Lingkungan tempat saya beroperasi adalah operasi hosting web skala besar (beberapa ratus server di bawah manajemen, pengalamatan hampir semua publik, dll - jadi apa pun yang berbicara tentang mengelola tautan ADSL tidak akan berfungsi dengan baik), dan kami sedang mencari sesuatu yang akan nyaman mengelola kedua aturan inti (sekitar 12.000 entri di iptables pada hitungan saat ini) ditambah aturan berbasis host yang kami kelola untuk pelanggan. Aturan router inti kami berubah beberapa kali sehari, dan aturan berbasis host akan berubah mungkin 50 kali sebulan (di semua server, jadi mungkin satu perubahan per lima server per bulan).
Kami saat ini menggunakan filtergen (yang umumnya adalah bola, dan bola super pada skala operasi kami), dan saya telah menggunakan shorewall di masa lalu di pekerjaan lain (yang lebih disukai daripada filtergen, tapi saya pikir harus ada menjadi sesuatu di luar sana yang lebih baik dari itu).
"Musts" yang kami buat untuk sistem penggantian adalah:
- Harus menghasilkan sebuah aturan cukup cepat (menjalankan filtergen pada aturan kami membutuhkan waktu 15-20 menit; ini hanya gila) - ini terkait dengan poin berikutnya:
- Harus menghasilkan file gaya iptables-restore dan memuatnya dalam satu pukulan, bukan memanggil iptables untuk setiap sisipan aturan
- Tidak boleh mencatat firewall untuk jangka waktu yang lama sementara aturan tersebut dimuat ulang (sekali lagi, ini merupakan konsekuensi dari poin di atas)
- Harus mendukung IPv6 (kami tidak menggunakan hal baru yang tidak kompatibel dengan IPv6)
- Harus bebas DFSG
- Harus menggunakan file konfigurasi teks biasa (saat kami menjalankan semuanya melalui kontrol revisi, dan menggunakan alat manipulasi teks Unix standar adalah SOP kami)
- Harus mendukung RedHat dan Debian (dikemas lebih disukai, tetapi setidaknya tidak boleh secara terbuka memusuhi standar salah satu distro)
- Harus mendukung kemampuan untuk menjalankan perintah iptables sembarang untuk mendukung fitur yang bukan bagian dari "bahasa asli" sistem
Apa pun yang tidak memenuhi semua kriteria ini tidak akan dipertimbangkan. Berikut ini adalah "senang kami":
- Haruskah mendukung file konfigurasi "fragmen" (yaitu, Anda dapat menjatuhkan setumpuk file dalam direktori dan mengatakan ke firewall "sertakan semua yang ada di direktori ini di dalam ruleset"; kami menggunakan manajemen konfigurasi secara luas dan ingin menggunakan fitur ini untuk berikan aturan spesifik layanan secara otomatis)
- Harus mendukung tabel mentah
- Seharusnya memungkinkan Anda menentukan ICMP tertentu dalam paket yang masuk dan aturan TOLAK
- Harus dengan anggun mendukung nama host yang menyelesaikan lebih dari satu alamat IP (kami telah ketahuan dengan ini beberapa kali dengan filtergen; ini adalah masalah yang agak royal di pantat)
- Semakin banyak fitur opsional / aneh iptables yang didukung alat ini (baik secara native atau melalui plugin yang ada atau mudah ditulis) semakin baik. Kami menggunakan fitur aneh dari iptables sekarang dan kemudian, dan semakin banyak dari mereka yang "hanya bekerja", semakin baik untuk semua orang.
Jawaban:
Jika Anda mungkin ingin beralih dari pendekatan yang didorong oleh aturan ke cara "jelaskan keadaan akhir yang diperlukan" dalam melakukan sesuatu, lihat fwbuilder.
Pro:
Cons:
Tautan: http://www.fwbuilder.org
sumber
tulis milikmu sendiri. serius - pada skala ini masuk akal.
gunakan ipset dan / atau banyak tabel / subtitle iptable. jika memungkinkan, muat ulang hanya beberapa subtitle / beberapa set ipset - ini akan mempercepat konfigurasi ulang.
mungkin Anda sudah melakukannya, tapi tetap saja layak disebut - gunakan tabel bersarang untuk mengurangi beban pada router dan jumlah rata-rata pencarian yang diperlukan untuk paket yang menyiapkan koneksi baru. jelas -SUARA KE DEPAN -m negara - negara DIDIRIKAN, TERKAIT adalah aturan paling atas Anda.
sumber
bola suci (menjaga temanya tetap hidup!) manusia ... 12.000 aturan inti?
Saya berasumsi Anda telah mempertimbangkan semua opsi mudah seperti hanya menjatuhkan set ke CVS? Wayang atau CFengine?
Jujur, dari tinjauan luas yang Anda berikan, saya sangat menyarankan untuk mengevaluasi kembali desain jaringan Anda. Saya mungkin agak terlalu sederhana, tapi saya tidak bisa memahami desain yang akan membutuhkan aturan 12k iptables. Ini benar-benar terdengar seperti sesuatu yang akan mendapat manfaat lebih dari solusi jenis SLB daripada cara yang lebih baik untuk mengelola aturan firewall.
Di samping catatan, bagaimana cara menambahkan komentar versus menambahkan "jawaban"?
sumber
12000 aturan? Apakah anda tidak waras? Apakah Anda tidak mengalami masalah kinerja dengan jumlah pemfilteran ini terjadi? Saya tidak mengerti mengapa Anda membutuhkan 12.000 aturan? Bagaimana Anda memverifikasi bahwa aturan yang Anda tetapkan sebenarnya menegakkan kebijakan?
Apa kebijakannya?
Bagaimana Anda menguji kebijakan Anda?
12.000 aturan mungkin melanggar setiap aturan keamanan dalam buku ini.
sumber
Anda juga dapat mencoba solusi SAAS untuk mengelola iptables -> https://www.efw.io/Forum dapat juga melakukan integrasi cloud AWS.
sumber