Come gestisci la tua configurazione di iptables Linux su una macchina che funge da router?


8

Ho un paio di macchine Linux che fungono da router / firewall per le mie reti e ho uno script che esegue tutti i comandi iptables per impostare le mie regole. Questo mi sembra un modo davvero sciocco per farlo.

Come fai a fare questo? Esiste un programma con file di configurazione che è un po 'più facile da gestire? Ha una GUI o un'interfaccia web?

Risposte:


6

Uso firehol combinato con un'interfaccia web che ho sviluppato per gestire il file di configurazione.

Mi piace molto firehol, fornisce una sintassi più semplice quindi usa direttamente iptables.

  • È possibile utilizzare il comando debug di firehol esattamente per quali comandi iptables vengono generati
  • Se si verifica un errore nella configurazione e si avvia il firewall, firehol rileva l'errore e torna allo stato precedente.
  • Firehol ha un comando 'prova' che puoi usare per avviare il firewall da remoto, se le tue modifiche uccidono la tua connessione, firehol tornerà allo stato precedente, se non hai ucciso la tua connessione ti chiederà di confermare la modifica.
  • Firehol ha una vasta gamma di servizi predefiniti, quindi non devi ricordare esattamente quali porte devi avere quali porte aprire per un protocollo oscuro.

4

Per RedHat e i relativi sistemi operativi (e forse per altri), è possibile utilizzare lo script per creare il firewall e quindi service iptables ...gestirlo da lì. Questo è ciò che faccio. Quando cambio la mia configurazione di iptables, utilizzo uno script. Quindi lo salvo con

service iptables save

A questo punto, la macchina ora presenterà sempre le nuove regole. Puoi scaricare una breve versione delle tue regole attuali con

service iptables status

4

Abbiamo usato shorewall - "iptables made easy". Una GUI è disponibile tramite Webmin 1.060 e versioni successive

Shoreline Firewall, più comunemente noto come "Shorewall", è uno strumento di alto livello per la configurazione di Netfilter. Descrivi i requisiti del tuo firewall / gateway utilizzando le voci in un set di file di configurazione. Shorewall legge i file di configurazione e con l'aiuto delle utility iptables, iptables-restore, ip e tc, Shorewall configura Netfilter e il sottosistema di rete Linux in base alle proprie esigenze. Shorewall può essere utilizzato su un sistema firewall dedicato, un gateway / router / server multifunzione o su un sistema GNU / Linux autonomo.


3

Ho usato Firewall Builder e mi piace molto - è un programma GUI progettato per gestire le configurazioni del firewall, principalmente su host remoti che potrebbero essere server, router, qualunque cosa. L'interfaccia sembra inizialmente un po 'intimidatoria, ma nella mia esperienza, vale la pena un paio d'ore o così ci vuole per capirlo. (E a quanto pare hanno appena rilasciato la versione 3 dall'ultima volta che ho controllato, quindi molto probabilmente la GUI è diventata più intuitiva)


Questo è ora un servizio di abbandono: il sito Web non funziona più e l'ultima data sulla riga del copyright nella parte inferiore di fwbuilder.sourceforge.net è il 2012.
Marksp

2

Non riesco a vedere nulla di sbagliato nel tuo metodo, supponendo che ogni macchina abbia regole diverse.

Il modo in cui normalmente installo le regole del firewall è inserendole normalmente nella riga di comando e quindi eseguendo iptables-save > /etc/iptables_rules, inserirò quindi quanto segue in /etc/network/if-pre-up.d/iptablesmodo che quando l'interfaccia di rete si avvia le regole vengono importate automaticamente.

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules

2

Faccio esattamente quello che hai descritto, tranne la separazione delle regole in diversi sotto-file (private, dmz, vpn) e l'impostazione di un file di variabili per rendere le regole più leggibili.


2

Puoi usare pfSense invece per il tuo router, ha molte caratteristiche :

  • Firewall
  • Network Address Translation (NAT)
  • Ridondanza
  • Reporting e monitoraggio del bilanciamento del carico
  • Grafici RRD

    I grafici RRD in pfSense mantengono le informazioni storiche su quanto segue.

    • Utilizzo della CPU
    • Throughput totale
    • Stati del firewall
    • Throughput individuale per tutte le interfacce
    • Pacchetti di pacchetti al secondo per tutte le interfacce
    • Tempi di risposta del ping dei gateway dell'interfaccia WAN
    • Code di shaper del traffico su sistemi con abilitazione del traffic shaping
  • VPN
    • IPsec
    • PPTP
    • OpenVPN
  • DNS dinamico

    Attraverso:

    • DynDNS
    • DHS
    • DYNS
    • EasyDNS
    • No-IP
    • ODS.org
    • ZoneEdit
  • Portale prigioniero
  • Server DHCP e relè

Ha una configurazione basata sul Web piacevole e facile da usare, basta guardare le schermate .

La cosa migliore è che puoi costruirlo tu stesso con l'hardware delle materie prime ed è Open Source .

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.