Como o ansible é sem agente, significa que ele precisaria abrir uma nova conexão (ou reutilizar existente se configurado corretamente ) para hospedar a fim de restaurar o estado.
Se no passo atual as alterações no firewall não permitirem que a próxima conexão seja bem-sucedida, não há como recuperar obviamente.
Assim, você precisa colocar a tarefa de recuperação de teste no próprio host, que tentaria aplicar novas regras e, em seguida, aguardar para ver se a próxima etapa do manual foi bem-sucedida pelo menos o SSH acessível, portanto testar a etapa do playbook poderia estar matando esse script antes de restaurar o conjunto de regras anterior). Ele também pode fazer alguns testes de origem própria.
Resumo: crie um script que não apenas aplique as regras, mas também as retire caso essas regras causem regressão de conectividade.
Abordagem direta usando iptables-apply
:
- Executar desanexado (com tela ou tmux ou qualquer outro) com novo conjunto de regras
- Mate-o na seguinte etapa de reprodução antes de reverter o firewall para o conjunto de regras anterior