Recentemente, começamos a experimentar o IPv6, e um dos primeiros problemas que estamos enfrentando é lidar com um conjunto completamente separado de regras de firewall (Linux iptables / ip6ables) para as duas pilhas de protocolos. Nossa lógica de firewall baseia-se amplamente em várias redes específicas (por exemplo, 10.0.0.0/24 é a rede da estação de trabalho da equipe, 10.1.0.0/24 é a rede do banco de dados, 10.2.0.0/24 é a rede do servidor da web, etc. ) e a lógica para o IPv6 e o IPv4 será basicamente a mesma, modulo de prefixos de rede diferentes.
O que as pessoas estão fazendo gerenciam esse tipo de situação? Idealmente, eu gostaria de poder gerar conjuntos de regras iptables e ip6table a partir dos mesmos arquivos de origem. Eu já juntei algo usando o bash, mas não é necessariamente bonito e suspeito que uma solução melhor deve existir em algum lugar por aí.
Eu estaria particularmente interessado em uma solução baseada em Puppet que faça bom uso dos mecanismos de dependência do Puppet para implementar a ordenação relativa de regras (ou grupos de regras).
before => Resource['declared_name']
de qualquer definição, para que você possa solicitá-los usando uma implementação que não tente solicitar itens com fragmentos. Um bom uso do Augueas para a estrutura também evitaria esse problema - faça seus principais comentários na árvore e faça o pedido abaixo como desejar.Respondendo à minha própria pergunta aqui, mas achei que esta informação poderia ser de interesse geral:
Enquanto examinava essa questão, me deparei com o ufw (Uncomplicated FireWall) do pessoal do Ubuntu. Com o IPV6 ativado na configuração do ufw, o ufw gerenciará as regras iptables e ip6tables em paralelo. Isso significa que você pode fazer algo assim:
E termine com:
O que resulta em regras de iptables / ip6tables parecidas com esta:
O Ufw também suporta perfis de aplicativos, que permitem criar grupos de portas nomeados. Você consegue fazer isso:
E acabe abrindo as portas 80 e 443 (para IPv4 e IPv6).
Eu apenas comecei a olhar para ele, mas parece estar bem organizado.
fonte
Como ainda está ausente da lista: Shorewall é uma ferramenta de configuração de filtro de pacotes rica em recursos, amplamente adotada e atualizada regularmente. Ele tinha suporte ao IPv6 por um tempo agora.
fonte