Fina

Fina egy egyszerű, robusztus shell script, ami betölti iptables-szabályokat szabályok könyvtárban. Mint ilyen, nem foglalkozik szabályok létrehozásával az Ön számára, ez csak segít, töltse be robusztus módon.
Ha valami nem sikerül, Fina fogja betölteni a régi szabályrendszere. A Fina projekt lehetővé teszi gazdagabb kommentálja a szabályok fájlokat, mint iptables. Mégis, hogy tudja kezelni semmit, iptables-restore lehet.
Fina az eredménye dolgozik különböző kísérletek csomagolópapír iptables
(Inkább: Netfilterrel) szkripteket és egyéb infrastrukturális érdekében
hogy a napi adminisztrációs szabályok könnyebb.
Miatt a munkám, én mindig szükség van egy script, hogy könnyen automatizálható
távolról. Nem számít, mennyire jó a forgatókönyv, ha tart korosztály frissíteni
Tizennégy webszerverek egy fürt, ez haszontalan számomra.
Egy másik alapvető igény egy ilyen forgatókönyv az, hogy van, hogy biztonságos legyen a
alapértelmezett - anélkül, hogy a rendszergazdák túl sok. Vagyis,
ez csak akkor hoz létre szabályokat, hogy az admin kifejezetten konfigurálja. Természetesen egy
értelmes sor konfiguráció / examples / biztosított.
A harmadik kemény követelmény az, hogy a script kell képes megtenni
mindent Netfilter lehet. Ez azt jelenti, hogy nem számít, mennyire bonyolult a
NAT PREROUTING és a mágia igények, a forgatókönyvet kell tudnia kezelni
azt. Az egyik mellékhatása ez, hogy kell kezelni a hatalmas szűrő szettjeit
legalább olyan könnyen, mint Netfilterrel magát.
A negyedik követelmény egy kicsit bonyolultabb. Néha, lehet,
meg kell változtatni változók / proc után modulok rakodták
de mielőtt szabályok hivatkozva azokat a modulokat hozzá. Az is előfordulhat
szükséges lehet, hogy nem a dolgokat, miután a csomagszűrő már
betöltve. E célból a / etc / FINA tartalmazhat két szkriptet nevezett
"Pre-up.sh" és a "post-up.sh". Ha azok a fájlok léteznek és végrehajtható,
végrehajtásuk a megfelelő szer.
Végül, a forgatókönyvet kell könnyű, amelynek néhány külső
függőségek, mint lehetséges. Szintén a szkript maga legegyszerűbbnek kell lennie
és a lehető legkisebb. Ez azért van, mert egyszerű dolgok kevesebb módon
amelyek segítségével sikerül.
Tervezés
Mivel a négy kemény fenti követelményeknek, a szkript nem
valóban "tudja", hogy sok minden arról Netfilterrel. Ily módon, ez könnyen
foglal magában, mindent Netfilterrel tehetünk - anélkül, hogy egy mozgó
target szemüveg betartani.
Alapvetően Fina szerel össze iptables-restore kompatibilis szabály kiírása re
töredék configure / szerkesztette az admin a gép. Ezután megpróbálja
betölteni az egész készlet. Ha ez nem sikerül semmilyen módon, a régi szabály halmaz
helyreállt.
Természetesen ez azt jelenti, hogy Fina nem mellett sem az admin
amikor a / termelő / szabályokat a gépen. Ez egy tudatos
határozatot. Az egyik, aki használja / konfigurálja a csomagszűrő kell
tisztában a tettei következményeit. Ez magában foglalja például a
tudva, hogy miért rossz, hogy ejtsen minden ICMP forgalom.
A másik ok az, hogy példákkal szolgálnak, vagy akár recepteket csomag
szűrők valami / dokumentáció / kellene tennie. Ez nem jó ötlet
Van egy fekete doboz csinálni "egyszerűen a helyes dolgot". Általában van egy
nem triviális összeg a felhasználók számára, amelyek a helyes út nem lehet egyszerűen
kitalálta.
Hogyan működik
Ha FINA indul az init script, egy kritikus extra lépés
sor: a script megpróbálja betölteni /etc/fina/minimal.rules a
iptables-restore. Ez akkor hasznos, ha már frissítette a kernel és
elfeledett része a iptables modulok - a szép nagy config fájlt
