适用于大规模环境的iptables管理工具
我正在使用的环境是大规模的Web托管操作(受管理的数百台服务器,几乎所有公用地址等,因此任何有关管理ADSL链接的事情都不太可能奏效),我们重新寻找可以同时管理核心规则集(目前iptables中约有12,000个条目)和我们为客户管理的基于主机的规则集。我们的核心路由器规则集每天更改几次,而基于主机的规则集每月可能更改50次(在所有服务器上,因此每月每五台服务器更改一次)。 我们目前正在使用filtergen(一般来说是球,在我们的经营规模中是超级球),过去我在其他工作中使用过Shorewall(比filtergen更好,但我认为必须会有比这更好的东西)。 我们为任何替换系统提出的“笨蛋”是: 必须相当快地生成一个规则集(在我们的规则集上运行filtergen需要15-20分钟;这简直太疯狂了)-这与下一点有关: 必须生成一个iptables-restore样式文件并一键加载,而不是为每个规则插入都调用iptables 重新加载规则集时,切勿长时间关闭防火墙(同样,这是以上几点的结果) 必须支持IPv6(我们不会部署任何不兼容IPv6的新东西) 必须不含DFSG 必须使用纯文本配置文件(因为我们通过版本控制来运行所有内容,而使用标准的Unix文本操作工具是我们的SOP) 必须同时支持RedHat和Debian(首选打包方式,但至少不能对发行版的任何标准公然敌视) 必须支持运行任意iptables命令的能力,以支持不属于系统“本地语言”的功能 不符合所有这些条件的任何事物都将不予考虑。以下是我们的“必备品”: 应该支持配置文件“碎片”(也就是说,您可以将一堆文件放在目录中,并对防火墙说“将规则集中的所有内容都包含在此目录中”;我们广泛使用配置管理,并且希望使用此功能来自动提供特定于服务的规则) 应该支持原始表 应该允许您在传入数据包和REJECT规则中指定特定的ICMP 应该优雅地支持可解析为多个IP地址的主机名(我们已经被filtergen捕获了几次;这在屁股上是一个非常皇家的痛苦) 该工具支持的更多可选(可选)/怪异的iptables功能(本机或通过现有或易于写的插件)更好。我们时不时地使用iptables的奇怪功能,而“可行”的功能越多,对每个人都越好。