Como gerenciar o iptables para muitos servidores?

5

Eu sou novo para gerenciar o servidor linux.

Temos muitos servidores dedicados em diferentes regiões. Alguns deles servem mysql e permitem o acesso uns aos outros.

Eu posso modificar a configuração do iptables para adicionar solicitações 3306 da porta de aceitação de regra de algum servidor no iptables por mim mesmo. Existe outra maneira de gerenciar muitos iptables com eficiência?

    
por qrtt1 21.04.2012 / 17:29

5 respostas

5

Confira o Criador de firewall ou você também pode usar módulo de iptables de fantoches .

O Firewall Builder suporta configuração e gerenciamento de diretivas de firewall baseadas em GUI nos seguintes firewalls :

  • Linux iptables - 2.4 & 2.6 kernels
  • listas de controle de acesso (ACL) do roteador Cisco
  • Cisco ASA / PIX
  • Módulo de serviço do firewall da Cisco (FWSM)
  • OpenBSD pf
  • FreeBSD ipfw e ipfilter
  • ACL ProCurve ACL
por 21.04.2012 / 18:01
3

Use chef de marionetes ou cfengine para distribuir regras e reiniciar o iptables.

    
por 21.04.2012 / 17:57
2

Eu uso o Shorewall e o Shorewall-lite. No servidor mestre, tenho a seguinte disposição:

  • / etc / shorewall - configuração de firewall para o servidor
  • / etc / shorewall / common - arquivos comuns, como definições de zona padrão, políticas, macros, etc.
  • / etc / shorewall / hostname - definição para cada host.

Usar o diretório comum me permite evitar a repetição de definições para cada servidor. O arquivo de configuração tem uma variável de caminho que pode ser usada para especificar uma lista de diretórios contendo arquivos comuns. Se você tiver muitos servidores com o mesmo conjunto de regras, poderá colocar as regras no diretório common ou em um diretório compartilhado diferente para essa classe de servidores.

Eu uso make para criar os scripts de firewall firewall e firewall.conf . Estes são então distribuídos e executados usando ssh .

Eu tentei alguns dos construtores gráficos de firewall, mas acho mais fácil trabalhar e verificar o shorewall com seus arquivos de configuração. Eu mantenho todo o diretório de configuração em git para permitir que eu facilmente verifique as alterações antes da implementação.

    
por 21.04.2012 / 20:15
1

Eu estava enfrentando o mesmo problema de administrar remotamente o iptables em muitos servidores. Como não existia nenhuma solução satisfatória, desenvolvemos rfw

Com o rfw (firewall remoto) você pode adicionar e excluir regras do iptables em muitos servidores de um único ponto de controle usando qualquer cliente HTTP via API REST.

Veja o tutorial do rfw

O projeto é de código aberto e lançado sob licença MIT.

    
por 29.03.2014 / 17:10
1

Para o chef no Ubuntu, você pode usar o livro de receitas do UFW .

Cuidado: o UFW não funciona no Open VZ sem muitas modificações .

    
por 29.06.2012 / 17:15

Tags