菲娜是一个简单的,功能强大的shell脚本加载iptables规则从规则目录。因此,它并不关心你创建规则,它只是帮助你在一个健壮的方式加载它们。
如果事情失败,国际泳联将加载旧的规则集。国际泳联项目还允许更丰富的评论比iptables的规则文件。尽管如此,它可以处理任何的iptables-恢复即可。
菲纳是与各种尝试包裹iptables的工作的结果
(宁:Netfilter的)与脚本和其他基础设施,以
使规则更简单日常管理。
由于我的工作,我总是需要的,可以很容易实现自动化的脚本
远程。无论多么伟大的一个剧本,如果它需要年龄更新
集群十四Web服务器,这是对我没用。
另一个基本需要这样一个脚本是,它必须通过安全
默认情况下 - 没有渐入管理员太多。也就是说,
它仅创建一个管理员明确配置规则。当然,一
明智的一套配置/例子/提供。
第三个硬性要求是脚本应该是能够做到的事情
一切的Netfilter可以。这意味着,无论多么复杂的
NAT和预路由魔需求,脚本必须能够处理
它。这方面的一个副作用是,它必须处理大量过滤器组在
至少一样容易的Netfilter本身。
第四个要求是有点复杂。有时,这可能是
需要改变在/ proc变量已加载的模块后,
但规则指的是那些模块之前加入。此外,有时
这可能是必要的,这样做的东西后的分组过滤器已经
加载。为此,在/ etc /国际泳联可能包含两个脚本调用
“pre-up.sh”和“post-up.sh”。如果这些文件存在,并且是可执行的,
它们在相应的时间被执行。
最后,该脚本应该是轻量级的,因为有少量的外部
尽可能不依赖。此外,脚本本身应该是简单
和尽可能小。这是因为简单的东西有更少的方式
他们可能会失败。
设计
由于上面提到的四个硬盘的要求,该脚本不
其实“知道”所有的东西有关Netfilter的。通过这种方式,它很容易
整合一切可以Netfilter的事情 - 而无需移动
目标规格的坚持。
基本上,菲娜组装一个iptables-恢复从兼容的规则转储
片段配置/编辑由机器的管理员。然后它试图
加载整个集。如果失败以任何方式,旧的规则集
恢复。
当然,这意味着菲娜确实没什么旁边为admin
当涉及在机器上/产生/规则。这是一种自觉
决策。一,凡使用/配置数据包过滤器应
意识到他的行为的一切后果。这包括例如
知道为什么它是坏的丢弃所有ICMP流量。
另一个原因是,提供的例子,甚至配方包
过滤器是什么/文档/应该做的。这不是一个好主意
有一个黑盒子做“只是正确的事”。一般,有一个
用户不平凡的数额,正确的事情不能轻易
猜到了。
它是如何工作
如果国际泳联通过在init脚本启动,一个关键的额外的步骤是
采取:脚本尝试加载/etc/fina/minimal.rules与
由iptables-restore。这个就派上用场了,如果你已经更新了内核和
iptables的模块被遗忘的部分 - 你的漂亮的大配置文件
可能不会加载和你的机器要么是弱势或
无法访问你。通常情况下,你会希望有一个非常简单的规则集
在这里(不conntracking),允许从你的管理访问
IP地址。您可以使用命令行-m开关加载此规则集。这可
是方便在紧急情况下(认为它是恐慌按钮)。
国际泳联希望有一个配置文件,/etc/fina/fina.cfg。这是
实际上仅仅是从主源菲娜一个shell脚本
脚本。它包含(默认),该指定一个一个可变
额外的位置,该规则目录。首先,国际泳联检查是否
/etc/fina/pre-up.sh存在且可执行,如果是运行它。这是
地方加载模块或更改东西在进程内,如有需要。
第二位置是更重要的。它指定的目录哪些
包含规则片段,菲娜应该组装。通常,这是
位于/etc/fina/rules.d/。菲娜然后继续从加载的所有文件
上述目录(及其子目录)在.rules这一目标。为了
装配时有可靠的订单,该文件通常前缀
两个或三个数字。
该文件要求的格式是不关心国际泳联的。菲娜本身
只会组装他们为了到一个文件中。在此之后,它将使
目前的规则集(使用iptables-保存),并把它放在一个备份
位置指定/etc/fina/fina.cfg。然后,将菲娜尝试加载
使用生成的文件的iptables-恢复。如果失败了什么
因此,它会尝试加载旧的规则集,并表现出适当的
加上无论它的消息从失败得到错误信息
由iptables-restore命令。
最后,国际泳联将执行/etc/fina/post-up.sh如果它存在,是
可执行文件。
其他功能
除了产生,然后直接装入一个规则集,菲纳可以
也只是转储它会加载到标准输出文件(“假装模式”,这
是默认的)。如果你怀疑一个错误在你的Netfilter这是很有用
片段,并想尝试加载它之前看一看设定。
国际泳联增加了过多的评论生成的文件,使调试
更轻松。使用国际泳联假装模式,还可以确保菲娜可以阅读
所有文件应该。
此外,这种方式,您可以创建你当前正在运行的规则之间的diff
和国际泳联的规则会产生。通过这种方式,你可以很容易,如果现货
变化的规则片段具有预期的结果。
记住,虽然,在这种模式下,菲纳没有办法知道如果
它所产生实际上可以装载用iptables-restore。
不幸的是,内核接口没有提供一种手段,如果看一个
规则集可以没有实际激活它加载(如果我错了
在这里,我会很高兴听到这样的功能)。
为了来帮助调试,国际泳联本身产生的所有线条
前缀“#菲娜#”,这样你就可以知道哪些线是从菲娜和
哪些来自您的文件
什么在此版本中是新的:
- 在错误处理显示停止错误通用的初始化脚本是固定的。
什么是0.2.2版本,新的:
- 在对前/后一个细微的逻辑修复剧本写了。
- 文档略有增强。
什么是0.2.0版本,新的:
- 在国际泳联现在能够同时处理IPv4和IPv6规则集。
要求:
- 在GNU的bash(> = V2)
- 在GNU发现(什么最新的)
- 在GNU的grep(同上)
- 在GNU的sed(同上)
- 在iptables的(不管你内核的工作)
评论没有发现