बड़े पैमाने पर पर्यावरण के लिए iptables प्रबंधन उपकरण

जिस वातावरण में मैं काम कर रहा हूं वह एक बड़े पैमाने पर वेब होस्टिंग ऑपरेशन है (प्रबंधन के तहत कई सौ सर्वर, लगभग-सभी-सार्वजनिक पते, आदि - तो एडीएसएल लिंक के प्रबंधन के बारे में बात करने वाली कोई भी चीज अच्छी तरह से काम करने की संभावना नहीं है), और हम ' ऐसी किसी चीज़ की तलाश करना जो दोनों मुख्य नियमों (वर्तमान गिनती में iptables में लगभग 12,000 प्रविष्टियों) के साथ-साथ उन ग्राहकों के लिए प्रबंधित होस्ट-आधारित नियमों को प्रबंधित करने में सहज हो। हमारे कोर राउटर के नियम दिन में कुछ बार बदलते हैं, और मेजबान-आधारित नियम महीने में 50 बार (सभी सर्वरों पर, तो शायद प्रति माह प्रति पांच सर्वर में एक परिवर्तन) हो सकते हैं।

वर्तमान में हम फ़िल्टरगेन का उपयोग कर रहे हैं (जो सामान्य रूप से गेंदें हैं, और हमारे ऑपरेशन के पैमाने पर सुपर-बॉल), और मैंने अन्य नौकरियों में अतीत में शोरवेल का उपयोग किया है (जो कि फ़िल्टरगेन के लिए बेहतर होगा, लेकिन मुझे लगता है कि वहां मिल गया है) कुछ ऐसा हो जो वहाँ से बेहतर हो)।

"मस्ट" हम किसी भी प्रतिस्थापन प्रणाली के साथ आए हैं:

• एक नियमबद्धता को शीघ्रता से उत्पन्न करना चाहिए (हमारे नियमों पर चलने वाला एक फ़िल्टरगन 15-20 मिनट का होता है; यह सिर्फ पागल है) - यह अगले बिंदु से संबंधित है:
• एक iptables-पुनर्स्थापना शैली फ़ाइल जनरेट करें और उसे एक हिट में लोड करें, प्रत्येक नियम सम्मिलित करने के लिए iptables को कॉल न करें
• विस्तारित अवधि के लिए फ़ायरवॉल को नीचे नहीं ले जाना चाहिए जबकि नियम फिर से लोड होता है (फिर, यह उपरोक्त बिंदु का परिणाम है)
• IPv6 का समर्थन करना चाहिए (हम IPv6 के संगत कुछ भी नया नहीं कर रहे हैं)
• DFSG मुक्त होना चाहिए
• सादा-पाठ कॉन्फ़िगरेशन फ़ाइलों का उपयोग करना चाहिए (जैसा कि हम सब कुछ संशोधन नियंत्रण के माध्यम से चलाते हैं, और मानक यूनिक्स पाठ-हेरफेर उपकरण का उपयोग करना हमारे SID हैं)
• रेडहैट और डेबियन दोनों का समर्थन करना चाहिए (पैक को प्राथमिकता दी जाती है, लेकिन बहुत कम से कम या तो दूर के मानकों के लिए शत्रुतापूर्ण नहीं होना चाहिए)
• सिस्टम की "मूल भाषा" का हिस्सा नहीं होने वाली सुविधाओं का समर्थन करने के लिए मनमाने ढंग से iptables कमांड चलाने की क्षमता का समर्थन करना चाहिए

जो कुछ भी इन सभी मानदंडों को पूरा नहीं करता है, उस पर विचार नहीं किया जाएगा। निम्नलिखित हमारे "बाज़ के लिए अच्छा" हैं:

• विन्यास फाइल "टुकड़ों" का समर्थन करना चाहिए (यानी, आप एक निर्देशिका में फ़ाइलों के ढेर को छोड़ सकते हैं और फ़ायरवॉल से कह सकते हैं "नियमों में इस निर्देशिका में सब कुछ शामिल करें"; हम कॉन्फ़िगरेशन प्रबंधन का बड़े पैमाने पर उपयोग करते हैं और इस सुविधा का उपयोग करना चाहते हैं; स्वचालित रूप से सेवा-विशिष्ट नियम प्रदान करें)
• कच्ची तालिकाओं का समर्थन करना चाहिए
• आपको आने वाले पैकेट और REJECT दोनों नियमों में विशेष ICMP को निर्दिष्ट करने की अनुमति देनी चाहिए
• शालीनता से उन होस्टनामों का समर्थन करना चाहिए जो एक से अधिक आईपी पते का समाधान करते हैं (हम इसे फ़िल्टरगन के साथ कुछ ही बार पकड़े गए हैं; यह बट में एक शाही दर्द है)
• अधिक वैकल्पिक / अजीब iptables सुविधाएँ जो उपकरण का समर्थन करती हैं (या तो मूल रूप से या मौजूदा या आसानी से लिखने योग्य प्लगइन्स के माध्यम से) बेहतर। हम अब और फिर iptables की अजीब विशेषताओं का उपयोग करते हैं, और उनमें से अधिक "बस काम", सभी के लिए बेहतर है।

यदि आप शायद नियम-चालित दृष्टिकोण से "चीजों को करने की अंतिम स्थिति के लिए आवश्यक राज्य का वर्णन" करने के लिए एक कदम बनाना चाहते हैं, तो fwbuilder पर एक नज़र डालें।

पेशेवरों:

