15 votos

iptables herramientas de gestión de los grandes proyectos de medio ambiente

El entorno soy de operación en gran escala de la web de alojamiento de operación (varios cientos de servidores bajo la gestión de-casi-todos-direccionamiento publico, etc-así que nada de lo que habla acerca de la administración de ADSL enlaces es poco probable que funcione bien), y estamos buscando algo que sea cómodo de manejar tanto en el núcleo de reglas (alrededor de 12.000 entradas en iptables en cuenta actual), además de los basados en host de reglas que gestionamos para nuestros clientes. Nuestro router principal conjunto de reglas cambia un par de veces al día, y el basado en host de reglas cambiaría tal vez el 50 veces en un mes (a través de todos los servidores, así que tal vez un cambio por cada cinco servidores por mes).

Actualmente estamos utilizando filtergen (que es bolas en general, y super-pelotas en nuestra escala de operación), y he usado shorewall en el pasado en otros trabajos (que sería preferible filtergen, pero me imagino que tiene que haber algo por ahí que mejor que eso).

El "mostos" nos hemos reunido para cualquier sistema de reemplazo son:

  • Debe generar un conjunto de reglas bastante rápidamente (un filtergen se ejecutan en nuestro grupo de reglas de toma de 15 a 20 minutos; esto es una locura) -- esto está relacionado con el siguiente punto:
  • Debe generar un iptables-restore de archivos de estilo y de carga que en un hit, no llame a iptables para cada regla de inserción
  • No debe tomar el firewall por un período prolongado, mientras que el conjunto de reglas recarga (de nuevo, esto es una consecuencia del punto anterior)
  • Debe admitir IPv6 (no somos implementar nada nuevo que no es compatible con IPv6)
  • Debe ser DFSG-gratis
  • Debe utilizar texto sin formato de los archivos de configuración (como todo lo ejecutan a través de la revisión de control, y utilizando el estándar de texto de Unix-herramientas de manipulación son nuestros SOP)
  • Debe apoyar tanto a RedHat y Debian (empaquetado preferido, pero al menos no debe ser abiertamente hostil a su distribución de normas)
  • Debe apoyar la capacidad de ejecución arbitraria de comandos de iptables para apoyar a características que no son parte del sistema de la "lengua materna"

Nada que no cumplen con todos estos criterios no serán consideradas. Los siguientes son nuestros "agradable a los ricos":

  • Debe apoyar archivo de configuración "fragmentos" (que es, usted puede colocar una pila de archivos en un directorio y decir que el firewall de "incluir todo en este directorio en el grupo de reglas"; usamos la gestión de la configuración ampliamente y desea utilizar esta característica para proporcionar el servicio específico de reglas de forma automática)
  • Debe soporte raw tablas
  • Debe permitirle especificar particular ICMP en tanto los paquetes entrantes y a RECHAZAR las reglas
  • De gracia debe apoyar a los nombres de host que resolver a más de una dirección IP (la que hemos sido atrapados por esto un par de veces con filtergen; es un lugar real dolor en el trasero)
  • El más opcional/raro iptables características que la herramienta soporta (ya sea de forma nativa o mediante existente o fácilmente modificables plugins) el mejor. Usamos características extrañas de iptables ahora y entonces, y más de aquellos que "sólo el trabajo", el mejor para todos.

4voto

Jonathan Matthews Puntos 146

Si usted es tal vez el deseo de hacer un movimiento a partir de una regla enfoque impulsado por un "describe el estado final al que se requiere" manera de hacer las cosas, tener una mirada en fwbuilder.

Pros:

  • varios cortafuegos admite - su núcleo + host basado en normas a partir del 1 de un conjunto de objetos
  • SQL-esque "dime lo que quieres" en lugar de "dime cómo hacerlo" (NB, no estoy diciendo que no hay ningún SQL ahí! Sólo que es descriptivo Vs procedimentales :-)
  • Es una interfaz gráfica de usuario, un poco como el hardware comercial f/w de vendedores de interfaces, por lo que es posible para empujar a algunas de las tareas que el empleado/habilidades de la pila
  • soporta la mayoría de los "extraño el uso que he probado
  • puede generar reglas para una variedad de f/w implementaciones - BSD/cisco/iptables/etc
  • separa front-end de la regla-compilador, lo que hace que me dan la esperanza de que la velocidad es una preocupación para los autores. NB no tengo nada cerca de la escala a la que estamos aludiendo
  • Formato de archivo no es binario
  • ¿IPv6
  • Crea un iptables-save stylee config para atómica y de carga rápida

Contras:

  • Es una interfaz gráfica de usuario
  • Moviendo su conjunto de reglas existente es poco probable que sea libre de dolor
  • Mientras GPL y en Debian, Windows+OSX clientes son de 30 días eval, ya que nadie de la cruz-compilado una versión Gratuita pero para aquellos que OS; por tanto, el brazo comercial de los devs tiene un monopolio de los archivos binarios
  • Formato de archivo es técnicamente XML; NB, no dejes que esto te desanime: echa un vistazo a las herramientas que proporcionan (puede utilizar la gui binario para manipularlo a través de la CLI, por ejemplo), el CLI XML herramientas que ya existen, y recordar que - en su escala - una cierta apariencia de meta-datos de la estructura no es un /malo/ lo! Es " bastante bien a través de ediciones, si mal no recuerdo.

Enlace : http://www.fwbuilder.org

3voto

Steve Mould Puntos 141

escribir su propio. en serio, a esta escala, es razonable.

uso ipset y/o un montón de iptable tablas / subtablas. siempre que sea posible recargar sólo algunos subtablas / algunos conjuntos de ipset - esto aumentará la velocidad de la reconfiguración.

probablemente usted ya lo hacen, pero aún así vale la pena mencionar - el uso de tablas anidadas para disminuir la carga en el router y el promedio de número de búsquedas necesarias para que los paquetes de establecer nuevas conexiones. obviamente-a FORWARD-m state --state established,related es su superior de la regla.

2voto

Salamander2007 Puntos 2242

santo bolas (keepin' vivo el tema!) hombre...12,000 reglas fundamentales?

Estoy asumiendo que usted ha considerado todas las opciones fáciles como simplemente dejar caer la pone en el CVS? Puppet o CFengine?

Honestamente, desde la amplia descripción que has dado, me gustaría sugerir fuertemente de volver a evaluar el diseño de la red. Yo soy probablemente un poco demasiado simplista, pero simplemente no puedo imaginar un diseño que sería necesario 12k reglas iptables. Esto realmente suena como algo que beneficiaría a más de un SLB tipo de solución de una mejor manera de administrar las reglas de firewall.

En una nota de lado, ¿cómo hace uno para agregar un comentario frente a la adición de una "respuesta"?

0voto

Kirill Osenkov Puntos 3902

12000 reglas? está usted loco? ¿No sufrir problemas de rendimiento con esta cantidad de filtrado que pasa? No veo por qué tendría de 12.000 reglas? ¿Cómo se puede comprobar que las reglas establecidas en realidad es hacer cumplir la política?

¿Qué es la política?

¿Cómo se prueba su política?

12,000 reglas posiblemente se rompe cada regla de seguridad en el libro.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: