Как вы управляете своей конфигурацией Linux iptables на машине, действующей в качестве маршрутизатора?

8

У меня есть пара машин Linux, которые действуют как маршрутизаторы / брандмауэры для моих сетей, и у меня есть скрипт, который запускает все команды iptables для установки моих правил. Это кажется мне действительно глупым способом сделать это все же.

Как ты это делаешь? Есть ли программа с конфигурационными файлами, которой немного легче управлять? Есть ли у него графический интерфейс или веб-интерфейс?

linux router iptables gateway sjbotha
источник

Ответы:

6

Я использую Firehol в сочетании с веб-интерфейсом, который я разработал для управления файлом конфигурации.

Мне действительно нравится firehol, он обеспечивает более простой синтаксис, чем непосредственное использование iptables.

  • Вы можете использовать команду отладки firehol для точного генерирования команд iptables.
  • Если у вас есть ошибка в вашей конфигурации и вы запускаете брандмауэр, firehol обнаруживает ошибку и возвращается к предыдущему состоянию.
  • Firehol имеет команду «try», которую вы можете использовать для удаленного запуска брандмауэра. Если ваши изменения уничтожат ваше соединение, firehol вернется в предыдущее состояние, если вы не уничтожили ваше соединение, он попросит вас подтвердить изменение.
  • Firehol имеет большой набор предварительно определенных сервисов, поэтому вам не нужно точно помнить, какие порты вам нужны, какие порты открывать для какого-то непонятного протокола.
Zoredache
источник
4

Для RedHat и связанных ОС (и, возможно, для других) вы можете использовать сценарий для создания брандмауэра, а затем service iptables ...обработать его оттуда. Это то, что я делаю. Когда я меняю свою конфигурацию iptables, я использую скрипт. Тогда я сохраняю это с

service iptables save

На данный момент, машина теперь всегда будет придумывать новые правила. Вы можете записать краткую версию ваших текущих правил с

service iptables status
Эдди
источник
4

Мы использовали shorewall - «iptables стало проще». GUI доступен через Webmin 1.060 и выше

Shoreline Firewall, более известный как «Shorewall», является высокоуровневым инструментом для настройки Netfilter. Вы описываете требования к брандмауэру / шлюзу, используя записи в наборе файлов конфигурации. Shorewall считывает эти файлы конфигурации и с помощью утилит iptables, iptables-restore, ip и tc Shorewall настраивает Netfilter и сетевую подсистему Linux в соответствии с вашими требованиями. Shorewall может использоваться в выделенной системе брандмауэра, многофункциональном шлюзе / маршрутизаторе / сервере или в автономной системе GNU / Linux.

гимель
источник
3

Я использовал Firewall Builder, и мне это очень нравится - это программа с графическим интерфейсом, которая предназначена для управления конфигурациями брандмауэра, в первую очередь на удаленных хостах, которые могут быть серверами, маршрутизаторами и так далее. Поначалу интерфейс выглядит немного пугающе, но, по моему опыту, стоит потратить пару часов или около того, чтобы понять это. (И, очевидно, они только недавно выпустили версию 3 с тех пор, как я последний раз проверял, так что вполне возможно, что графический интерфейс стал более интуитивным)

Дэвид З
источник
Это теперь заброшенное ПО - веб-сайт больше не работает, и последняя дата в строке об авторских правах в нижней части fwbuilder.sourceforge.net - 2012.
markshep
2

Я не вижу ничего плохого в вашем методе, при условии, что у каждой машины свои правила.

Обычно я настраиваю правила брандмауэра, вводя их в командной строке и затем запуская их. Затем iptables-save > /etc/iptables_rulesя добавлю следующее, /etc/network/if-pre-up.d/iptablesчтобы при запуске сетевого интерфейса правила автоматически импортировались.

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
Адам Гиббинс
источник
2

Я делаю именно то, что вы описали, за исключением разделения правил на несколько вложенных файлов (private, dmz, vpn) и настройки файла переменных, чтобы сделать правила более читабельными.

казарка
источник
2

Вместо этого вы можете использовать pfSense для своего маршрутизатора, у него много функций :

  • Брандмауэр
  • Трансляция сетевых адресов (NAT)
  • избыточность
  • Отчетность и мониторинг балансировки нагрузки

  • RRD Графики

    Графики RRD в pfSense содержат историческую информацию о следующем.

    • Загрузка процессора
    • Общая пропускная способность
    • Состояния брандмауэра
    • Индивидуальная пропускная способность для всех интерфейсов
    • Скорость пакетов в секунду для всех интерфейсов
    • Время отклика шлюзов интерфейса WAN
    • Очереди формирователя трафика в системах с включенным формированием трафика
  • VPN
    • IPsec
    • PPTP
    • OpenVPN

  • Динамический DNS

    Через:

    • DynDNS
    • DHS
    • DyNS
    • EasyDNS
    • No-IP
    • ODS.org
    • ZoneEdit
  • Пленный портал
  • DHCP-сервер и ретранслятор

Он имеет приятную, простую в использовании веб-конфигурацию, просто посмотрите на снимки экрана .

Лучше всего вы можете создать его самостоятельно с помощью стандартного оборудования, и это с открытым исходным кодом .

Брэд Гилберт
источник