我是 Linux 服务器管理新手。
我们在不同地区拥有多台专用服务器。其中一些服务器提供 mysql 服务并允许相互访问。
我可以自己修改 iptables 配置,在 iptables 中添加接受来自某些服务器的端口 3306 请求的规则。还有其他方法可以有效地管理许多 iptables 吗?
答案1
查看防火墙构建器或者你也可以使用puppet iptables 模块。
防火墙生成器支持以下防火墙上基于 GUI 的防火墙策略配置和管理:
- Linux iptables - 2.4 和 2.6 内核
- Cisco 路由器访问控制列表 (ACL)
- 思科 ASA/PIX
- Cisco 防火墙服务模块 (FWSM)
- OpenBSD 的
- FreeBSD ipfw 和 ipfilter
- HP ProCurve ACL
答案2
使用 puppet chef 或 cfengine 分发规则并重新启动 iptables。
答案3
我使用 Shorewall 和 Shorewall-lite。在主服务器上,我有以下安排:
- /etc/shorewall-服务器的防火墙配置
- /etc/shorewall/common - 常用文件,例如标准区域定义、策略、宏等。
- /etc/shorewall/hostname — 每个主机的定义。
使用公共目录可以让我避免为每个服务器重复定义。配置文件有一个路径变量,可用于指定包含公共文件的目录列表。如果您有许多具有相同规则集的服务器,您可以将规则放在目录中common,或者为该类服务器放在不同的共享目录中。
我使用make来构建防火墙脚本firewall和firewall.conf。然后使用 来分发和执行这些脚本ssh。
我尝试过一些图形防火墙构建器,但发现 shorewall 的配置文件更易于使用和验证。我保留了整个配置目录,git以便在实施之前轻松验证更改。