Zarządzanie nftables

Ta rola zarządza nftables.

Ponieważ ciężko jest napisać ogólny szablon nftables, ta rola po prostu przenosi zdefiniowane przez użytkownika fragmenty konfiguracji nftables na serwer i je uruchamia. Musisz nadal rozumieć składnię nftables.

Wymagania

• ansible: 2.4

Zmienne roli

Zmienne zależne od systemu operacyjnego

Niektóre zmienne są zależne od systemu operacyjnego. Te zmienne znajdują się w plikach vars/os-<OS>.yml.

Zmienne ogólne

• nftables_dir: katalog konfiguracji nftables, domyślnie /etc/nftables
• nftables_service_state: czy ferm powinien być uruchomiony
• nftables_service_enabled: czy ferm powinien być włączony przy uruchamianiu

Zasady zapory

• nftables_rules_directory: gdzie powinienem szukać plików zasad zapory, domyślnie w katalogu szablonów playbooka
• nftables_families: na którą wersję IP generować zasady, domyślnie IPv4 i IPv6
• nftables_rules: lista zasad do zastosowania. Domyślnie pozwala tylko na SSH i ICMP, zobacz przykładowe zasady w katalogu templates/rules

Ta rola wykorzystuje silnik szablonów do generowania zasad. Ciężka praca związana z pisaniem zasad nadal spoczywa na Tobie, ale masz to w pełni pod kontrolą.

Przykład

Zmienne hosta/grupy

nftables_rules_directory: {{ playbook_dir }}/files/nftables

nftables_rules:
  - default_rules
  - connection_tracking
  - input_icmp
  - management

W tym przypadku powinieneś stworzyć następujące pliki:

• {{ playbook_dir }}/files/nftables/rules/default_rules.conf.j2
• {{ playbook_dir }}/files/nftables/rules/connection_tracking.conf.j2
• ...

Powinieneś przepisać nftables_rules w group_var lub host_vars dla każdej grupy lub serwera zgodnie z potrzebami.

Playbook

- hosts: ferm
  roles:
     - securcom.nftables

Zależności

Brak

Licencja

BSD

Informacje o autorze

Peter Hudec (@hudecof)