我是新的pipe理Linux服务器。
我们在不同地区有很多专用服务器。 其中一些服务MySQL,并允许访问对方。
我可以修改iptablesconfiguration来自己在iptables中添加规则接受端口3306的请求。 有没有其他的方式来有效地pipe理多个iptables?
看看防火墙生成器,或者你也可以使用puppet iptables模块 。
Firewall Builder支持基于GUI的防火墙策略configuration和pipe理以下防火墙 :
使用木偶厨师或cfengine分配规则并重新启动iptables。
我使用Shorewall和Shorewall-lite。 在主服务器上,我有以下安排:
使用通用目录可以避免为每个服务器重复定义。 configuration文件有一个pathvariables,可以用来指定包含公共文件的目录列表。 如果有很多服务器使用相同的规则集,则可以将规则放置在common目录中,或者将该规则放置在该类服务器的不同共享目录中。
我使用make来构build防火墙脚本firewall和firewall.conf 。 这些然后分发和执行使用ssh 。
我已经尝试了一些graphics防火墙的构build器,但是findconfiguration文件的shorewall更容易处理和validation。 我把整个configuration目录保存在git ,以便在实现之前轻松地validation更改。
对于Ubuntu上的厨师,你可以使用UFW食谱 。
注意:UFW不能在Open VZ上进行很多修改 。
我面临着在许多服务器上远程pipe理iptables的问题。 由于没有令人满意的解决scheme,我们开发了RFF
使用rfw(远程防火墙),您可以使用任何HTTP客户端通过REST API从单一控制点添加和删除许多服务器上的iptables规则。
请参阅rfw教程
该项目是开源的,并在MIT许可下发布。