Помогите мне лучше автоматизировать изменения наших статических маршрутов

Мне поручили поддерживать и настраивать межсетевой экран и маршрутизаторы шлюзов моей организации, и я ищу советы по управлению статической таблицей маршрутов.

(В качестве контекста, пожалуйста, имейте в виду, что A) я программист, а не системный администратор, B) я новичок в поддержке этой части инфраструктуры, и C) я не заинтересован в защите решения моей компании о размещении я отвечаю за это; Не уверен, что согласен, но это моя работа)

Вот текущая настройка, насколько я могу судить:

• Брандмауэр OpenBSD, который использует pf для правил брандмауэра со значением по умолчанию block in log all, pass out и набор правил, разрешающих трафик между VLAN (я уверен, что здесь я слишком упрощаю, но это основы. Кроме того, я не в центре моего вопроса.
• Перенаправления с внешних IP-адресов на внутренние узлы выполняются с использованием либо rdr pass записи в pf.conf или статические маршруты. Когда я должен использовать тот или иной??

• pf.conf и rc.local управляются в VCS и передаются на брандмауэр удаленным скриптом, который (по сути) делает следующее:

  scp confs / pf.conf fw: /etc/pf.conf scp confs / rc.local fw: /etc/rc.local ssh fw "/ sbin / pfctl -f /etc/pf.conf"

Это отлично работает при изменении правил брандмауэра; они применяются немедленно, но настоящая уловка заключается в статических маршрутах. Они настроены в rc.local как серия route add заявления:

...
route add 192.0.32.136/32 192.0.32.11
route add 192.0.32.137/32 10.10.3.13
...

Проблема здесь в том, что когда я меняю набор маршрутов в VCS, я не могу просто повторно запустить rc.local, чтобы обновить таблицу маршрутизации. Я хотел бы создать сценарий, который я могу сохранить в VCS, который будет запускаться при запуске для настройки статической маршрутизации и будет запускаться при изменении маршрутов, чтобы каждый раз настраивать их одинаково. Это возможно? Если да, то как?