Назад | Перейти на главную страницу

Как управлять iptables для многих серверов?

Я новичок в управлении Linux-сервером.

У нас много выделенных серверов в разных регионах. Некоторые из них обслуживают mysql и разрешают доступ друг к другу.

Я могу изменить конфигурацию iptables, чтобы добавить правило, принимающее запросы порта 3306 от некоторого сервера в iptables самостоятельно. Есть ли другой способ эффективно управлять множеством iptables?

Проверять, выписываться Конструктор межсетевого экрана или вы также можете использовать марионеточный модуль iptables.

Firewall Builder поддерживает настройку и управление политикой межсетевого экрана на основе графического интерфейса на следующих межсетевых экранах:

  • Linux iptables - ядра 2.4 и 2.6
  • Списки управления доступом маршрутизатора Cisco (ACL)
  • Cisco ASA / PIX
  • Сервисный модуль межсетевого экрана Cisco (FWSM)
  • OpenBSD pf
  • FreeBSD ipfw и ipfilter
  • HP ProCurve ACL

Используйте puppet chef или cfengine для распространения правил и перезапуска iptables.

Я использую Shorewall и Shorewall-lite. На главном сервере у меня такое расположение:

  • / etc / shorewall - конфигурация межсетевого экрана для сервера
  • / etc / shorewall / common - общие файлы, такие как стандартные определения зон, политики, макросы и т. д.
  • / etc / shorewall / hostname - определение для каждого хоста.

Использование общего каталога позволяет мне избежать повторения определений для каждого сервера. В файле конфигурации есть переменная пути, которая может использоваться для указания списка каталогов, содержащих общие файлы. Если у вас много серверов с одним и тем же набором правил, вы можете поместить правила в common каталог или другой общий каталог для этого класса серверов.

я использую make для создания скриптов межсетевого экрана firewall и firewall.conf. Затем они распределяются и выполняются с использованием ssh.

Я пробовал использовать некоторые графические конструкторы брандмауэра, но обнаружил, что shorewall с его файлами конфигурации легче работать и проверять. Я храню весь каталог конфигурации в git чтобы я мог легко проверить изменения перед внедрением.

Для шеф-повара в Ubuntu вы можете использовать Поваренная книга UFW.

Осторожно: UFW не работает на Open VZ без много модификаций.

Я столкнулся с той же проблемой удаленного администрирования iptables на многих серверах. Поскольку удовлетворительного решения не существовало, мы разработали rfw

С помощью rfw (удаленного межсетевого экрана) вы можете добавлять и удалять правила iptables на многих серверах из единой точки управления, используя любой HTTP-клиент через REST API.

Увидеть rfw учебник

Проект с открытым исходным кодом и выпущен под лицензией MIT.