Você pode usar um software de nível mais alto que gera regras de iptables, como o shorewall. Tem um comando 'verificação da parede de terra' que verifica a consistência e os erros nas suas regras.
No momento, estou usando um script Python para gerar as regras iptables . Cada conjunto de alterações é confirmado em um repositório git antes da implementação, portanto, há um rastro de quem mudou o quê e por quê.
Quais ferramentas / processos outras pessoas usam para gerenciar mudanças em suas regras de firewall? Existe um guia sobre as melhores práticas para o controle de alterações de firewall que qualquer pessoa gosta?
ATUALIZAÇÃO: Acho que o que estou pedindo é para ferramentas / processos na área. Por exemplo, acho muito difícil testar grandes scripts de firewall. Qualquer um usa / escreve um script de teste ou conhece uma abordagem de tipo de teste de unidade possível com iptables ?
Eu não acho que o controle de alterações para firewalls é muito diferente do que para qualquer outra coisa, então o controle de origem padrão funcionaria. Use git ou svn e automatize os checkins em seu script.
As ferramentas de controle de fonte padrão são perfeitamente adequadas para isso. Uma coisa que você pode considerar também se estiver automatizando isso é adicionar verificações de validade (como a 'verificação do' shorewall 'Luc mencionada) aos seus ganchos de check-in para fornecer um nível de proteção contra a implantação de uma configuração incorreta.
Tags firewall