it-swarm-es.com

¿Cómo administra su configuración de Linux IPTables en una máquina que actúa como enrutador?

Tengo un par de máquinas Linux que actúan como enrutadores/firewalls para mis redes y tengo un script que ejecuta todos los comandos IPTables para establecer mis reglas. Aunque esto me parece una forma realmente tonta de hacerlo.

¿Cómo haces esto? ¿Hay un programa con archivos de configuración que sean un poco más fáciles de administrar? ¿Tiene una GUI o una interfaz web?

8
sjbotha

Yo uso FireHol combinado con una interfaz web que desarrollé para administrar el archivo de configuración.

Me gusta mucho Firehol, proporciona una sintaxis simplificada y luego usando IPTables directamente.

  • Puede usar el comando de depuración de Firehol a exactamente qué comandos IPTables se generan
  • Si tiene un error en su configuración y usted inicia el firewall, Firehol detecta el error y vuelve al estado anterior.
  • Firehol tiene un comando 'Probar' que puede usar para iniciar el firewall de forma remota, si sus cambios matan su conexión, Firehol se revertirá al estado anterior, si no mató su conexión, entonces le pedirá que confirme el cambio.
  • Firehol tiene un gran conjunto de servicios predefinidos para que no tenga que recordar exactamente qué puertos debe tener qué puertos se abrirán para un protocolo oscuro.
6
Zoredache

Hemos utilizado ShoreWall - "Iptables se hizo fácil". Una GUI está disponible a través de webmin 1.060 y posterior

El firewall de la costa, más comúnmente conocido como "ShoreWall", es una herramienta de alto nivel para configurar NetFilter. Describe sus requisitos de firewall/puerta de enlace utilizando entradas en un conjunto de archivos de configuración. ShoreWall lee esos archivos de configuración y con la ayuda de las utilidades IPPables, IPTables-RESTORE, IP y TC, ShoreWall configura NetFilter y el subsistema de redes de Linux para que coincidan con sus requisitos. ShoreWall se puede utilizar en un sistema de firewall dedicado, una puerta de enlace/enrutador/servidor multifunción o en un sistema independiente GNU/Linux.

4
gimel

He usado Firewall Builder y me gusta bastante, es un programa de GUI diseñado para administrar configuraciones de firewall, principalmente en hosts remotos que podrían ser servidores, enrutadores, lo que sea. La interfaz se ve un poco intimidante al principio, pero en mi experiencia, vale la pena el par de horas o así se necesita para resolverlo. (Y, aparentemente, recientemente lanzaron la versión 3 desde la última versión desde la última, posiblemente la GUI se haya vuelto más intuitivo)

3
David Z

No puedo ver nada malo con su método, suponiendo que cada máquina tenga reglas diferentes.

La forma en que normalmente configure las reglas de firewall es ingresándolas normalmente en la línea de comandos y luego ejecutando iptables-save > /etc/iptables_rules, Luego insertaré lo siguiente en /etc/network/if-pre-up.d/iptables Entonces, cuando la interfaz de red comienza las reglas se importan automáticamente.

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
2
Adam Gibbins

Hago exactamente lo que ha descrito, excepto separando las reglas en varios sub-archivos (privado, DMZ, VPN) y configurando un archivo de variables para hacer las reglas Más legible.

2
Brent

Usted podría usar PFSENSE En su lugar para su enrutador, tiene muchos Características :

  • Firewall
  • Traducción de la dirección de red (NAT)
  • Redundancia
  • Carga de equilibrio de informes y seguimiento.
  • Gráficos de RRD

    Los gráficos de RRD en PfSense mantienen información histórica a continuación.

    • Utilización de la CPU
    • Rendimiento total
    • Estados de firewall
    • Rendimiento individual para todas las interfaces.
    • Paquetes por segundo tarifas para todas las interfaces.
    • Tiempos de respuesta de Ping de la puerta de entrada de la interfaz WAN
    • Las colas de Traffic Shaper en sistemas con forma de tráfico habilitar
  • VPN
    • IPsec
    • PPTP
    • Openvpn
  • DNS Dinámico

    Mediante:

    • Dyndns
    • DHS
    • Duras
    • easyDNS
    • Sin IP
    • Ods.org
    • Zona
  • Portal cautivo
  • Servidor DHCP y relé

Tiene una configuración basada en la web agradable y fácil de usar, solo mira el Screen-Shots .

Lo mejor de todo lo que puede construirlo usted mismo con el hardware de productos básicos, y es código abierto .

2
Brad Gilbert