フィナはルールディレクトリからiptablesのルールをロードする、シンプルで堅牢なシェルスクリプトです。このように、それはあなたのためのルールを作成すると懸念していない、それはちょうどあなたが確実な方法でそれらをロードすることができます。
何かが失敗した場合は、フィナは古いルールセットをロードします。フィナプロジェクトはまた、iptablesのルールよりもファイルにコメント豊かにできます。それでも、缶を復元iptablesのものを扱うことができます。
フィナはiptablesのラップで様々な試みでの作業の結果であります
(むしろ:Netfilterの)スクリプトやその他のインフラストラクチャとのために、
ルールの毎日の投与を簡単にしてくれます。
原因私の仕事に、私はいつも容易に自動化することができるスクリプトを必要としました
リモートで。それが更新するために年齢を取る場合、スクリプトは、どのように偉大などんなに
クラスタの14のWebサーバ、それは私には役に立たないです。
そのようなスクリプトのための別の基本的な必要性は、それが安全なことでなければならないことです
デフォルト - あまりにも多くの管理者に取得せず。すなわち、
それが唯一の管理者が明示的に設定することがルールを作成します。もちろん、
構成/例の賢明なセットが/提供されています。
第3のハード要件は、スクリプトがやってすることができるべきであるということです
Netfilterのは、できる限りのこと。それはつまり、どんなに複雑なあなた
NATとPREROUTING魔法のニーズされ、スクリプトが処理できる必要があります
それ。これの1つの副作用は、それがで巨大なフィルタセットを処理しなければならないことであり、
以上のように簡単にNetfilterの自身と。
第四要件が少し複雑です。時には、それがあってもよいです
モジュールがロードされた後には/ procの変数を変更するために必要な
しかし、それらのモジュールを参照するルールの前に追加されます。また、時には
パケットフィルタがされた後、それはものを行うために、必要になる場合があります
ロード。このためには、/ etc / FINAと呼ばれる2つのスクリプトを含んでいてもよいです
「pre-up.sh」と「post-up.sh」。これらのファイルが存在し、実行可能である場合、
それらは、対応する時間に実行されます。
最後に、スクリプトはいくつかの外部として持つ、軽量でなければなりません
できるだけ依存関係。また、スクリプト自体は、簡単でなければなりません
そして可能な限り小さく。簡単な事がで少ない方法を持っているためです
それらが失敗することがあります。
デザイン
により、上記の4つのハード要件に、スクリプトがありません
実際にNetfilterの約すべてのことはあまり「知ります」。このように、簡単に
Netfilterのが行うことができますすべてのものが組み込まれて - 移動しなくても、
に付着するスペックの目標。
基本的には、フィナは組み立てから互換性のあるルール·ダンプをiptablesの復元
スニペットは、設定/マシンの管理者によって編集されました。その後にしようとします
セット全体をロードします。これはどのような方法で失敗した場合は、古いルールセットがあります
復元されました。
当然、これはフィナは、管理のために次の何もないことを意味します
ときにマシンの/生成/ルールになります。これは意識があります
決定。一つには、誰でも使用することは/パケットフィルタがあるべき構成します
彼の行動のすべての結果に注意。これは、例えば、含ま
それは、すべてのICMPトラフィックをドロップするように悪いですなぜ知っ。
もう一つの理由は、パケットの例、あるいはレシピを提供していること
フィルタは、/ドキュメントが/やるべきものです。 〜するのは良い考えではありません
ブラックボックス」は、単に正しいこと "を行う必要があります。通常、そこにあります
正しいことを容易にすることができないために、ユーザーの非自明な量
推測しました。
どのように動作します
FINAは、initスクリプトを介して開始されている場合は、1つの重要な追加のステップがあります
撮影:スクリプトはと/etc/fina/minimal.rulesロードしようとします
iptablesの復元。あなたがカーネルを更新した場合、これは便利ですし、
iptablesのモジュールの忘れ部品 - あなたの素敵な大きな設定ファイル
おそらくロードし、マシンが脆弱かのどちらかではないでしょう
