У кого-нибудь есть хорошее решение для проверки iptables, чтобы убедиться, что применяются соответствующие правила (и служба работает)? Я использую Zenoss для мониторинга своего окружения.
Кроме того, некоторые правила в моей цепочке, которые я хочу проверять, блокируют трафик из определенных сетей, и поскольку мой монитор Zenoss находится в доверенной сети, выполнение простого мониторинга портов будет давать ложные срабатывания. В идеале мне нужно решение, которое считывает и интерпретирует процесс iptables, а также дает некоторую гибкость среде, когда точные правила в цепочке могут измениться.
Спасибо
Сделайте скрипт, который сбрасывает правила в файл (iptables -L
или iptables-save
), который затем будет искать соответствующие правила.
Обратите внимание, что вы можете ограничить вывод только одной таблицей. Вы также можете использовать хэш полученного файла для обнаружения отклонений без беспорядочных grep или регулярных выражений.
Сохраните заведомо исправный вывод в качестве файла только для чтения.
Ежедневно запускайте задание cron, чтобы отправлять вам по электронной почте непустую разницу вывода iptables -L и сохраненного вывода.
Я использую Webmin (http://www.webmin.com/) для проверки iptables через графический интерфейс. Вы можете отслеживать довольно много вещей напрямую через webmin, включая то, какие правила в настоящее время применяются в iptables. Кроме того, вы можете относительно легко добавлять новые правила.
Если вы имеете в виду отслеживать, какие порты открыты и закрыты в результате выполнения правил iptables, которые в настоящее время выполняются, вы можете настроить окно Nagios, которое запрашивает определенные порты, чтобы узнать, отвечают ли службы на открытых портах.