Pregunta ¿Cómo administra la configuración de Linux iptables en una máquina que actúa como enrutador?


Tengo un par de máquinas Linux que actúan como enrutadores / cortafuegos para mis redes y tengo un script que ejecuta todos los comandos de iptables para establecer mis reglas. Sin embargo, esto me parece una manera realmente tonta de hacerlo.

¿Cómo haces esto? ¿Existe un programa con archivos de configuración que sean un poco más fáciles de administrar? ¿Tiene una interfaz gráfica de usuario o interfaz web?


7
2018-05-05 18:52


origen




Respuestas:


yo suelo firehol Combinado con una interfaz web que desarrollé para administrar el archivo de configuración.

Realmente me gusta el firehol, proporciona una sintaxis más simple que usar iptables directamente.

  • Puede usar el comando de depuración de Firehol para exactamente qué comandos de iptables se generan
  • Si tiene un error en su configuración e inicia el firewall, firehol detecta el error y vuelve al estado anterior.
  • Firehol tiene un comando 'try' que puede usar para iniciar el firewall de forma remota, si sus cambios eliminan su conexión, firehol volverá al estado anterior, si no eliminó la conexión, le pedirá que confirme el cambio.
  • Firehol tiene un gran conjunto de servicios predefinidos para que no tenga que recordar exactamente qué puertos tiene que tener qué puertos abrir para algún protocolo oscuro.

5
2018-05-05 19:00





he usado Constructor de Firewall y me gusta bastante: es un programa GUI diseñado para administrar configuraciones de firewall, principalmente en hosts remotos que pueden ser servidores, enrutadores, lo que sea. La interfaz parece un poco intimidante al principio, pero en mi experiencia, vale la pena por un par de horas o así que se necesita para averiguarlo. (Y al parecer, recientemente lanzaron la versión 3 desde la última vez que lo comprobé, por lo que posiblemente la GUI se haya vuelto más intuitiva)


4
2018-05-07 05:51





Para RedHat y sistemas operativos relacionados (y quizás para otros), puede usar el script para crear el firewall, y luego service iptables ... Para manejarlo desde allí. Esto es lo que hago. Cuando cambio mi configuración de iptables, uso un script. Luego lo guardo con

service iptables save

En este punto, la máquina siempre presentará las nuevas reglas. Puede volcar una versión breve de sus reglas actuales con

service iptables status

3
2018-05-05 19:04





Hemos utilizado Shorewall - "iptables hecho fácil". Una GUI está disponible a través de Webmin 1.060 y posteriores

El Shoreline Firewall, más conocido como "Shorewall", es una herramienta de alto nivel para configurar Netfilter. Describe los requisitos de tu firewall / puerta de enlace mediante las entradas en un conjunto de archivos de configuración. Shorewall lee esos archivos de configuración y, con la ayuda de las utilidades iptables, iptables-restore, ip y tc, Shorewall configura Netfilter y el subsistema de redes de Linux para satisfacer sus necesidades. Shorewall se puede utilizar en un sistema de firewall dedicado, una puerta de enlace / enrutador / servidor multifunción o en un sistema GNU / Linux independiente.


3
2018-05-05 19:10





No puedo ver nada malo con su método, asumiendo que cada máquina tiene reglas diferentes.

La forma en que normalmente configuro las reglas del firewall es ingresándolas normalmente en la línea de comandos y luego ejecutando iptables-save > /etc/iptables_rules, Luego insertaré lo siguiente en /etc/network/if-pre-up.d/iptables así que cuando la interfaz de red se inicia las reglas se importan automáticamente.

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules

2
2018-05-05 19:00





Hago exactamente lo que has descrito, excepto separando las reglas en varios subarchivos (privado, dmz, vpn), y configurando un archivo de variables Para hacer las reglas más legibles.


2
2018-05-05 19:00





Usted podría usar pfSense en cambio para su enrutador, tiene muchos caracteristicas:

  • Cortafuegos
  • Traducción de direcciones de red (NAT)
  • Redundancia
  • Balanceo de carga Reporting y Monitoreo
  • Gráficos RRD

    Los gráficos RRD en pfSense mantienen información histórica sobre lo siguiente.

    • Utilización de la CPU
    • Rendimiento total
    • Estados de firewall
    • Rendimiento individual para todas las interfaces
    • Paquetes por segundo tarifas para todas las interfaces
    • Tiempo de respuesta de ping de la (s) puerta (s) de la interfaz WAN
    • Las colas de shaper de tráfico en los sistemas con habilitación de configuración de tráfico
  • VPN
    • IPsec
    • PPTP
    • OpenVPN
  • DNS Dinámico

    Mediante:

    • DynDNS
    • DHS
    • DENES
    • easyDNS
    • Sin IP
    • ODS.org
    • ZoneEdit
  • Portal cautivo
  • Servidor DHCP y Relé

Tiene una configuración basada en web agradable y fácil de usar, solo mire la capturas de pantalla.

Lo mejor de todo es que puede construirlo usted mismo con hardware básico, y es Fuente abierta.


2
2017-07-19 16:38