あなたにアクセスできません。通常、あなたは非常に単純なルールセットを持っているしたいと思います
(conntrackingなし)ここでの管理からのアクセスを可能にします
IPアドレス。あなたは、-mコマンドラインスイッチを使用して、このルールセットをロードすることができます。これは、することができます
緊急時に便利です(パニックボタンと考えます)。
フィナは1つのコンフィギュレーション·ファイル、/etc/fina/fina.cfgを期待しています。これは
メインフィナから供給されて、実際に単にシェルスクリプト
スクリプト。それは、(デフォルトで)いずれかを指定する1つの変数が含まれています
追加のロケーション、ルール·ディレクトリのこと。まず、FINAか否かを調べます
/etc/fina/pre-up.shが存在し、実行可能なので、それが実行される場合です。これは
モジュールをロードしたり、必要が生じた場合PROCで何かを変更するための場所。
第二の位置がより重要です。これは、ディレクトリを指定します
フィナは組み立てべきルールスニペットが含まれています。通常、これは
/etc/fina/rules.d/に位置します。フィナは、その後のすべてのファイルをロードするために進みます
ディレクトリ(およびそのサブディレクトリ)は.rulesで終わると言いました。のために
組み立てるとき、ファイルは通常で始まります信頼性の高い順序を持っています
2または3桁の数字。
ファイルの予想されるフォーマットは、フィナには関係ないのです。フィナ自体
一つだけのファイルに順番に組み立てます。この後、それが行います
(iptables-saveを使用して、)とに入れて現在のルール·セットのバックアップ
/etc/fina/fina.cfgで指定された場所。そして、フィナはロードしようとします
復元のiptablesを使用して生成されたファイル。これは何のために失敗した場合
その理由は、それは古いルールセットをロードしようとすると、適切なを示すであろう
エラーメッセージに加えて、それは失敗から得たものは何でもメッセージ
コマンドをiptablesの復元。
それが存在している場合最後に、FINAは/etc/fina/post-up.sh実行されます
実行可能。
その他の機能
ルールセットを生成した後、直接ロードすることに加えて、フィナ缶
また、単に、 "モードをふり」(それが標準出力にロードするファイルをダンプします
)がデフォルトです。あなたがNetfilterののバグを疑う場合に便利です
スニペットとは、それをロードしようとする前にセットを見てみたいです。
フィナは、デバッグを行うために生成されたファイルにコメントの過多を追加します
より簡単に。 FINASモードをふり使用して、あなたはまた、フィナを読むことができるようにすることができます
それが必要すべてのファイル。
また、このようにあなたは、現在実行中のルールの間の差分を作成することができます
とルールフィナが生成されます。場合は、この方法では、あなたは簡単に見つけることができます
ルールスニペットの変化が期待される結果を持っています。
それは、このモードでは、フィナがあれば伝える方法がありませんけれども覚えておいてください
それが実際にロードすることができる生成するものiptablesの復元。
残念ながら、カーネルインターフェースはどうかを確認するための手段を提供していません
私が間違っている場合、ルール·セットは、(実際にそれを起動せずにロードすることができます
ここで、私は)このような機能を聞いて喜んでいると思います。
デバッグを支援するためには、フィナ自体によって生成されたすべての線があります
フィナからであるラインあなたが言うことができるので、「#フィナ位」が付い
どれがあなたのファイルから来ます。
このリリースの新機能です。
この一般的なinitスクリプトのエラー処理でショー停止バグが修正されました。
このバージョン0.2.2の新機能です:
このプリ/ポストアップスクリプトのマイナー論理修正が行われました。
ドキュメントはやや向上しました。
このバージョン0.2.0の新機能です:
このフィナは現在のIPv4とIPv6ルールセットの両方を処理することができます。
この要件:
このGNUのbashの(> = V2)
GNUの検索(最近のもの)
GNUのgrepの(同上)
GNU SED(同上)
iptablesの(カーネルで動作するものは何でも)
コメントが見つかりません