Como você gerencia sua configuração de tabelas de ip do Linux em uma máquina que atua como roteador?

8

Tenho algumas máquinas Linux que atuam como roteadores / firewalls para minhas redes e tenho um script que executa todos os comandos iptables para definir minhas regras. Isso me parece uma maneira realmente boba de fazer isso.

Como você faz isso? Existe um programa com arquivos de configuração um pouco mais fáceis de gerenciar? Possui interface gráfica ou interface da web?

linux router iptables gateway sjbotha
fonte

Respostas:

6

Eu uso o firehol combinado com uma interface da web que desenvolvi para gerenciar o arquivo de configuração.

Eu realmente gosto do firehol, ele fornece uma sintaxe mais simples do que o iptables diretamente.

  • Você pode usar o comando firehol debug para exatamente quais comandos do iptables são gerados
  • Se você tiver um erro na sua configuração e iniciar o firewall, o firehol detecta o erro e volta ao estado anterior.
  • O Firehol possui um comando 'try' que você pode usar para iniciar o firewall remotamente; se suas alterações matarem sua conexão, o firehol reverterá para o estado anterior; se você não matou sua conexão, solicitará que você confirme a alteração.
  • O Firehol possui um grande conjunto de serviços predefinidos, para que você não precise se lembrar exatamente de quais portas você precisa ter quais portas abrir para algum protocolo obscuro.
Zoredache
fonte
4

Para o RedHat e sistemas operacionais relacionados (e talvez para outros), você pode usar o script para criar o firewall e depois service iptables ...manipulá-lo a partir daí. Isto é o que eu faço. Quando altero a configuração do iptables, uso um script. Então eu salvo com

service iptables save

Neste ponto, a máquina agora sempre apresentará as novas regras. Você pode despejar uma versão curta de suas regras atuais com

service iptables status
Eddie
fonte
4

Usamos o shorewall - "iptables made easy". Uma GUI está disponível via Webmin 1.060 e posterior

O Shoreline Firewall, mais conhecido como "Shorewall", é uma ferramenta de alto nível para configurar o Netfilter. Você descreve seus requisitos de firewall / gateway usando entradas em um conjunto de arquivos de configuração. O Shorewall lê esses arquivos de configuração e, com a ajuda dos utilitários iptables, iptables-restore, ip e tc, o Shorewall configura o Netfilter e o subsistema de rede Linux para atender aos seus requisitos. O Shorewall pode ser usado em um sistema de firewall dedicado, em um gateway / roteador / servidor multifuncional ou em um sistema GNU / Linux independente.

gimel
fonte
3

Eu usei o Firewall Builder e gosto bastante - é um programa de GUI projetado para gerenciar configurações de firewall, principalmente em hosts remotos que podem ser servidores, roteadores, o que for. A interface parece um pouco intimidante no começo, mas, na minha experiência, vale a pena as duas horas necessárias para descobrir isso. (E, aparentemente, eles lançaram a versão 3 recentemente desde a última vez que verifiquei, portanto, possivelmente, a GUI ficou mais intuitiva)

David Z
fonte
Isso é agora abandonware - o site não funciona mais e a última data na linha de copyright na parte inferior da fwbuilder.sourceforge.net é 2012.
markshep
2

Não vejo nada de errado com seu método, supondo que cada máquina tenha regras diferentes.

A maneira como eu normalmente configuro as regras de firewall é inserindo-as normalmente na linha de comando e, em seguida iptables-save > /etc/iptables_rules, executando , inserirei o seguinte para /etc/network/if-pre-up.d/iptablesque, quando a interface de rede iniciar, as regras sejam importadas automaticamente.

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
Adam Gibbins
fonte
2

Eu faço exatamente o que você descreveu, exceto separando as regras em vários subarquivos (private, dmz, vpn) e configurando um arquivo de variáveis para tornar as regras mais legíveis.

Brent
fonte
2

Você pode usar o pfSense no seu roteador, ele possui muitos recursos :

  • Firewall
  • Tradução de Endereço de Rede (NAT)
  • Redundância
  • Relatórios e monitoramento de balanceamento de carga

  • Gráficos RRD

    Os gráficos RRD no pfSense mantêm informações históricas a seguir.

    • Utilização da CPU
    • Rendimento total
    • Estados do firewall
    • Taxa de transferência individual para todas as interfaces
    • Taxas de pacotes por segundo para todas as interfaces
    • Tempos de resposta do ping de gateway (s) da interface WAN
    • Filas de modelador de tráfego em sistemas com modelagem de tráfego ativadas
  • VPN
    • IPsec
    • PPTP
    • OpenVPN

  • DNS dinâmico

    Através:

    • DynDNS
    • DHS
    • DyNS
    • easyDNS
    • No-IP
    • ODS.org
    • ZoneEdit
  • Portal Cativo
  • Servidor DHCP e retransmissão

Ele tem uma configuração baseada na Web agradável e fácil de usar, basta ver as capturas de tela .

O melhor de tudo é que você pode criar você mesmo com hardware comum, e é Open Source .

Brad Gilbert
fonte