В настоящее время мы используем несколько маршрутизаторов Linux, и в настоящее время некоторые сотрудники имеют тенденцию переходить на серверы и изменять правила маршрутизации, когда это необходимо, и аудит становится невероятно утомительным.
Все остальные конфигурации серверов мы храним в репозитории git и переходим на использование марионеток. Однако я не смог понять, как управлять конфигурацией iproute2, поскольку все изменения выполняются в реальном времени.
Это был аналогичный вопрос для маршрутизаторов cisco: Управление и аудит существующих правил контроля доступа и маршрутизации межсетевого экрана Cisco. Интересно, можно ли что-то подобное сделать в linux iproute2?
Вместо того, чтобы вносить изменения вживую, вы можете создавать сценарии, которые удаляют все текущие таблицы маршрутизации и создают новые свежие таблицы в соответствии с требованиями. Этот сценарий также можно добавить при запуске системы. Поддержка этого скрипта с использованием какой-либо системы контроля версий должна решить проблему.
Хотя вы можете использовать синтаксис iptables- {save, restore}, он не будет хорошо различаться.
Вам нужен язык для создания правил.
Я доволен Shorewall, но поскольку вы привыкли к команде iptables, для вашего варианта использования больше подойдет ferm. ферма это синтаксический сахар, который добавляет вложенность в правила iptables.