui jos vaihtoehto "Confine Skannaus verkkoon" käytettiin.
- korjaa # 2658 "SNMP löytö luo samaa osoitetta ja verkon objekteja"
- mahdollistaa fwbuilder hyödyntää GSSAPIAuthentication OpenSSH käyttäen ehdotus Matthias Witte witte@netzquadrat.de
- Kiinteä vika (ei numero): jos tiedostonimi käyttäjä merkitty "Output file name" kenttään "lisäasetukset" dialogi palomuurin esineen päättyi valkoinen tila, politiikka asentaja epäonnistui virheen "Ei tällaista tiedosto tai hakemisto "
- kiinteä SF bug # 3433587 "Manual muokkaa uuden palvelun Destination Port END arvo epäonnistuu". Tämä vika oli mahdotonta muokata arvoa lopussa porttialuetta koska heti kun arvo tuli vähemmän kuin arvo alun välillä, GUI olisi palauttaa sen olevan sama arvo alussa alue . Tämä vaikutti sekä TCP ja UDP Palveluobjekti dialogit.
- korjauksia # 2665 "Tekstin lisääminen kommentoida syitä -sääntö mennä 2 krs 1 krs". Tietyissä olosuhteissa, editointi sääntö kommentti aiheutti GUI romahtaa vastaava rivi sääntöä mieltä niin, että vain ensimmäinen kohde jokaisen säännön elementti, joka sisälsi useita esineitä näkyi.
- korjaa # 2669 "Cant tarkastaa custom Service esinettä Standard esineet kirjasto".
- Muutokset politiikan maahantuoja Tuettujen alustojen
- Muutokset, jotka vaikuttavat tuontiin PIX kokoonpanoissa:
- muuttunut token nimi "ESP" ja "ESP_WORD" välttää ristiriidassa makrotason "ESP", joka tapahtui aikana rakentaa OpenSolaris
- katso # 2662 "Crash laatiessaan ASA sääntö IP-alue". Tarve jakaa osoitealueelta jos sitä käytetään "lähteenä" sääntö, joka ohjaa telnet, ssh tai http palomuurin itse ja palomuuri versio on & gt; = 8,3. Käskyt "ssh", "telnet" ja "http" (jotka hallitsevat yhteyttä vastaavaan pöytäkirjojen palomuurin) hyväksyvät ainoastaan IP-osoite isäntä tai verkkoon kuin argumentti. He eivät hyväksy osoitealueelta, nimeltään esine tai esine ryhmä. Tämä on niin ainakin ASA 8.3. Koska me laajentaa osoite vaihtelee vain versioita & lt; 8.3 ja käyttö nimetty objekti 8.3 ja myöhemmin meidän täytyy tehdä tämä ylimääräinen tarkastus ja silti laajentaa osoite valikoimat sääntöjä, jotka myöhemmin muuntaa "ssh", "telnet" tai "http" komento. Compiler edelleen tuottaa tarpeeton esine-ryhmän lausuman CIDR korttelin syntyvät osoitealueella mutta ei käytä tätä ryhmää sääntö. Tämä ei rikkoudu luotu kokoonpano mutta kohde-ryhmä on tarpeeton, koska se ei ole koskaan käytetty. Tämä korjataan tulevissa versioissa.
- korjaa # 2668 Poista "staattiset reitit" päässä selitys tekstin ASA / PIX tuonti-ikkunan. Emme voi tuoda PIX / ASA reititystä tällä hetkellä.
- korjaa # 2677 Policy maahantuojalta PIX / ASA ei voitu jäsentää komento "NAT (sisäpuolella) 1 0 0"
- korjaa # 2679 Policy maahantuojalta PIX / ASA voinut tuoda "NAT vapautus" sääntö (esimerkiksi: "NAT (sisällä) 0 pääsy-lista vapautettava")
- korjaa # 2678 Policy maahantuojalta PIX / ASA voinut jäsentää kans komennon parametri "ulkopuolelta"
- muutoksia ja parannuksia API-kirjastoon libfwbuilder:
- toiminto InetAddr :: isValidV4Netmask () tarkistaa, että Netmask edustaa kohde koostuu sekvenssin "1" bittiä, jonka jälkeen sekvenssi "0" bittiä ja siksi ei ole nollia keskellä.
