Niedawno zaczęliśmy eksperymentować z IPv6, a jednym z pierwszych problemów, z którymi musimy się zmierzyć, jest całkowicie oddzielny zestaw reguł zapory ogniowej (Linux iptables / ip6ables) dla dwóch stosów protokołów. Nasza logika zapory oparta jest w dużej mierze na wielu sieciach specyficznych dla celu (np. 10.0.0.0/24 to sieć stacji roboczych personelu, 10.1.0.0/24 to sieć baz danych, 10.2.0.0/24 to sieć serwerów WWW itp. ), a logika zarówno dla IPv6, jak i IPv4 będzie w dużej mierze taka sama, modulo różne prefiksy sieciowe.
Co robią ludzie zarządzają taką sytuacją? Idealnie chciałbym móc generować zestawy reguł iptables i ip6table z tych samych plików źródłowych. Już rzuciłem coś za pomocą bash, ale niekoniecznie jest ładna i podejrzewam, że gdzieś tam musi istnieć lepsze rozwiązanie.
Byłbym szczególnie zainteresowany rozwiązaniem opartym na Puppet, które dobrze wykorzystuje własne mechanizmy zależności Puppet do implementacji względnego uporządkowania reguł (lub grup reguł).
before => Resource['declared_name']
dowolnej definicji, więc możesz zamówić je za pomocą implementacji, która nie próbuje uporządkować rzeczy z fragmentami. Dobre wykorzystanie Augueas do struktury również zapobiegłoby temu problemowi - dodaj komentarze z górnego drzewa i zamawiaj poniżej, jak chcesz.Odpowiadając na moje pytanie tutaj, ale pomyślałem, że ta informacja może być w ogólnym interesie:
Patrząc na to pytanie natknąłem się na ufw ( Uncomplicated FireWall) od ludzi z Ubuntu. Po włączeniu IPV6 w konfiguracji ufw ufw będzie równolegle zarządzał regułami iptables i ip6tables. Oznacza to, że możesz zrobić coś takiego:
I kończy się na:
Co powoduje, że reguły iptables / ip6tables wyglądają tak:
Ufw obsługuje również profile aplikacji, które pozwalają tworzyć nazwane grupy portów. Możesz to zrobić:
I w końcu otwierają oba porty 80 i 443 (zarówno dla IPv4, jak i IPv6).
Dopiero zacząłem na to patrzeć, ale wydaje się, że jest dość dobrze złożony.
źródło
Ponieważ wciąż nie ma go na liście: Shorewall to powszechnie przyjęte i regularnie aktualizowane bogate w funkcje narzędzie do konfiguracji filtrów pakietów. Od pewnego czasu obsługuje IPv6 .
źródło