У меня есть пара Linux-машин, которые действуют как маршрутизаторы / брандмауэры для моих сетей, и у меня есть сценарий, который запускает все команды iptables для установки моих правил. Хотя мне кажется, что это действительно глупый способ сделать это.
Как ты делаешь это? Есть ли программа с файлами конфигурации, которыми немного легче управлять? У него есть графический или веб-интерфейс?
я использую Firehol в сочетании с веб-интерфейсом, который я разработал для управления файлом конфигурации.
Мне очень нравится firehol, он обеспечивает более простой синтаксис, чем непосредственное использование iptables.
Мы использовали Shorewall - "iptables made easy". Графический интерфейс доступен через Webmin 1.060 и выше
Брандмауэр Shoreline, более известный как Shorewall, представляет собой высокоуровневый инструмент для настройки Netfilter. Вы описываете свои требования к межсетевому экрану / шлюзу, используя записи в наборе файлов конфигурации. Shorewall считывает эти файлы конфигурации и с помощью утилит iptables, iptables-restore, ip и tc Shorewall настраивает Netfilter и сетевую подсистему Linux в соответствии с вашими требованиями. Shorewall можно использовать в выделенной системе межсетевого экрана, многофункциональном шлюзе / маршрутизаторе / сервере или в автономной системе GNU / Linux.
Для RedHat и связанных ОС (и, возможно, для других) вы можете использовать сценарий для создания межсетевого экрана, а затем service iptables ... чтобы справиться с этим оттуда. Вот что я делаю. Когда я меняю конфигурацию iptables, я использую сценарий. Затем я сохраняю это с помощью
service iptables save
На этом этапе машина всегда будет предлагать новые правила. Вы можете сбросить краткую версию ваших текущих правил с помощью
service iptables status
Я использовал Конструктор межсетевого экрана и мне это очень нравится - это программа с графическим интерфейсом, предназначенная для управления конфигурациями брандмауэра, в первую очередь на удаленных хостах, которые могут быть серверами, маршрутизаторами и т. д. Интерфейс сначала выглядит немного устрашающе, но, по моему опыту, на то, чтобы разобраться, стоит пару часов или около того. (И, видимо, они только что выпустили версию 3 с тех пор, как я последний раз проверял, так что, вполне возможно, графический интерфейс стал более интуитивным)
Я не вижу ничего плохого в вашем методе, если предположить, что на каждой машине разные правила.
Я обычно устанавливаю правила брандмауэра, обычно вводя их в командной строке, а затем выполняя iptables-save > /etc/iptables_rules, Я вставлю следующее в /etc/network/if-pre-up.d/iptables поэтому при запуске сетевого интерфейса правила автоматически импортируются.
#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
Я делаю именно то, что вы описали, кроме разделение правил на несколько подфайлов (private, dmz, vpn) и настройку файла переменные чтобы правила были более читабельными.
Вы могли бы использовать pfSense вместо этого для вашего роутера у него много функции:
Графики RRD
Графики RRD в pfSense содержат историческую информацию о следующем.
Динамический DNS
Через:
Лучше всего, что вы можете построить его самостоятельно, используя обычное оборудование, и это Открытый источник.