¿Cómo gestiona la configuración de iptables de Linux en una máquina que actúa como enrutador?

8

Tengo un par de máquinas Linux que actúan como enrutadores / firewalls para mis redes y tengo un script que ejecuta todos los comandos de iptables para establecer mis reglas. Sin embargo, esto me parece una forma realmente tonta de hacerlo.

¿Cómo haces esto? ¿Hay un programa con archivos de configuración que sean un poco más fáciles de administrar? ¿Tiene una GUI o interfaz web?

sjbotha
fuente

Respuestas:

6

Utilizo firehol combinado con una interfaz web que desarrollé para administrar el archivo de configuración.

Realmente me gusta Firehol, proporciona una sintaxis más simple que usar iptables directamente.

  • Puede usar el comando de depuración firehol para saber exactamente qué comandos de iptables se generan
  • Si tiene un error en su configuración e inicia el firewall, firehol detecta el error y vuelve al estado anterior.
  • Firehol tiene un comando 'probar' que puede usar para iniciar el firewall de forma remota, si sus cambios eliminan su conexión, firehol volverá al estado anterior, si no eliminó su conexión, le pedirá que confirme el cambio.
  • Firehol tiene un gran conjunto de servicios predefinidos para que no tenga que recordar exactamente qué puertos debe tener para abrir algún protocolo oscuro.
Zoredache
fuente
4

Para RedHat y sistemas operativos relacionados (y quizás para otros), puede usar el script para crear el firewall y luego service iptables ...manejarlo desde allí. Esto es lo que hago. Cuando cambio mi configuración de iptables, uso un script. Luego lo guardo con

service iptables save

En este punto, la máquina ahora siempre presentará las nuevas reglas. Puede volcar una versión breve de sus reglas actuales con

service iptables status
Eddie
fuente
4

Hemos usado shorewall - "iptables hecho fácil". Una GUI está disponible a través de Webmin 1.060 y posterior

Shoreline Firewall, más comúnmente conocido como "Shorewall", es una herramienta de alto nivel para configurar Netfilter. Describe los requisitos de su firewall / puerta de enlace utilizando entradas en un conjunto de archivos de configuración. Shorewall lee esos archivos de configuración y, con la ayuda de las utilidades iptables, iptables-restore, ip y tc, Shorewall configura Netfilter y el subsistema de red Linux para satisfacer sus necesidades. Shorewall se puede utilizar en un sistema de firewall dedicado, una puerta de enlace / enrutador / servidor multifunción o en un sistema GNU / Linux independiente.

gimel
fuente
3

He usado Firewall Builder y me gusta bastante: es un programa GUI diseñado para administrar configuraciones de firewall, principalmente en hosts remotos que pueden ser servidores, enrutadores, lo que sea. La interfaz parece un poco intimidante al principio, pero en mi experiencia, vale la pena el par de horas más o menos para resolverlo. (Y al parecer, recientemente lanzaron la versión 3 desde la última vez que lo revisé, por lo que posiblemente la GUI se haya vuelto más intuitiva)

David Z
fuente
Eso es ahora abandonware: el sitio web ya no funciona y la última fecha en la línea de derechos de autor en la parte inferior de fwbuilder.sourceforge.net es 2012.
markshep
2

No puedo ver nada malo con su método, suponiendo que cada máquina tenga reglas diferentes.

La forma en que normalmente configuro las reglas del firewall es ingresándolas normalmente en la línea de comando y luego ejecutándolas iptables-save > /etc/iptables_rules, luego insertaré lo siguiente /etc/network/if-pre-up.d/iptablespara que cuando la interfaz de red comience, las reglas se importen automáticamente.

#!/bin/bash
/sbin/iptables-restore < /etc/iptables_rules
Adam Gibbins
fuente
2

Hago exactamente lo que ha descrito, excepto separar las reglas en varios subarchivos (privado, dmz, vpn) y configurar un archivo de variables para que las reglas sean más legibles.

Brent
fuente
2

En su lugar, podría usar pfSense para su enrutador, tiene muchas características :

  • Cortafuegos
  • Traducción de direcciones de red (NAT)
  • Redundancia
  • Balanceo de carga de informes y monitoreo
  • RRD Graphs

    Los gráficos RRD en pfSense mantienen información histórica sobre lo siguiente.

    • Utilización de la CPU
    • Rendimiento total
    • Estados de firewall
    • Rendimiento individual para todas las interfaces.
    • Tarifas de paquetes por segundo para todas las interfaces
    • Tiempos de respuesta de ping de las puertas de enlace de interfaz WAN
    • Colas de modelado de tráfico en sistemas con habilitación de modelado de tráfico
  • VPN
    • IPsec
    • PPTP
    • OpenVPN
  • DNS Dinámico

    Mediante:

    • DynDNS
    • DHS
    • DyNS
    • easyDNS
    • Sin IP
    • ODS.org
    • ZoneEdit
  • Portal cautivo
  • Servidor DHCP y retransmisión

Tiene una configuración agradable y fácil de usar basada en la web, solo mire las capturas de pantalla .

Lo mejor de todo es que puede construirlo usted mismo con hardware básico, y es Open Source .

Brad Gilbert
fuente