Zarządzanie Ferm / iptables

• Github:

Ta rola zarządza iptables za pomocą skryptu ferm.

Ponieważ bardzo trudno jest napisać ogólny szablon iptables, ta rola po prostu przenosi zdefiniowane przez użytkownika fragmenty konfiguracji ferm na serwer i generuje zestaw reguł za pomocą iptables.

Wymagania

• ansible: 2.1
• Redhat/CentOS: EPEL
• Ubuntu: repozytorium multiverse

Zmienne roli

Zmienne zależne od systemu operacyjnego

Niektóre zmienne są zależne od systemu operacyjnego. Te zmienne znajdują się w plikach vars/os-<OS>.yml.

Zmienne ogólne

• ferm_directory: katalog konfiguracji ferm, domyślnie /etc/ferm
• ferm_service_state: czy ferm powinien być uruchomiony
• ferm_service_enabled: czy ferm powinien być włączony w sekwencji uruchamiania

Reguły zapory

• ferm_rules_directory: gdzie powinienem szukać plików z regułami zapory, domyślnie w katalogu szablonów playbooka
• ferm_net_mngt: lista sieci zarządzających, domyślnie pozwól na wszystkie
• ferm_domains: do której wersji IP generować reguły, domyślnie IPv4 i IPv6
• ferm_rules: lista reguł do zastosowania. domyślnie tylko SSH i ICMP

Wykorzystaj moc silnika szablonów i silnika ferm do generowania reguł dla IPv4 i IPv6. Ciężka praca przy pisaniu reguł nadal leży po Twojej stronie, ale masz to całkowicie pod kontrolą.

Przykład

zmienne hosta/grupy

ferm_rules_directory: {{ playbook_dir }}/files/ferm

ferm_rules:
  - vars
  - default_rules
  - connection_tracking
  - input_icmp
  - zarządzanie
  - usługa_zabbix-agent

W tym przypadku powinieneś utworzyć następujące pliki

• {{ playbook_dir }}/files/ferm/rules/vars.conf.j2
• {{ playbook_dir }}/files/ferm/rules/default_rules.conf.j2
• ...

Powinieneś przepisać ferm_rules w group_var lub host_vars dla każdej grupy lub serwera, w zależności od potrzeb.

playbook

Na przykład zmienne ferm w Twoim group_vars/all mogą wyglądać tak:

- hosts: ferm
  roles:
     - hudecof.ferm

Zależności

Brak

Licencja

BSD

Informacje o autorze

Peter Hudec