web-dev-qa-db-ja.com

ルーターとして機能するマシンでLinuxiptables構成をどのように管理しますか?

ネットワークのルーター/ファイアウォールとして機能するLinuxマシンがいくつかあり、すべてのiptablesコマンドを実行してルールを設定するスクリプトがあります。しかし、これは本当にばかげた方法のように思えます。

これはどうやるんですか?管理が少し簡単な設定ファイルを備えたプログラムはありますか? GUIまたはWebインターフェイスがありますか?

8
sjbotha

firehol を、構成ファイルを管理するために開発したWebインターフェイスと組み合わせて使用​​します。

私はfireholが本当に好きです。それは、iptablesを直接使用するよりも単純な構文を提供します。

  • Firehol debugコマンドを使用して、生成されるiptablesコマンドを正確に指定できます。
  • 構成にエラーがあり、ファイアウォールを開始すると、fireholはエラーを検出し、前の状態に戻ります。
  • Fireholには、ファイアウォールをリモートで開始するために使用できる「try」コマンドがあります。変更によって接続が切断されると、fireholは以前の状態に戻ります。接続を切断しなかった場合は、変更の確認を求められます。
  • Fireholには事前定義された多数のサービスのセットがあるため、あいまいなプロトコルのために開く必要のあるポートを正確に覚えておく必要はありません。
6
Zoredache

RedHatおよび関連するOS(およびおそらく他のOS)の場合、スクリプトを使用してファイアウォールを作成してから、service iptables ...そこから処理します。これが私がすることです。 iptablesの設定を変更するときは、スクリプトを使用します。それから私はそれを保存します

service iptables save

この時点で、マシンは常に新しいルールを考え出します。現在のルールの簡単なバージョンをでダンプできます

service iptables status
4
Eddie

shorewall -「iptablesを簡単に」を使用しました。 GUIは Webmin 1.060以降で利用できます

より一般的に「Shorewall」として知られているShorelineFirewallは、Netfilterを構成するための高レベルのツールです。一連の構成ファイルのエントリを使用して、ファイアウォール/ゲートウェイの要件を記述します。 Shorewallはこれらの構成ファイルを読み取り、iptables、iptables-restore、ip、およびtcユーティリティを使用して、要件に一致するようにNetfilterとLinuxネットワークサブシステムを構成します。 Shorewallは、専用のファイアウォールシステム、多機能ゲートウェイ/ルーター/サーバー、またはスタンドアロンのGNU/Linuxシステムで使用できます。

4
gimel

私は Firewall Builder を使用しましたが、とても気に入っています-これは、主にサーバーやルーターなどのリモートホストでファイアウォール構成を管理するために設計されたGUIプログラムです。インターフェイスは最初は少し威圧的に見えますが、私の経験では、それを理解するのに数時間かそこらの価値があります。 (そして、私が最後にチェックしてから、彼らは最近バージョン3をリリースしたばかりなので、GUIがより直感的になった可能性があります)

3
David Z

各マシンに異なるルールがあると仮定すると、メソッドに問題はありません。

ファイアウォールルールを通常設定する方法は、コマンドラインで通常どおりに入力してからiptables-save > /etc/iptables_rulesを実行することです。次に、以下を/etc/network/if-pre-up.d/iptablesに挿入して、ネットワークインターフェイスの起動時にルールが自動的にインポートされるようにします。

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
2
Adam Gibbins

ルールをいくつかのサブファイルに分割する(private、dmz、vpn)と、ルールを作成するためにvariablesのファイルを設定することを除いて、私はあなたが説明したことを正確に行いますより読みやすくなります。

2
Brent

ルーターの代わりに pfSense を使用できますが、多くの 機能 があります。

  • ファイアウォール
  • ネットワークアドレス変換(NAT)
  • 冗長性
  • 負荷分散のレポートと監視
  • RRDグラフ

    PfSenseのRRDグラフは、以下の履歴情報を維持します。

    • CPU使用率
    • 総スループット
    • ファイアウォールの状態
    • すべてのインターフェースの個別のスループット
    • すべてのインターフェイスの1秒あたりのパケット数
    • WANインターフェースゲートウェイのping応答時間
    • トラフィックシェーピングが有効になっているシステムのトラフィックシェーパーキュー
  • VPN
    • IPsec
    • PPTP
    • OpenVPN
  • ダイナミックDNS

    使って:

    • DynDNS
    • DHS
    • DyNS
    • easyDNS
    • いいえ-IP
    • ODS.org
    • ZoneEdit
  • キャプティブポータル
  • DHCPサーバーとリレー

それは素晴らしく、使いやすいWebベースの構成を持っています。 スクリーンショット を見てください。

何よりも、コモディティハードウェアを使用して自分で構築できます。それは オープンソース です。

2
Brad Gilbert