- kiinteä bug # 2670. Per RFC3021 verkon verkkopeite- / 31 ei ole verkkoa ja suora lähetys osoitteita. Kun käyttöliittymä palomuuri on määritetty verkkopeite- / 31, politiikan laatijoille ei pitäisi kohdella toista osoite tämän "aliverkko" kuin lähetys.
- Muutokset tukea iptables:
- katso # 2639 "tuki VLAN subinterfaces sillan rajapinnat (esim br0.5)". Tällä hetkellä fwbuilder voi luoda käsikirjoituksen määrittää VLAN subinterfaces silta liitäntöjen, mutta jos käyttäjä ei ole pyytänyt tämän kokoonpanon script syntyy, kääntäjä ei pitäisi keskeyttää, kun se kohtaa tätä yhdistelmää.
- korjaa # 2650 "sääntöjä osoite valikoima, joka sisältää palomuurin osoite Src sijoitetaan OUTPUT ketju vaikka osoitteita, jotka eivät vastaa palomuurin pitäisi mennä eteenpäin"
- korjaa SF bug # 3414382 "segfault vuonna fwb_ipt tekemisissä tyhjä ryhmät". Compiler iptablesin käytetään kaatuvan, kun tyhjä ryhmä käytettiin "Interface" sarakkeessa politiikan sääntö.
- katso SF bug # 3416900 "Korvaa` command` kanssa `which`". Luotu script (Linux / iptables) oli tapana käyttää "komento -v" tarkistaa, jos komentorivityökaluista se tarvitsee ovat läsnä järjestelmässä. Tätä käytettiin löytää iptables, lsmod, modprobe, ifconfig, vconfigin, metsuri ja muut. Jotkut sulautettujen Linux-jakelut, varsinkin TomatoUSB, tule ilman tukea "komento". Vaihtaminen "joka", joka on enemmän ubuquitous ja pitäisi olla saatavilla melko paljon kaikkialla.
- kiinteä # 2663 "sääntö" vanha lähetys "objekti tuloksia kelpaa iptables INPUT ketju". Compilerilla valitsemalla ketju sisääntuloa suuntaan "ulospäin" sääntöjä, jotka oli vanha broadcast-osoite "Lähde", tämä johtaa virheellisiin iptables kokoonpano ketju INPUT ja "-o eth0" käyttöliittymä ottelu lauseke.
- kiinteä bugi sääntöprosessori joka korvaa AddressRange esine, joka edustaa yhden osoitteen IPv4 esine. Myös eliminoitu koodi irtisanomisia.
- korjaa # 2664 Update virheilmoituksen "joka" komento epäonnistuu. Luotu iptables skripti käyttää ", joka" tarkistaa, jos kaikki apuohjelmat se käyttää olemassa koneen. Meidän pitäisi myös tarkistaa, jos "joka" oli olemassa ja antaa mielekästä virheilmoitusta ei.
- SF bug # 3439613. physdev moduuli ei salli --physdev-out ei-sillattu liikenne enää. Meidän pitäisi lisätä --physdev-on-sillattu varmistaa tämän ottelut vain sillattu paketteja. Myös lisäämällä "-i" / "-o" lauseke vastaamaan vanhemman sillan liitäntä. Näin voimme oikein vastaamaan minkä sillan paketti tulee läpi kokoonpanoissa käyttäen jokerina sillan sataman vuorovaikutusta. Esimerkiksi kun br0 ja LT 1 on "Vnet +" silta sataman vuorovaikutuksella, iptables voi silti oikein täsmää minkä sillan paketti meni läpi käyttäen "-o br0" tai "-o BR1" lauseke. Tämä voi olla hyödyllistä laitoksissa monia sillattu rajapintoja, jotka saavat syntyy ja häviää dynaamisesti, esimerkiksi virtuaalikoneita. Huomaa, että "-i br0" / "-o br0" lauseke lisätään ainoastaan silloin, kun on enemmän kuin yksi silta käyttöliittymä ja silta portin nimi päättyy villin kortin symboli "+"
- kiinteä SF bug # 3443609 paluu ID: 3059893 ": iptables" --set "vaihtoehto hylätty". Tarve käyttää --match asettaa sijasta --set jos iptables versio on & gt; = 1.4.4. Fix tehty # 3059893 Vasta politiikan kääntäjä vaan on tehtävä sekä politiikan ja nat kerääjiä.
