Wie verwalten Sie Ihre Linux iptables-Konfiguration auf einem Computer, der als Router fungiert?

8

Ich habe ein paar Linux-Computer, die als Router / Firewalls für meine Netzwerke fungieren, und ich habe ein Skript, das alle iptables-Befehle ausführt, um meine Regeln festzulegen. Dies scheint mir jedoch eine wirklich dumme Art zu sein.

Wie machst Du das? Gibt es ein Programm mit Konfigurationsdateien, die etwas einfacher zu verwalten sind? Hat es eine GUI oder ein Webinterface?

sjbotha
quelle

Antworten:

6

Ich verwende firehol in Kombination mit einer Webschnittstelle, die ich zur Verwaltung der Konfigurationsdatei entwickelt habe.

Ich mag firehol sehr, es bietet eine einfachere Syntax als die direkte Verwendung von iptables.

  • Mit dem Befehl firehol debug können Sie genau festlegen, welche iptables-Befehle generiert werden
  • Wenn Sie einen Fehler in Ihrer Konfiguration haben und die Firewall starten, erkennt firehol den Fehler und kehrt zum vorherigen Status zurück.
  • Firehol verfügt über einen Befehl 'try', mit dem Sie die Firewall remote starten können. Wenn Ihre Änderungen Ihre Verbindung beenden, kehrt firehol zum vorherigen Status zurück. Wenn Sie Ihre Verbindung nicht beendet haben, werden Sie aufgefordert, die Änderung zu bestätigen.
  • Firehol verfügt über eine große Anzahl vordefinierter Dienste, sodass Sie sich nicht genau merken müssen, welche Ports Sie benötigen, um welche Ports für ein unklares Protokoll zu öffnen.
Zoredache
quelle
4

Für RedHat und verwandte Betriebssysteme (und möglicherweise für andere) können Sie das Skript verwenden, um die Firewall zu erstellen und service iptables ...von dort aus zu verarbeiten. Das ist was ich mache. Wenn ich meine iptables-Konfiguration ändere, verwende ich ein Skript. Dann speichere ich es mit

service iptables save

An diesem Punkt wird die Maschine nun immer mit den neuen Regeln aufwarten. Sie können eine kurze Version Ihrer aktuellen Regeln mit sichern

service iptables status
Eddie
quelle
4

Wir haben Shorewall verwendet - " Iptables leicht gemacht". Eine GUI ist über Webmin 1.060 und höher verfügbar

Die Shoreline Firewall, besser bekannt als "Shorewall", ist ein übergeordnetes Tool zur Konfiguration von Netfilter. Sie beschreiben Ihre Firewall- / Gateway-Anforderungen anhand von Einträgen in einer Reihe von Konfigurationsdateien. Shorewall liest diese Konfigurationsdateien und mit Hilfe der Dienstprogramme iptables, iptables-restore, ip und tc konfiguriert Shorewall Netfilter und das Linux-Netzwerksubsystem entsprechend Ihren Anforderungen. Shorewall kann auf einem dedizierten Firewall-System, einem Multifunktions-Gateway / Router / Server oder auf einem eigenständigen GNU / Linux-System verwendet werden.

gimel
quelle
3

Ich habe Firewall Builder verwendet und es gefällt mir sehr gut - es ist ein GUI-Programm, das zum Verwalten von Firewall-Konfigurationen entwickelt wurde, hauptsächlich auf Remote-Hosts, bei denen es sich um Server, Router usw. handeln kann. Die Benutzeroberfläche sieht zunächst ein wenig einschüchternd aus, aber meiner Erfahrung nach lohnt es sich, ein paar Stunden zu verbringen, um es herauszufinden. (Und anscheinend haben sie erst kürzlich Version 3 veröffentlicht, seit ich das letzte Mal nachgesehen habe, sodass die Benutzeroberfläche möglicherweise intuitiver geworden ist.)

David Z.
quelle
Das ist jetzt Abandonware - die Website funktioniert nicht mehr und das letzte Datum in der Copyright-Zeile am Ende von fwbuilder.sourceforge.net ist 2012.
Markshep
2

Ich kann nichts falsches an Ihrer Methode sehen, vorausgesetzt, jede Maschine hat andere Regeln.

Normalerweise richte ich Firewall-Regeln ein, indem ich sie normal in die Befehlszeile eingebe und dann iptables-save > /etc/iptables_rulesausführe. Anschließend füge ich Folgendes ein, /etc/network/if-pre-up.d/iptablesdamit die Regeln beim Start der Netzwerkschnittstelle automatisch importiert werden.

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
Adam Gibbins
quelle
2

Ich mache genau das, was Sie beschrieben haben, außer die Regeln in mehrere Unterdateien (privat, dmz, vpn) aufzuteilen und eine Datei mit Variablen einzurichten, um die Regeln besser lesbar zu machen.

Brent
quelle
2

Sie können stattdessen pfSense für Ihren Router verwenden. Er verfügt über viele Funktionen :

  • Firewall
  • Network Address Translation (NAT)
  • Redundanz
  • Lastausgleichsberichterstattung und -überwachung
  • RRD-Diagramme

    Die RRD-Diagramme in pfSense enthalten historische Informationen zu folgenden Themen.

    • CPU-Auslastung
    • Gesamtdurchsatz
    • Firewall-Zustände
    • Individueller Durchsatz für alle Schnittstellen
    • Raten pro Sekunde für alle Schnittstellen
    • Ping-Antwortzeiten für WAN-Schnittstellen-Gateways
    • Traffic Shaper-Warteschlangen auf Systemen mit aktivierter Traffic Shaping
  • VPN
    • IPsec
    • PPTP
    • OpenVPN
  • Dynamisches DNS

    Durch:

    • DynDNS
    • DHS
    • DyNS
    • easyDNS
    • Keine IP
    • ODS.org
    • ZoneEdit
  • Captive Portal
  • DHCP-Server und Relay

Es hat eine schöne, einfach zu bedienende webbasierte Konfiguration. Schauen Sie sich einfach die Screenshots an .

Das Beste ist, dass Sie es selbst mit Standardhardware erstellen können, und es ist Open Source .

Brad Gilbert
quelle