Come gestire gli iptables per molti server?

Sono nuovo per gestire il server linux.

Abbiamo molti server dedicati in diverse regioni. Alcuni di essi servono mysql e consentono l'accesso reciprocamente.

  • Come posso automaticamente bloccare il pacchetto breve UDP con Fail2Ban?
  • LAN e WAN allo stesso cavo?
  • Domande sul firewall su stato e politica?
  • Regola del firewall per consentire solo Postfix di submit e-mail tramite SMTP sulla port 25
  • Perché nf_conntrack_count continua a crescere?
  • Qual è il modo corretto di caricare i moduli per iptables su Centos 6
  • Posso modificare la configuration di iptables per aggiungere la regola che accetta le richieste di port 3306 da un server in iptables da solo. C'è un altro modo per gestire in modo efficiente molti iptables?

    5 Solutions collect form web for “Come gestire gli iptables per molti server?”

    Controlla il constructor di firewall o puoi anche utilizzare il module iptables fantoccio .

    Firewall Builder support la configuration e la gestione dei criteri firewall basati su GUI sui seguenti firewall :

    • Linux iptables – 2.4 e 2.6 kernel
    • Elenchi di controllo di accesso del router Cisco (ACL)
    • Cisco ASA / PIX
    • Cisco Firewall Service Module (FWSM)
    • OpenBSD pf
    • FreeBSD ipfw e ipfilter
    • HP ProCurve ACL

    Usa lo chef o il cfengine per distribuire le regole e riavviare iptables.

    Io uso Shorewall e Shorewall-lite. Sul server master ho la seguente disposizione:

    • / etc / shorewall – configuration del firewall per il server
    • / etc / shorewall / comuni – file comuni quali definizioni zone standard, politiche, macro, ecc.
    • / etc / shorewall / hostname per each host.

    Utilizzando la directory comune mi permette di evitare di ripetere le definizioni per each server. Il file di configuration ha una variabile di path che può essere utilizzata per specificare un elenco di directory contenenti file comuni. Se si dispone di un sacco di server con la stessa regola impostata è ansible inserire le regole nella directory common o una directory condivisa diversa per quella class di server.

    Utilizzo make per build firewall firewall e firewall.conf . Questi vengono quindi distribuiti e eseguiti usando ssh .

    Ho provato alcuni dei costruttori di firewall grafici, ma trovare shorewall con i file di configuration più facili da lavorare e verificare. Conservo l'intera directory di configuration in git per consentire di verificare facilmente le modifiche prima dell'implementazione.

    Per lo chef su Ubuntu è ansible utilizzare il cookbook UFW .

    Attenzione: UFW non funziona su Open VZ senza molte modifiche .

    Mi trovavo di fronte allo stesso problema di amministrare in remoto iptables su molti server. Dal momento che non esisteva una soluzione soddisfacente abbiamo sviluppato rfw

    Con rfw (firewall remoto) è ansible aggiungere e eliminare le regole iptables su molti server da un unico punto di controllo utilizzando qualsiasi client HTTP tramite l'API REST.

    Vedere l' esercitazione rfw

    Il progetto è open source e rilasciato sotto licenza MIT.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.