Bagaimana Anda mengelola konfigurasi iptables Linux Anda pada mesin yang bertindak sebagai router?

8

Saya memiliki beberapa mesin Linux yang bertindak sebagai router / firewall untuk jaringan saya dan saya memiliki skrip yang menjalankan semua perintah iptables untuk menetapkan aturan saya. Bagi saya ini sepertinya cara yang sangat konyol untuk melakukannya.

Bagaimana kamu melakukan ini? Apakah ada program dengan file konfigurasi yang sedikit lebih mudah dikelola? Apakah memiliki antarmuka GUI atau web?

sjbotha
sumber

Jawaban:

6

Saya menggunakan firehol yang dikombinasikan dengan antarmuka web yang saya kembangkan untuk mengelola file konfigurasi.

Saya sangat suka firehol, ia menyediakan sintaks yang lebih sederhana kemudian menggunakan iptables secara langsung.

  • Anda dapat menggunakan perintah debug firehol untuk mendapatkan perintah iptables apa yang dihasilkan
  • Jika Anda memiliki kesalahan dalam konfigurasi Anda dan Anda memulai firewall, firehol mendeteksi kesalahan dan kembali ke keadaan sebelumnya.
  • Firehol memiliki perintah 'coba' yang dapat Anda gunakan untuk memulai firewall dari jarak jauh, jika perubahan Anda mematikan koneksi Anda, firehol akan kembali ke keadaan sebelumnya, jika Anda tidak mematikan koneksi Anda maka itu akan meminta Anda untuk mengkonfirmasi perubahan.
  • Firehol memiliki sejumlah besar layanan yang telah ditentukan sebelumnya sehingga Anda tidak harus mengingat dengan tepat port apa yang harus Anda buka port mana untuk beberapa protokol yang tidak jelas.
Sakit kepala
sumber
4

Untuk RedHat dan OS terkait (dan mungkin untuk yang lain), Anda dapat menggunakan skrip untuk membuat firewall, dan kemudian service iptables ...menanganinya dari sana. Inilah yang saya lakukan. Ketika saya mengubah konfigurasi iptables saya, saya menggunakan skrip. Lalu saya simpan dengan

service iptables save

Pada titik ini, mesin sekarang akan selalu datang dengan aturan baru. Anda dapat membuang versi singkat dari aturan Anda saat ini dengan

service iptables status
Eddie
sumber
4

Kami telah menggunakan shorewall - "iptables menjadi mudah". GUI tersedia melalui Webmin 1.060 dan yang lebih baru

Shoreline Firewall, lebih dikenal sebagai "Shorewall", adalah alat tingkat tinggi untuk mengkonfigurasi Netfilter. Anda menjelaskan persyaratan firewall / gateway Anda menggunakan entri dalam satu set file konfigurasi. Shorewall membaca file-file konfigurasi tersebut dan dengan bantuan iptables, iptables-restore, ip dan tc utilitas, Shorewall mengkonfigurasi Netfilter dan subsistem jaringan Linux untuk memenuhi kebutuhan Anda. Shorewall dapat digunakan pada sistem firewall khusus, gateway / router / server multi-fungsi atau pada sistem GNU / Linux mandiri.

Gimel
sumber
3

Saya telah menggunakan Firewall Builder dan saya sangat menyukainya - ini adalah program GUI yang dirancang untuk mengelola konfigurasi firewall, terutama pada host jarak jauh yang bisa berupa server, router, apa pun. Antarmuka terlihat sedikit menakutkan pada awalnya tetapi dalam pengalaman saya, ada baiknya beberapa jam atau lebih yang diperlukan untuk mengetahuinya. (Dan ternyata mereka baru saja merilis versi 3 sejak saya terakhir memeriksa, jadi sangat mungkin GUI menjadi lebih intuitif)

David Z
sumber
Itu sekarang meninggalkan perangkat lunak - situs web tidak lagi berfungsi dan tanggal terakhir pada jalur hak cipta di bagian bawah fwbuilder.sourceforge.net adalah 2012.
markshep
2

Saya tidak dapat melihat ada yang salah dengan metode Anda, dengan asumsi setiap mesin memiliki aturan yang berbeda.

Cara saya biasanya mengatur aturan firewall adalah dengan memasukkannya secara normal pada baris perintah dan kemudian menjalankan iptables-save > /etc/iptables_rules, saya akan memasukkan yang berikut ke dalam /etc/network/if-pre-up.d/iptablessehingga ketika antarmuka jaringan mulai aturan secara otomatis diimpor.

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
Adam Gibbins
sumber
2

Saya melakukan apa yang telah Anda jelaskan, kecuali memisahkan aturan menjadi beberapa sub-file (pribadi, dmz, vpn), dan mengatur file variabel untuk membuat aturan lebih mudah dibaca.

Brent
sumber
2

Anda bisa menggunakan pfSense sebagai gantinya untuk router Anda, ia memiliki banyak fitur :

  • Firewall
  • Terjemahan Alamat Jaringan (NAT)
  • Redundansi
  • Pelaporan dan Pemantauan Penyeimbangan Beban
  • Grafik RRD

    Grafik RRD di pfSense menyimpan informasi historis tentang hal-hal berikut.

    • Pemanfaatan CPU
    • Total throughput
    • Status firewall
    • Throughput individu untuk semua antarmuka
    • Paket tarif per detik untuk semua antarmuka
    • WAN antarmuka gateway (ping) waktu respons ping
    • Antrian pembentuk lalu lintas pada sistem dengan mengaktifkan traffic shaping
  • VPN
    • IPsec
    • PPTP
    • OpenVPN
  • DNS dinamis

    Melalui:

    • DynDNS
    • DHS
    • Sial
    • easyDNS
    • Tanpa IP
    • ODS.org
    • ZoneEdit
  • Portal Captive
  • Server dan Relay DHCP

Ini memiliki konfigurasi berbasis web yang bagus, mudah digunakan, lihat saja tangkapan layarnya .

Yang terbaik dari semuanya, Anda dapat membuatnya sendiri dengan perangkat keras komoditas, dan ini adalah Open Source .

Brad Gilbert
sumber