Linuxでのiptablesルールの管理

iptablesの設定には多くのルール（ルーティング、sshの禁止など）があります。また、禁止するIPのリストをhttp://blacklist.linuxadmin.orgから選択しましたが、今では非常に複雑になっています。

私/etc/sysconfig/iptablesは本当に長いです。外部ファイルのルールを含めることでルールを管理する方法はありますか？

例えば：

#include "pre_routing_rules"
#include "ssh_bans"

これには、ファイル「pre_routing_rules」と「ssh_bans」に追加されたルールが含まれます。この方法で、を探し回ることなく簡単にルールを管理できますcat /etc/sysconfig/iptables。

iptablesのipsetsを試してください。ipsetsは個別に構成されます。管理するのに十分なIPアドレスがある場合、これらも高速になります。

iptablesルールは、次のようにipsetを参照できます。

iptables -A FORWARD -m set --set blocklist src、dst -j DROP

1つの簡単な解決策は、セクションごとに複数のbashスクリプトを使用することです。

iptables-routing.sh
iptables-ssh-bans.sh
iptables-blacklist.sh

そして、このファイルをマスタースクリプトから実行します。

iptablesはファイルを直接読み取りません。これは、iptables-restoreと呼ばれるプログラムによって実行されます。これは通常、initスクリプトの1つから呼び出されます。

追加の入力ファイルをiptables-restore行に追加できます。この行がシステム上のどこにあるかを見つける必要がありますが、私のDebainボックスでは、/ etc / init.d / natにあります。

現在、行は次のようになっています。

/sbin/iptables-restore < /etc/network/iptables

おそらく次のように変更できます。

cat /etc/network/iptables \
    /etc/network/pre_routing_tables \
    /etc/network/ssh_bans | /sbin/iptables-restore

FirestarterやShorewallなど、ip-top-of-iptablesの多くのファイアウォールスクリプト/ツールの1つを使用する傾向があり、目的ごとに分離された多くのファイルが付属し、特定のタイプの偽のパケットから保護する興味深いルールを追加し、通常は機能します上手。

私はあなたが参照しているファイルを所有していないため、どのディストリビューションを実行しているのかわかりませんが、通常はiptablesルールを含むファイルは単なるシェルスクリプトです-あなたは行を持っていることであなたがやりたいことができるはずですといった ：

。/ etc / sysconfig / pre_routing_rules

または、参照するiptablesファイルの先頭にあるようなもの。