Comment gérez-vous votre configuration iptables Linux sur une machine faisant office de routeur?

8

J'ai quelques machines Linux qui agissent comme des routeurs / pare-feu pour mes réseaux et j'ai un script qui exécute toutes les commandes iptables pour définir mes règles. Cela me semble cependant être une façon vraiment stupide de le faire.

Comment est-ce que tu fais ça? Existe-t-il un programme avec des fichiers de configuration un peu plus faciles à gérer? At-il une interface graphique ou une interface Web?

sjbotha
la source

Réponses:

6

J'utilise firehol combiné à une interface web que j'ai développée pour gérer le fichier de configuration.

J'aime vraiment firehol, il fournit une syntaxe plus simple que l'utilisation directe d'iptables.

  • Vous pouvez utiliser la commande firehol debug pour exactement quelles commandes iptables sont générées
  • Si vous avez une erreur dans votre configuration et que vous démarrez le pare-feu, firehol détecte l'erreur et revient à l'état précédent.
  • Firehol a une commande `` try '' que vous pouvez utiliser pour démarrer le pare-feu à distance, si vos modifications tuent votre connexion, firehol reviendra à l'état précédent, si vous n'avez pas tué votre connexion, il vous demandera de confirmer la modification.
  • Firehol a un large éventail de services prédéfinis, vous n'avez donc pas à vous rappeler exactement quels ports vous devez avoir quels ports ouvrir pour un protocole obscur.
Zoredache
la source
4

Pour RedHat et les systèmes d'exploitation associés (et peut-être pour d'autres), vous pouvez utiliser le script pour créer le pare-feu, puis service iptables ...le gérer à partir de là. C'est ce que je fais. Lorsque je modifie ma configuration iptables, j'utilise un script. Ensuite, je l'enregistre avec

service iptables save

À ce stade, la machine propose désormais toujours les nouvelles règles. Vous pouvez vider une brève version de vos règles actuelles avec

service iptables status
Eddie
la source
4

Nous avons utilisé shorewall - "iptables made easy". Une interface graphique est disponible via Webmin 1.060 et versions ultérieures

Le pare-feu Shoreline, plus communément appelé «Shorewall», est un outil de haut niveau pour configurer Netfilter. Vous décrivez vos exigences de pare-feu / passerelle à l'aide d'entrées dans un ensemble de fichiers de configuration. Shorewall lit ces fichiers de configuration et à l'aide des utilitaires iptables, iptables-restore, ip et tc, Shorewall configure Netfilter et le sous-système de mise en réseau Linux pour répondre à vos besoins. Shorewall peut être utilisé sur un système de pare-feu dédié, une passerelle / routeur / serveur multifonction ou sur un système GNU / Linux autonome.

gimel
la source
3

J'ai utilisé Firewall Builder et je l'aime bien - c'est un programme GUI qui est conçu pour gérer les configurations de pare-feu, principalement sur des hôtes distants qui pourraient être des serveurs, des routeurs, peu importe. L'interface semble un peu intimidante au début, mais d'après mon expérience, cela vaut les quelques heures ou plus qu'il faut pour le comprendre. (Et apparemment, ils ont récemment publié la version 3 depuis ma dernière vérification, donc très probablement l'interface graphique est devenue plus intuitive)

David Z
la source
C'est maintenant abandonware - le site Web ne fonctionne plus et la dernière date sur la ligne des droits d'auteur au bas de fwbuilder.sourceforge.net est 2012.
markshep
2

Je ne vois rien de mal avec votre méthode, en supposant que chaque machine a des règles différentes.

La façon dont je configure normalement les règles de pare-feu consiste à les saisir normalement sur la ligne de commande, puis à exécuter iptables-save > /etc/iptables_rules, j'insérerai ensuite les éléments suivants de /etc/network/if-pre-up.d/iptablessorte que lorsque l'interface réseau démarre, les règles soient automatiquement importées.

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
Adam Gibbins
la source
2

Je fais exactement ce que vous avez décrit, sauf en séparant les règles en plusieurs sous-fichiers (privé, dmz, vpn) et en créant un fichier de variables pour rendre les règles plus lisibles.

Brent
la source
2

Vous pouvez utiliser pfSense à la place pour votre routeur, il possède de nombreuses fonctionnalités :

  • Pare-feu
  • Traduction d'adresses réseau (NAT)
  • Redondance
  • Rapports et surveillance de l'équilibrage de charge
  • Graphiques RRD

    Les graphiques RRD dans pfSense conservent des informations historiques sur les éléments suivants.

    • Utilisation du processeur
    • Débit total
    • États du pare-feu
    • Débit individuel pour toutes les interfaces
    • Taux de paquets par seconde pour toutes les interfaces
    • Temps de réponse ping des passerelles d'interface WAN
    • Files d'attente de mise en forme du trafic sur les systèmes avec activation de la mise en forme du trafic
  • VPN
    • IPsec
    • PPTP
    • OpenVPN
  • DNS dynamique

    Par:

    • DynDNS
    • DHS
    • DyNS
    • easyDNS
    • Pas d'IP
    • ODS.org
    • ZoneEdit
  • Portail captif
  • Serveur DHCP et relais

Il a une configuration Web agréable et facile à utiliser, il suffit de regarder les captures d'écran .

Mieux encore, vous pouvez le construire vous-même avec du matériel de base, et c'est Open Source .

Brad Gilbert
la source