目前我正在使用 Python 脚本来生成iptables规则。每组更改在部署之前都会提交到 git 存储库,因此可以跟踪谁更改了什么以及为什么更改。
其他人使用哪些工具/流程来管理对其防火墙规则的更改?是否有任何人喜欢的有关防火墙更改控制最佳实践的指南?
更新:我想我要的是该地区周围的工具/流程。例如,我发现测试大型防火墙脚本非常困难。任何人都使用/编写过测试脚本或知道可以使用的单元测试类型方法iptables吗?
答案1
您可以使用生成 iptables 规则的高级软件,例如 shorewall。它有一个命令“shorewall check”,用于检查规则中的一致性和错误。
答案2
我不认为防火墙的变更控制与其他任何东西有太大不同,因此标准源代码控制会起作用。使用 git 或 svn 并在脚本中自动签入。
答案3
标准源代码控制工具可能完全适合于此。如果您要自动化此操作,您还可能考虑的一件事是向您的签入挂钩添加有效性检查(如 Luc 提到的“岸墙检查”),以提供一定程度的保护,防止部署错误的配置。