- Muutokset tukea PF (FreeBSD, OpenBSD):
- katso # 2636 "karppi: Väärä lähtö rc.conf.local muodossa". Pitäisikö käyttää create_args_carp0 sijaan ifconfig_carp0 perustaa karppia käyttöliittymä vhid, välittää ja adskew parametreja.
- katso # 2638 "Kun karppia salasana on tyhjä advskew arvoa ei lue". Pitäisikö skip "pass" parametri ifconfig komento, joka luo karppi käyttöliittymä, jos käyttäjä ei ole asettanut salasanaa.
- kiinteä SF bug # 3429377 "PF: IPv6 sääntöjä ei lisätä IPv4 / IPv6 Sääntöjoukoilla (ankkuri)". Compiler PF ei inlcude sääntöjä luotu IPv6 syntyy PF ankkuri asetustiedostoja.
- kiinteä SF bug 3428992: "PF: rules jotta ongelma IPv4 ja IPv6". Compiler PF pitäisi ryhmän IPv4 ja IPv6 NAT säännöt yhdessä, ennen kuin se tuottaa IPv4 ja IPv6 politiikan sääntöjä.
- Useita korjauksia algoritmeja käytetään käsittelemään sääntöjä, kun vaihtoehto "säilyttää ryhmä ja osoitteet pöytä esine nimiä" on voimassa
- korjaa # 2674 NAT kääntäjä PF kaatui kun AttachedNetworks esine käytettiin Käännetty lähde NAT sääntö.
- Muutokset tukea Cisco IOS ACL:
- korjaa # 2660 "kääntäjä IOSACL kaatui kun osoitealueelta näkyy sääntö ja olio-ryhmä on käytössä"
- kiinteä SF bug 3435004: "Tyhjät rivit kommentoida tulos" Keskeneräinen Command "IOS".
- Muutokset tukea ipfw:
- kiinteä SF bug # 3426843 "ipfw ei toimi itsestään viitelausuntoina 5.0.0.3568 versio".
- Muutokset tuki Cisco ASA (PIX, FWSM):
- katso # 2656 "tuotti Cisco ASA pääsy-lista on päällekkäinen merkintä". Tietyissä olosuhteissa politiikan kääntäjän fwb_pix syntyy päällekkäistä pääsy-lista linjat.
- Muut muutokset:
- katso # 2646 ja SF bug 3395658: Lisätty muutama IPv4 ja IPv6-verkon objekteja vakioesineiden kirjasto: TEST-NET-2, TEST-NET-3 (RFC 5735, RFC 5737), käännetty-IPv4 kartoitettu-IPv4 , Teredo, ainutlaatuinen paikallisesti ja muutama muu.
Mitä uutta strong> versiossa 5.0.0:
- Tämä versio sisältää useita GUI parannuksia ja parannettu tuki suurille kokoonpanoissa uusia ominaisuuksia, kuten käyttäjän määrittämiä alikansioita, avainsanat koodaus esineitä, dynaaminen ryhmät älykkäillä ja suodattimia.
- Muita uusia ominaisuuksia ovat tuki tuontia PF asetustiedostoja ja uuden objektin tyyppi nimeltään Attached Networks, joka edustaa luettelon verkkoja verkkoliitäntä.
