Gestión de nftables

Este rol gestiona los nftables.

Como es muy difícil escribir una plantilla genérica de nftables, este rol simplemente mueve los fragmentos de configuración de nftables definidos por el usuario al servidor y los ejecuta. Aún necesitarás entender la sintaxis de nftables.

Requisitos

• ansible: 2.4

Variables del Rol

Variables basadas en el SO

Algunas variables dependen del sistema operativo. Estas variables se encuentran en archivos vars/os-<OS>.yml.

Variables Genéricas

• nftables_dir: directorio de configuración de nftables, de forma predeterminada es /etc/nftables
• nftables_service_state: si el servicio debe ser iniciado
• nftables_service_enabled: si el servicio debe estar habilitado en la secuencia de arranque

Reglas del Firewall

• nftables_rules_directory: dónde debo buscar los archivos de reglas del firewall, por defecto en el directorio de plantillas del playbook
• nftables_families: a qué versión IP generar las reglas, por defecto IPv4 y IPv6
• nftables_rules: lista de reglas a aplicar. por defecto permite solo SSH e ICMP, vea las reglas de muestra en el directorio templates/rules

Este rol utiliza un motor de plantillas para generar reglas. El trabajo difícil de escribir las reglas sigue siendo tu responsabilidad, pero tú tienes todo bajo control.

Ejemplo

Variables de host/grupo

nftables_rules_directory: {{ playbook_dir }}/files/nftables

nftables_rules:
  - default_rules
  - connection_tracking
  - input_icmp
  - management

En este caso, debes crear los siguientes archivos:

• {{ playbook_dir }}/files/nftables/rules/default_rules.conf.j2
• {{ playbook_dir }}/files/nftables/rules/connection_tracking.conf.j2
• ...

Deberías reescribir nftables_rules en group_var o host_vars para cada grupo o servidor según sea necesario.

Playbook

- hosts: ferm
  roles:
     - securcom.nftables

Dependencias

Ninguna

Licencia

BSD

Información del Autor

Peter Hudec (@hudecof)