大規模環境向けのiptables管理ツール

私が動作している環境は、大規模なWebホスティング操作です（管理下にある数百のサーバー、ほぼすべてのパブリックアドレッシングなど、ADSLリンクの管理について話すものはすべてうまく機能しない可能性があります）。コアルールセット（現在のカウントでiptablesの約12,000エントリ）と、お客様が管理するホストベースのルールセットの両方を快適に管理できるものを探しています。コアルータールールセットは1日に数回変更され、ホストベースのルールセットは月に50回（すべてのサーバーで変更されるため、月に5台のサーバーごとに1回変更される）です。

現在、filtergen（一般的にはボールであり、運用規模ではスーパーボール）を使用しており、過去に他のジョブでshorewallを使用しました（filtergenよりも望ましいでしょうが、そこにあるものよりも優れている）。

交換システムについて考え出した「ムスト」は次のとおりです。

• ルールセットをかなり迅速に生成する必要があります（ルールセットで実行されるfiltergenは15〜20分かかります。これは非常識です）。これは次の点に関連しています。
• iptables-restoreスタイルファイルを生成し、1回のヒットでロードする必要があります。ルールの挿入ごとにiptablesを呼び出す必要はありません
• ルールセットのリロード中に長時間ファイアウォールを停止しないでください（これも上記の結果です）
• IPv6をサポートする必要があります（IPv6互換ではない新しいものは展開していません）
• DFSGフリーでなければなりません
• プレーンテキストの構成ファイルを使用する必要があります（リビジョン管理を介してすべてを実行し、標準のUnixテキスト操作ツールを使用することがSOPです）
• RedHatとDebianの両方をサポートする必要があります（パッケージ化が推奨されますが、少なくともどちらかのディストリビューションの標準に対してあからさまに敵対してはなりません）
• システムの「ネイティブ言語」の一部ではない機能をサポートするために、任意のiptablesコマンドを実行する機能をサポートする必要があります

これらの基準をすべて満たさないものは考慮されません。以下は私たちの「持っているのがいい」です。

• 構成ファイル「フラグメント」をサポートする必要があります（つまり、ディレクトリにファイルの山をドロップし、ファイアウォールに「このディレクトリのすべてをルールセットに含める」と言うことができます。構成管理を広範囲に使用し、この機能を使用したいサービス固有のルールを自動的に提供します）
• 生のテーブルをサポートする必要があります
• 着信パケットと拒否ルールの両方で特定のICMPを指定できるようにする必要があります
• 複数のIPアドレスに解決するホスト名を適切にサポートする必要があります（filtergenでこれに数回捕らえられました;かなり王室の痛みです）
• ツールがサポートするオプション/奇妙なiptables機能が（ネイティブで、または既存のプラグインまたは簡単に書き込み可能なプラグインを介して）より良い。私たちは時々iptablesの奇妙な機能を使用しますが、「機能する」ものが多いほど、すべての人にとって優れています。

ルール駆動型のアプローチから、「必要な最終状態を説明する」方法に移行したい場合は、fwbuilderをご覧ください。

長所：

• 複数のファイアウォールをサポート-コア+ホストベースのルール-1セットのオブジェクトから
• SQL風の「方法を教えて」ではなく、「あなたが望むものを教えて」というアプローチ（注意：そこにSQLがあると言っているわけではありません！それは説明的なVs手続き型だからです:-)
• これは、商用ハードウェアf / wベンダーのインターフェイスのようなGUIなので、従業員/スキルスタックにいくつかのタスクをプッシュすることができます。
• 私が試したほとんどの「奇妙な」使用をサポートしています
• さまざまなf / w実装のルールを生成できる-BSD / cicso / iptables / etc
• フロントエンドをルールコンパイラから分離しているため、作成者にとって速度が懸念事項であることが期待されます。NB私はあなたがほのめかしているスケールの近くに何もありません
• ファイル形式はバイナリではありません
• IPv6
• アトミックで高速なロードのためのiptables-save stylee構成を作成します

短所：

• それはGUIです
• 既存のルールセットを移動するのに苦労することはほとんどありません
• GPLおよびDebianでは、Windows + OSXクライアントは30日間評価されます。これは、これらのOS向けの無料バージョンをクロスコンパイルした人はいないためです。したがって、開発者の商業部門はこれらのバイナリを独占しています
• ファイル形式は技術的にはXMLです。NBはこれを遅らせないでください：彼らが提供するツール（たとえば、GUIを使用してCLI経由で操作することができます）、すでに存在するCLI XMLツールを見て、それを覚えておいてください-あなたのスケール-メタデータ+構造の見た目は/ bad /のものではありません！それは、編集、IIRC全体で非常にうまく違います。

リンク：http : //www.fwbuilder.org

自分で書いてください。真剣に-この規模では合理的です。

ipsetおよび/またはたくさんのiptableテーブル/サブテーブルを使用します。可能な場合は、一部のサブテーブル/一部のipsetセットのみをリロードします。これにより、再構成が高速化されます。

おそらくあなたはすでにそれを行っていますが、それでも言及する価値があります-ルーターの負荷と、新しい接続を設定するパケットに必要な検索の平均数を減らすためにネストされたテーブルを使用します。明らかに-A FORWARD -m state --state ESTABLISHED、RELATEDが一番のルールです。

聖なるボール（キーピンがテーマを生きている！）男... 12,000コアルール？

単にセットをCVSにドロップするなど、簡単なオプションをすべて検討したと思いますか？PuppetまたはCFengine？

正直なところ、あなたが与えた広範な概要から、ネットワーク設計を再評価することを強くお勧めします。おそらくあまりにも単純すぎますが、12,000のiptablesルールを必要とする設計を単純に理解することはできません。これは、ファイアウォールルールを管理するためのより良い方法よりも、SLBタイプのソリューションから多くの利益を得るもののように聞こえます。

補足として、コメントを追加するのと「回答」を追加するのはどうですか。

12000ルール？あなたは非常識ですか？この量のフィルタリングが実行されることでパフォーマンスの問題が発生しませんか？12,000個のルールが必要な理由がわかりませんか？ルールセットが実際にポリシーを実施していることをどのように確認しますか？

ポリシーとは何ですか？

ポリシーをどのようにテストしますか？

12,000のルールは、本のすべてのセキュリティルールに違反する可能性があります。

iptables-> https://www.efw.io/Forumを管理するためのSAASソリューションを試すこともできます。AWSクラウド統合も実行できます。