Mitä uutta strong> versiossa 4.2.1:
- V4.2.1 on pieni bugi-fix julkaisu, se korjaa asioita sisäänrakennettu politiikan asentaja eräajotilassa, SNMP löytö velho ja muutamia muita bugeja GUI.
Mitä uutta strong> versiossa 4.2.0:
- Tämä julkaisu parantaa merkittävästi tuontia nykyisten palomuurikokoonpanoissa esittelee suport tuontia varten Cisco ASA / PIX / FWSM kokoonpano ja de-päällekkäisyyksiä tuotujen esineiden kaikille alustoille. Tämä julkaisu lisää myös tuen kokoonpanon sillan ja VLAN rajapinnat ja staattiset reitit FreeBSD ja mahdollistaa tuottaa kokoonpano muodossa rc.conf tiedostoja. Fwbuilder tukee nyt uusimpia versioita Cisco ASA ohjelmisto mukaan lukien uuden komennon syntaksi kans komentoja ASA 8.3.
Mitä uutta strong> versiossa 4.1.3:
- Tämä julkaisu sisältää useita käytettävyyden parannuksia ja korjauksia. Käytettävyys parannuksia ovat lisäämällä Advanced User -tilassa, mikä vähentää määrää työkaluvihjeet tehokäyttäjille ja lisäämällä uuden politiikan sääntö valintaruutu määrittää, uudet säännöt ovat kirjaamistoiminto käytössä tai poissa käytöstä oletuksena. Kriittinen korjauksia ovat parempi tuki Windows järjestelmissä, jotka käyttävät Putty istuntoja, tukea konfigurointi IP broadcast-osoitteet rajapinnoista ja useita korjauksia koskevat klusterin kokoonpanoissa. Ryväskokoonpanoon korjaukset ovat lisäämällä tuki tuontia aluevaltaus sääntöjä klusterin luodaan ja tuetaan tuottaa NAT sääntöjä, jotka edellyttävät iptables REDIRECT tavoite.
Mitä uutta strong> versiossa 4.1.2:
- Ota työkaluvihjeissä oletuksena ja lisätä työkalu vinkkejä
- Yksinkertaista käyttöliittymä kokoonpano uusi esine ohjattuja Uusi palomuuri ja uusi isäntä
- Automaattisesti auki palomuurin politiikan esine kun uusi palomuuri objekteja luodaan
- Muita navigointilaitteiden ja apua jouset
- Kiinteät asentajan ongelma Windows-käyttäjille, jotka käyttävät Putty istunnot
- Korjaa ongelma (SF 307732), jossa jokerina rajapinnat eivät vastinetta PREROUTING sääntö
- Kiinteät liikkeeseen (SF 3049665), jossa palomuuri Rakentaja ei tuottanut asianmukaista tietoa tiedostotunnisteet
Mitä uutta strong> versiossa 4.1.1:
- v4.1.1 sisältää korjauksia useita pieniä vikoja ja on ensimmäinen julkaisu tukee virallisesti HP ProCurve ACL kokoonpano. Kiitos antelias lahjoitus useita kytkimiä HP pystyimme testaamaan ja viimeistelemään ProCurve tukea. Tämä julkaisu korjaa myös kriittinen bugi V4.1.0 liittyvät Cisco IOS ACL kokoonpanoissa. Jotkut kokoonpanot aiheuttaisi Palomuuri Builder väärin tuottaa ja virhe viesti "Etkö löydä rajapinta verkon vyöhyke, joka sisältää osoite ABCD".
Mitä uutta strong> versiossa 4.0.0:
- Usean kuukauden beta-testaus, tämä on vakaa tuotannon valmis julkaisu.
Mitä uutta strong> versiossa 3.0.6:
- Tämä on bugi-fix julkaisu, se tulee parannuksia GUI korjata ongelmia painamiseen suurten sääntöjoukot ja ylimääräisiä optimointi syntyy iptables ja PF kokoonpanoissa.
Kommentteja ei löytynyt