централизованное управление iptables

есть куча серверов

saltstack, puppet, chef etc

читать-то умеешь? пользуем ansible, теперь подскажи, как это реализовать учитывая, что кроме глобальных есть и локальные правила и везде разные

читать-то умеешь? пользуем ansible

Между строк? Нет, не умею пока.

теперь подскажи, как это реализовать

В чём проблема? Делаешь шаблон, туда инклудишь глобальные правила, а если для хоста определён какой-нибудь флаг, то инклудишь локальные павила перед глобальными. И так для каждой таблицы.

а, вижу, в salt это реализовано попроще. но переходить на него только из-за этого как-то не круто

но всё это превратится в очень большую телегу, нет?

Да :) Поэтому, я пока, можно сказать, плюнул на это дело. Настраиваю salt-ом, везде кроме ключевых серверов, где весь NAT, маршрутизация и т.д. Там по старинке вручную :)

Тут ведь как. Если серверов мало, то можно и руками, а если очень много, то точно есть что-то общее между ними, тогда ИМХО эта телега себя оправдывает.

Организовать конфиги с возможностью инклуда + git + .gitignore. Это самое простое, имхо.

Самое четкое и бородатое решение - NIS.

fwbuilder можешь попробовать, там мышой.

мышкой - фу, тем более, это даже не веб-морда

Самое четкое и бородатое решение - NIS

это как?

Кроме общих правил, должны быть ещё и локальные правила, для каждого конкретного сервера.

Описать отдельные цепочки, сделать общий скелет. Соответственно, общую цепочку и обновлять.

puppet же.

Простыня в конфиге не получится, если подходить к делу с умом.

мышкой - фу, тем более, это даже не веб-морда

Да ладно (я правда уже много лет не видел fwbuilder) он удобно сделал а-ля checkpoint dashboard. Можно рулить множеством файерволов из одной программы.

да, но как это выглядеть будет в плане работы? можно скрипт накорябать и инклюдить в него, но тогда видеть полную картину неудобно. можно накатать телегу, с проверкой имени хоста в нужных местах, разносить скрипт и выполнять анзиблем, но это тоже телега и в ней тоже не так удобно воспринимать полную картину

паппет, как и солт не слишком удобен потому что оверхэд и требуют демонов на конечных серверах. если б уже использовалось, конечно, можно было б задействовать

ок, допустим, у меня основной конфиг на полсотни строк, плюс ещё локальные правила на конечных машинах во многих цепочках. я не совсем понимаю, как из гуйни я добавлю определённое правило в определённое место для всех хостов в группе

как из гуйни я добавлю определённое правило в определённое место для всех хостов в группе

посмотрел, с fwbuilder не получится, я был о нем лучшего мнения

да, но как это выглядеть будет в плане работы? можно скрипт
накорябать и инклюдить в него, но тогда видеть полную картину неудобно.

Почему ? Если ты знаешь, в каком месте у тебя висит эта отдельная цепочка, то всё понятно. Её же не перемещаешь, просто чистишь и заполняешь заново, а её расположение относительно локальных правил не меняется.

Если ты знаешь, в каком месте у тебя висит эта отдельная цепочка

что ты имеешь в виду? номер строки, название файла или что-то ещё?

что ты имеешь в виду? номер строки

Порядковый номер правила в выводе iptables -L.
iptables -A INPUT -j COMMON_CHAIN делаешь в нужном месте, потом, когда надо поправить, работаешь только с этой цепочкой:


iptables -F COMMON_CHAIN
iptables -A COMMON_CHAIN bla-bla1
iptables -A COMMON_CHAIN bla-bla2

Таким образом, ты накатываешь общий набор правил, а само положение COMMON_CHAIN относительно других правил каждого конкретного хоста не меняется.

а вот это интересно

хотя не очень понятно, как централизованно обновлять основную часть, а не ту, что в кастомных цепочках

Тебе же сказали про NIS. Погуглить за тебя?

NIS is a Remote Procedure Call (RPC)-based client/server system that allows a group of machines within an NIS domain to share a common set of configuration files. This permits a system administrator to set up NIS client systems with only minimal configuration data and to add, remove, or modify configuration data from a single location.

можешь привести пример реализации, я пока не могу понять, как это в итоге будет выглядеть