Вопрос: Как управлять iptables для многих серверов?


Я новичок в управлении сервером Linux.

У нас есть много выделенных серверов в разных регионах. Некоторые из них обслуживают mysql и позволяют получать доступ друг к другу.

Я могу изменить конфигурацию iptables, чтобы добавить правило, принимающее запросы порта 3306 с какого-то сервера в iptables. Есть ли другой способ эффективно управлять многими iptables?


5
2018-04-21 15:29


Источник




Ответы:


Проверять, выписываться Создатель брандмауэра или вы также можете использовать кукольный iptables модуль,

Firewall Builder поддерживает настройку и управление политикой брандмауэра на основе графического интерфейса на следующих брандмауэрах:

  • Linux iptables - ядра 2.4 и 2.6
  • Списки управления доступом к маршрутизатору Cisco (ACL)
  • Cisco ASA / PIX
  • Сервисный модуль брандмауэра Cisco (FWSM)
  • OpenBSD pf
  • FreeBSD ipfw и ipfilter
  • HP ProCurve ACL

5
2018-04-21 16:01





Используйте кукольный шеф-повар или cfengine для распространения правил и перезапуска iptables.


3
2018-04-21 15:57





Я использую Shorewall и Shorewall-lite. На главном сервере у меня есть следующее соглашение:

  • / etc / shorewall - настройка брандмауэра для сервера
  • / etc / shorewall / common - общие файлы, такие как стандартные определения зон, политики, макросы и т. д.
  • / etc / shorewall / hostname - определение для каждого хоста.

Использование общего каталога позволяет избежать повторения определений для каждого сервера. В файле конфигурации есть переменная пути, которая может использоваться для указания списка каталогов, содержащих общие файлы. Если у вас много серверов с одним и тем же набором правил, вы можете разместить правила в common каталог или другой общий каталог для этого класса серверов.

я использую make для создания сценариев брандмауэра firewall а также firewall.conf, Затем они распределяются и выполняются с использованием ssh,

Я пробовал некоторые из графических сборщиков брандмауэров, но найти shorewall с его конфигурационными файлами легче работать и проверять. Я сохраняю весь каталог конфигурации в git чтобы я мог легко проверить изменения перед реализацией.


2
2018-04-21 18:15





Для шеф-повара на Ubuntu вы можете использовать Поваренная книга UFW,

Остерегайтесь: UFW не работает на Open VZ без много изменений,


1
2018-06-29 15:15





Я столкнулся с той же проблемой удаленного администрирования iptables на многих серверах. Поскольку не было удовлетворительного решения, мы разработали RFW

С помощью rfw (удаленный брандмауэр) вы можете добавлять и удалять правила iptables на многих серверах из одной точки управления с помощью любого HTTP-клиента через REST API.

См. rfw учебник

Проект является открытым исходным кодом и выпущен под лицензией MIT.


1
2018-03-29 16:10