Управление nftables

Эта роль управляет nftables.

Поскольку очень трудно написать универсальный шаблон для nftables, эта роль просто перемещает пользовательские конфигурационные фрагменты nftables на сервер и выполняет их. Вам все равно нужно понимать синтаксис nftables.

Требования

• ansible: 2.4

Переменные роли

Переменные, основанные на ОС

Некоторые переменные зависят от ОС. Эти переменные находятся в файлах vars/os-<OS>.yml.

Общие переменные

• nftables_dir: каталог конфигурации nftables, по умолчанию /etc/nftables
• nftables_service_state: нужно ли запускать сервис
• nftables_service_enabled: нужно ли включать сервис в последовательность загрузки

Правила брандмауэра

• nftables_rules_directory: где искать файлы правил брандмауэра, по умолчанию — в каталоге шаблонов плейбука
• nftables_families: для какой версии IP генерировать правила, по умолчанию IPv4 и IPv6
• nftables_rules: список правил для применения. По умолчанию разрешены только SSH и ICMP, см. примеры правил в каталоге templates/rules

Эта роль использует движок шаблонов для генерации правил. Основная работа по написанию правил все еще на вас, но вы имеете это полностью под контролем.

Пример

Переменные хоста/группы

nftables_rules_directory: {{ playbook_dir }}/files/nftables

nftables_rules:
  - default_rules
  - connection_tracking
  - input_icmp
  - management

В этом случае вам нужно создать следующие файлы

• {{ playbook_dir }}/files/nftables/rules/default_rules.conf.j2
• {{ playbook_dir }}/files/nftables/rules/connection_tracking.conf.j2
• ...

Вы должны переопределить nftables_rules в group_var или host_vars для каждой группы или сервера по мере необходимости.

Плейбук

- hosts: ferm
  roles:
     - securcom.nftables

Зависимости

Нет

Лицензия

BSD

Информация об авторе

Петер Гудец (@hudecof)