Làm cách nào để bạn quản lý cấu hình iptables Linux của mình trên máy hoạt động như một bộ định tuyến?

8

Tôi có một vài máy Linux hoạt động như bộ định tuyến / tường lửa cho mạng của mình và tôi có một tập lệnh chạy tất cả các lệnh iptables để đặt quy tắc của mình. Điều này đối với tôi giống như một cách thực sự ngớ ngẩn để làm điều đó mặc dù.

Làm thế nào để bạn làm điều này? Có một chương trình với các tập tin cấu hình dễ quản lý hơn một chút không? Nó có giao diện GUI hay web không?

linux  router  iptables  gateway 
sjbotha
nguồn

Câu trả lời:

6

Tôi sử dụng firehol kết hợp với giao diện web mà tôi đã phát triển để quản lý tệp cấu hình.

Tôi thực sự thích firehol, nó cung cấp một cú pháp đơn giản hơn sau đó sử dụng iptables trực tiếp.

  • Bạn có thể sử dụng lệnh gỡ lỗi firehol để chính xác những gì lệnh iptables được tạo
  • Nếu bạn gặp lỗi trong cấu hình của mình và bạn khởi động tường lửa, firehol sẽ phát hiện lỗi và trở lại trạng thái trước đó.
  • Firehol có lệnh 'thử' mà bạn có thể sử dụng để khởi động tường lửa từ xa, nếu các thay đổi của bạn phá hủy kết nối của bạn, firehol sẽ trở lại trạng thái trước đó, nếu bạn không giết kết nối của mình thì nó sẽ yêu cầu bạn xác nhận thay đổi.
  • Firehol có một tập hợp lớn các dịch vụ được xác định trước, do đó bạn không cần phải nhớ chính xác cổng nào bạn phải có cổng nào để mở cho một số giao thức tối nghĩa.
Zoredache
nguồn
4

Đối với RedHat và các HĐH liên quan (và có lẽ cho những người khác), bạn có thể sử dụng tập lệnh để tạo tường lửa, và sau đó service iptables ...xử lý nó từ đó. Đây là những gì tôi làm. Khi tôi thay đổi cấu hình iptables, tôi sử dụng tập lệnh. Sau đó, tôi lưu nó với

service iptables save

Tại thời điểm này, máy sẽ luôn đưa ra các quy tắc mới. Bạn có thể kết xuất một phiên bản ngắn gọn của các quy tắc hiện tại của bạn với

service iptables status
Eddie
nguồn
4

Chúng tôi đã sử dụng wallwall - "iptables thực hiện dễ dàng". GUI có sẵn thông qua Webmin 1.060 trở lên

Tường lửa Shoreline, thường được biết đến với tên gọi là Shore Shorewall, là công cụ cấp cao để cấu hình Netfilter. Bạn mô tả các yêu cầu tường lửa / cổng của bạn bằng cách sử dụng các mục trong một tập hợp các tệp cấu hình. Shorewall đọc các tệp cấu hình đó và với sự trợ giúp của các tiện ích iptables, iptables-restore, ip và tc, Shorewall cấu hình Netfilter và hệ thống con Linux để phù hợp với yêu cầu của bạn. Shorewall có thể được sử dụng trên một hệ thống tường lửa chuyên dụng, cổng / bộ định tuyến / máy chủ đa chức năng hoặc trên hệ thống GNU / Linux độc lập.

gimel
nguồn
3

Tôi đã sử dụng Trình tạo tường lửa và tôi khá thích nó - đó là một chương trình GUI được thiết kế để quản lý các cấu hình tường lửa, chủ yếu trên các máy chủ từ xa có thể là máy chủ, bộ định tuyến, bất cứ thứ gì. Giao diện ban đầu trông hơi đáng sợ nhưng theo kinh nghiệm của tôi, nó đáng giá vài giờ hoặc lâu hơn để tìm ra nó. (Và rõ ràng họ mới phát hành phiên bản 3 gần đây kể từ lần kiểm tra cuối cùng của tôi, vì vậy rất có thể GUI đã trở nên trực quan hơn)

David Z
nguồn
Đó là từ bỏ phần mềm - trang web không còn hoạt động và ngày cuối cùng trên dòng bản quyền ở cuối fwbuilder.sourceforge.net là năm 2012.
markshep
2

Tôi không thể thấy bất cứ điều gì sai với phương pháp của bạn, giả sử mỗi máy có các quy tắc khác nhau.

Cách tôi thường thiết lập các quy tắc tường lửa là bằng cách nhập chúng bình thường trên dòng lệnh và sau đó chạy iptables-save > /etc/iptables_rules, sau đó tôi sẽ chèn các mục sau vào /etc/network/if-pre-up.d/iptableskhi giao diện mạng bắt đầu các quy tắc được nhập tự động.

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
Adam Gibbins
nguồn
2

Tôi làm chính xác những gì bạn đã mô tả, ngoại trừ việc tách các quy tắc thành một số tệp phụ (private, dmz, vpn) và thiết lập một tệp các biến để làm cho các quy tắc dễ đọc hơn.

Dầu thô
nguồn
2

Bạn có thể sử dụng pfSense thay cho bộ định tuyến của mình, nó có nhiều tính năng :

  • Bức tường lửa
  • Dịch địa chỉ mạng (NAT)
  • Báo cáo và giám sát cân bằng tải

  • Đồ thị RRD

    Các đồ thị RRD trong pfSense duy trì thông tin lịch sử về sau.

    • Sử dụng CPU
    • Tổng thông lượng
    • Trạng thái tường lửa
    • Thông lượng riêng cho tất cả các giao diện
    • Gói mỗi giây tốc độ cho tất cả các giao diện
    • Thời gian đáp ứng ping của cổng giao diện WAN
    • Hàng đợi lưu lượng truy cập trên các hệ thống có cho phép định hình lưu lượng
  • VPN
    • IPsec
    • PPTP
    • OpenVPN

  • Thuốc nổ DNS

    Xuyên qua:

    • DynDN
    • SẠC
    • Thuốc nhuộm
    • easyDNS
    • Không có IP
    • ODS.org
    • Khu vực chỉnh sửa
  • Cổng thông tin
  • Máy chủ DHCP và Rơle

Nó có một cấu hình dựa trên web đẹp, dễ sử dụng, chỉ cần nhìn vào ảnh chụp màn hình .

Tuyệt vời nhất là bạn có thể tự xây dựng nó bằng phần cứng hàng hóa và đó là Nguồn mở .

Brad Gilbert
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.