Ferm / iptables 管理

• Github:

この役割は、ferm スクリプトを使用して iptables を管理します。

汎用の iptables テンプレートを書くことは非常に難しいため、この役割は ユーザー定義 の ferm 設定スニペットをサーバーに移動し、iptables を使用してルールセットを生成します。

要件

• ansible: 2.1
• Redhat/CentOS: EPEL
• Ubuntu: multiverse リポジトリ

変数

OS に基づく変数

いくつかの変数は OS に基づいています。これらの変数は vars/os-<OS>.yml フィイルにあります。

一般的な変数

• ferm_directory: ferm 設定ディレクトリ（デフォルトは /etc/ferm）
• ferm_service_state: ferm が起動するかどうか
• ferm_service_enabled: ferm が起動時に有効にするかどうか

ファイアウォールルール

• ferm_rules_directory: ファイアウォールルールファイルを探す場所（デフォルトはプレイブックテンプレートディレクトリ）
• ferm_net_mngt: 管理ネットワークのリスト（デフォルトはすべて許可）
• ferm_domains: どの IP バージョンにルールを生成するか（デフォルトは IPv4 および IPv6）
• ferm_rules: 適用するルールのリスト（デフォルトは SSH と ICMP のみ許可）

テンプレートエンジンと ferm エンジンの力により IPv4 と IPv6 のルールを生成します。ルールを書く作業はあなたが行いますが、完全に 管理下 にあります。

例

ホスト/グループ変数

ferm_rules_directory: {{ playbook_dir }}/files/ferm

ferm_rules:
  - vars
  - default_rules
  - connection_tracking
  - input_icmp
  - managment
  - service_zabbix-agent

この場合、以下のファイルを作成する必要があります。

• {{ playbook_dir }}/files/ferm/rules/vars.conf.j2
• {{ playbook_dir }}/files/ferm/rules/default_rules.conf.j2
• ...

必要に応じて、各グループまたはサーバーのために group_var または host_vars で ferm_rules を書き換える必要があります。

プレイブック

例えば、あなたの group_vars/all の ferm 変数 は次のようになります。

- hosts: ferm
  roles:
     - hudecof.ferm

依存関係

なし

ライセンス

BSD

作成者情報

ピーター・フデック