• कई फ़ायरवॉल समर्थित - आपके कोर + होस्ट-आधारित नियम - वस्तुओं के 1 सेट से
• एसक्यूएल-एस्के "मुझे बताएं कि आप क्या चाहते हैं" इसके बजाय "मुझे बताएं कि यह कैसे करना है" दृष्टिकोण (एनबी मैं यह नहीं कह रहा हूं कि वहां कोई एसक्यूएल है! बस यह वर्णनात्मक बनाम प्रक्रियात्मक है :-)
• यह GUI है, थोड़े जैसे कि कमर्शियल हार्डवेयर f / w वेंडर्स इंटरफेसेस, इसलिए कर्मचारी / स्किल्स स्टैक नीचे कुछ कार्यों को धकेलना संभव है।
• सबसे अधिक "wierd 'उपयोग का समर्थन करता है, जो मैंने कोशिश की है
• विभिन्न प्रकार के f / w कार्यान्वयन के लिए नियम उत्पन्न कर सकते हैं - BSD / cicso / iptables / etc
• नियम-संकलक से सामने के छोर को अलग करता है, जिससे मुझे उम्मीद है कि गति लेखकों के लिए चिंता का विषय है। नायब मैं उस पैमाने के पास कुछ भी नहीं हूं जिसके लिए आप गठबंधन कर रहे हैं
• फ़ाइल स्वरूप बाइनरी नहीं है
• IPv6 करता है
• परमाणु और त्वरित लोडिंग के लिए iptables- सेव स्टाइल स्टाइल बनाता है

विपक्ष:

• यह एक जीयूआई है
• अपने मौजूदा नियम को स्थानांतरित करने से दर्द-रहित होने की संभावना नहीं है
• जब तक GPL और डेबियन में, Windows + OSX क्लाइंट 30-दिन का निष्कासन करते हैं, क्योंकि कोई भी किसी के क्रॉस को उन OS के लिए नि: शुल्क संस्करण नहीं बना सकता है; इसलिए देवताओं की वाणिज्यिक शाखा का उन द्विपत्रों पर एकाधिकार है
• फ़ाइल प्रारूप तकनीकी रूप से XML है; NB ने आपको इसे बंद नहीं करने दिया: उन उपकरणों पर एक नज़र डालें जो वे प्रदान करते हैं (आप उदाहरण के लिए CLI के माध्यम से इसे हेरफेर करने के लिए gui बाइनरी का उपयोग कर सकते हैं), CLI XML उपकरण जो पहले से मौजूद हैं, और याद रखें कि - अपने पैमाना - मेटा-डेटा + स्ट्रक्चर का कुछ अंश / a / bad / चीज नहीं है! यह सम्पूर्ण रूप से सम्पादन, IIRC में काफी भिन्न है।

लिंक: http://www.fwbuilder.org

खुद लिखिए। गंभीरता से - इस पैमाने पर यह उचित है।

ipset और / या बहुत से iptable टेबल / सबटाइबल्स का उपयोग करें । जब भी संभव हो केवल कुछ सबटैबलों / कुछ सेटों को पुनः लोड करें - इससे पुन: संयोजन में तेजी आएगी।

शायद आप पहले से ही ऐसा करते हैं, लेकिन फिर भी यह ध्यान देने योग्य है - राउटर पर लोड को कम करने के लिए नेस्टेड तालिकाओं का उपयोग करें और नए कनेक्शन स्थापित करने वाले पैकेटों की औसत संख्या की आवश्यकता है। स्पष्ट रूप से एक फॉरवर्ड राज्य - राज्य स्थापित, संबंधित आपका सर्वोच्च नियम है।

पवित्र गेंदों (Keepin 'विषय को जीवित!) आदमी ... 12,000 कोर नियम?

मैं मान रहा हूँ कि आपने सीवीएस में सेट छोड़ने जैसे सभी आसान विकल्पों पर विचार किया है? कठपुतली या CFengine?

ईमानदारी से, आपके द्वारा दिए गए व्यापक अवलोकन से, मैं दृढ़ता से आपके नेटवर्क डिज़ाइन का पुनर्मूल्यांकन करने का सुझाव दूंगा। मैं शायद थोड़ा बहुत सरलीकृत हूं, लेकिन मैं केवल एक डिजाइन को थाह नहीं दे सकता जो 12k iptables नियमों की आवश्यकता होगी। यह वास्तव में कुछ ऐसा लगता है जो फ़ायरवॉल नियमों का प्रबंधन करने के लिए एक बेहतर तरीके से एसएलबी प्रकार के समाधान से अधिक लाभ होगा।

एक साइड नोट पर, कोई "उत्तर" बनाम टिप्पणी कैसे जोड़ सकता है?

12000 नियम? आप पागल हैं क्या? क्या आप फ़िल्टरिंग की इस राशि के साथ प्रदर्शन की समस्याओं से ग्रस्त नहीं हैं? मैं नहीं देख सकता कि आपको 12,000 नियमों की आवश्यकता क्यों है? आप कैसे सत्यापित करते हैं कि आपने जो नियम निर्धारित किया है वह वास्तव में नीति लागू कर रहा है?

नीति क्या है?

आप अपनी नीति का परीक्षण कैसे करते हैं?

12,000 नियम संभवतः पुस्तक के प्रत्येक सुरक्षा नियम को तोड़ते हैं।

आप iptables के प्रबंधन के लिए SAAS समाधान भी आज़मा सकते हैं -> https://www.efw.io/Forum यह AWS एकीकरण एकीकरण भी कर सकता है।