Se você está, talvez, querendo passar de uma abordagem baseada em regras para uma maneira de "descrever o estado final necessário" de fazer as coisas, dê uma olhada no fwbuilder.
Prós:
- vários firewalls suportados - suas regras baseadas em host + núcleo - de um conjunto de objetos
- SQL-esque "me diga o que você quer" em vez de "me diga como fazer" abordagem (NB não estou dizendo que há qualquer SQL lá! Só que é descritivo Vs procedural: -)
- É uma GUI, como um hardware comercial de interfaces de fornecedores, por isso é possível empurrar algumas tarefas para baixo da pilha de funcionários / habilidades
- suporta a maioria dos usos "estranhos" que já experimentei
- pode gerar regras para uma variedade de implementações de f / w - BSD / cicso / iptables / etc
- separa o front-end do compilador de regras, o que me deixa esperançoso de que a velocidade seja uma preocupação para os autores. NB eu não tenho nada perto da escala a que você está aludindo
- O formato do arquivo não é binário
- faz o IPv6
- Cria uma configuração de estilo de salvamento do iptables para carregamento rápido e atômico
Contras:
- é uma GUI
- Mover seu conjunto de regras existente é improvável que seja indolor
- Enquanto a GPL e no Debian, os clientes Windows + OSX são de 30 dias eval, já que ninguém compilou uma versão Free ainda para esses SO; daí o braço comercial dos devs tem o monopólio desses binários
- O formato do arquivo é tecnicamente XML; NB não deixe que isso te desencoraje: dê uma olhada nas ferramentas que eles fornecem (você pode usar o binário gui para manipulá-lo via CLI, por exemplo), as ferramentas CLI XML que já existem, e lembre-se que - na sua escala - alguma semelhança de meta-dados + estrutura não é uma coisa / ruim /! Difere muito bem em edições, IIRC.
Link: link