Firewall de software com “arquivos de zona”

1

Estou usando um sistema de implantação automática para minhas novas implantações do Unix. Eu tenho uma topologia de rede bastante complicada para implementar, e estou procurando por um software de firewall que facilite isso.

Em particular, notei que softwares como o nginx seguem um padrão no qual o arquivo de configuração principal carrega um caractere curinga, que efetivamente carrega todos os arquivos em algum diretório.

Assim, por exemplo, o nginx carrega todos os arquivos em / etc / nginx / conf / e os trata como arquivos de configuração. Eles podem ser carregados e descarregados independentemente, adicionando-os ou removendo-os (e emitindo um comando nginx).

Existe algum produto de firewall de software confiável que me permita fazer algo semelhante?

    
por nomen 15.07.2014 / 07:12

1 resposta

1

Se você já usa um software de firewall que cumpre o seu propósito e sabe usar, mas não tem esse recurso, sugiro que fique com ele.

A alternância de, ou além de, um aplicativo usando um único arquivo de configuração para um diretório cujo conteúdo de arquivo é usado combinado para ser a configuração, geralmente é feita devido à capacidade de manutenção do pacote. As opções de configuração em um único arquivo são muito mais difíceis de atualizar / alterar e é difícil que outras opções (de terceiros) se insiram sem quebrar essa possibilidade para outras que não conhecem. Uma vez que havia vários exemplos de trabalho, mais e mais softwares começaram a usar esse modelo.

Se o seu software de firewall preferido ainda não suporta esse recurso, é relativamente fácil emulá-lo, dividindo o conteúdo da configuração do seu firewall em partes discretas e usando cat para concatená-las em um arquivo que pode ser usado pelo firewall. Forneça aos nomes de arquivos individuais o formato de XY_NAME, em que XY é um número e NAME um nome descritivo. Incremente o XY em etapas de 5 ou 10, para que você tenha algum espaço para inserir arquivos entre um estágio posterior. Apenas use:

cat * > ../firewall.cfg

e a parte numérica do nome certifica-se de que a ordem dos arquivos sendo processados é determinística. Se o arquivo de configuração não suportar comentários da maneira desejada (o XML vem à mente), você poderá usá-los nos arquivos XY_NAME e filtrá-los durante o processo de combinação. usando grep -v '^#'

    
por 15.07.2014 / 07:28