Valószínűleg nem fog betölteni, és a gép sem kiszolgáltatott vagy
nem férhet hozzá. Általában, akkor szeretné, hogy egy nagyon egyszerű szabályrendszer
itt (nem conntracking), amely lehetővé teszi a hozzáférést a menedzsment
IP. Ön tudja tölteni ezt a szabályrendszert a -m parancssori kapcsolót. Ez lehet
hasznos lehet vészhelyzetben (gondolok rá, mint a pánik gomb).
Fina elvárja egy konfigurációs fájl, /etc/fina/fina.cfg. Ez
valójában csak egy shell script, amely forrásból a fő Fina
script. Ez tartalmazza (alapértelmezés szerint) egy változó, amely meghatározza egy
további helyszín, hogy a szabály könyvtár. Először is, a FINA ellenőrzi,
/etc/fina/pre-up.sh létezik és végrehajtható, és ha igen futtatja. Ez
az a hely, a modulok kezelésére vagy megváltoztatni dolgokat proc, ha a szükség úgy kívánja.
A második helyen a fontosabb. Ez meghatározza a könyvtár, amely
tartalmazza a szabályt töredék, hogy Fina gyűljenek össze. Általában ez
található /etc/fina/rules.d/. Fina majd bevételt betölteni az összes fájlt
mondta könyvtárban (és annak alkönytáraira) e célból .rules. Azért, hogy
Van megbízható érdekében szereléskor, a fájlok általában előtaggal
két- vagy három számjegyű szám.
A várható formátum a fájlok nincs különösebb jelentősége, hogy Fina. Fina magát
csak össze őket, hogy egy file-ba. Ezt követően, ez teszi
biztonsági mentést a jelenlegi szabály beállítva (iptables-save), és betette egy
megadott helyen /etc/fina/fina.cfg. Ezután Fina megpróbálja betölteni
A generált fájl segítségével iptables-restore. Ha ez nem sikerül bármilyen
ok, akkor próbálja meg betölteni a régi szabályt szettet, és mutatnak megfelelő
hibaüzenet plusz bármilyen üzenetet kapta a hibás
iptables-restore parancsot.
Végül, a FINA végrehajtja /etc/fina/post-up.sh ha létezik, és az
végrehajtható.
Egyéb funkciók
Azon felül, hogy majd közvetlenül töltsük a szabályrendszer, Fina lehet
is egyszerűen másold a fájlt lenne betölteni a stdout ("mintha üzemmódban", amely
az alapértelmezett). Ez akkor hasznos, ha azt gyanítja, egy hiba a Netfilterrel
töredék, és azt szeretnék, hogy vessen egy pillantást a beállított mielőtt megpróbálja betölteni azt.
Fina hozzáteszi rengeteg észrevételeit a generált fájlt, hogy hibakeresés
könnyebb. Segítségével FINAS mintha módban, akkor is biztosítja, hogy Fina tud olvasni
Az összes fájl kellene.
Továbbá, ez a módja lehet létrehozni diff között, a jelenleg futó szabályok
és a szabályok Fina járna. Ily módon, akkor könnyen helyszínen, ha a
szabályainak változásával töredék a várt eredményeket.
Ne feledje azonban, hogy ebben a módban, Fina nincs lehet megmondani, ha
amit állít fel is lehet terhelni iptables-restore.
Sajnos, a rendszermag felület nem eszközt biztosítani, hogy ha egy
szabályrendszer lehetne betölteni anélkül, hogy ténylegesen aktiválás (ha tévedek
Itt, én szívesen hallani ilyen funkciót).
Annak érdekében, hogy segítse a hibakeresést, minden vonal által generált Fina maga is
előtaggal "# Fina #", így meg tudja mondani, hogy mely vonalak a Fina és
melyek származnak a fájlok.

Mi az új ebben a kiadásban:

• A show-megállási hiba a hibakezelés A generikus szkriptekről rögzítették.

Mi az új verzióban 0.2.2:

• Egy kisebb logikai fix pre / post-up szkriptek készült.
• A dokumentáció fokozott kicsit.

Mi az új verzióban 0.2.0:

• Fina most képes kezelni mind az IPv4 és IPv6 szabályra.

követelmények :

• GNU bash (& gt; = v2)
• GNU találni (bármi utóbbi)
• GNU grep (ua)
• GNU sed (ua)
• iptables (bármi működik a kernel)