这是一个创建于 3133 天前的主题,其中的信息可能已经有所发展或是发生改变。
1.想对多台服务器上的 iptables 进行监控,查看 iptables 状态,(启动,关闭)(现在是 shell 脚本的方式).
2.对 iptables 通过一个平台去进行增删改查,是否容易实现,(结合 ipset ,还是有其他更好的方式)。
主要是关心第二条,希望有此经验的同学指条方案。由于业务负责人员经常变动,对每条 iptables 对应的业务不清楚,所以现在只是往上增加策略,没有删除(不敢删)。长此下去,策略只会越来越臃肿。
第 1 条附言 · 2016-04-05 19:52:20 +08:00
如果有第三方开源平台,或者开源库也会考虑
 |
1
aabbccli 2016-04-05 19:27:51 +08:00
这是要做路由器的节奏呀
|
 |
2
crowds 2016-04-05 19:29:11 +08:00
这种事情不要在 linux 上去做
|
|
3
crowds 2016-04-05 19:29:28 +08:00
接上,不要在服务器端去做
|
 |
5
tuteng OP @aabbcli 做不了啊,主要是组里人员主要偏向于运维,对于 iptables 管理,每次要登录退出目标服务器,再去增加,查看,十分不方便,而且容易出错
|
 |
6
gamexg 2016-04-05 20:33:32 +08:00 via Android  1
自己写个?
python 倒是有个 iptable 的库,之前通过这个库统计过 ss 流量,定时上传到网站。 各个节点开个 http 服务接收 ss 配置推送,也可以长连接推送。 一个建议,第一条规则就是 iptable 更新进程白名单,防止自己把自己拦截。 |
 |
8
jackal 2016-04-05 20:55:59 +08:00 1
由于业务负责人员经常变动,对每条 iptables 对应的业务不清楚,所以现在只是往上增加策略,没有删除(不敢删)。
-----> 如果现状已经是这样了,你考虑 ipset 没有意义。 ipset 跟 iptables 规则并不是完全兼容,引入 ipset 势必要重新梳理你现有的 iptables 规则,这样构建的风险太大(梳理之后又要重新构建,风险当然大)。 iptables 也是有正确用法的,简单的指令熟悉根本就不算叫使用 iptables ; 规则架构规划组织,用户链的引入,性能方面的提前考虑才是 iptables 的正确用法。 ipset 相比 iptables 只是说当规则超过一定数量的时候性能更有优势。 建议你第一步是重构你目前已有的 iptables 规则,重构有科学的方法,至少能控制范围和风险! 其他的应该根据第一步之后的结果再另外分析考虑。 |
|
9
tuteng OP @jackal 很感谢,您说的很正确,现在就是这么个现状。
能推荐一些关于 iptables 科学使用相关的内容么,网上搜到的更多的是基本配置 |
 |
10
coagent 2016-04-06 00:08:46 +08:00 1
|
 |
11
vonnyfly 2016-04-06 11:33:51 +08:00
这个需求应该蛮大的, iptables 配置很容易出问题,前两天还把自己挡在 ssh 外面了。还有一些语法错误啊什么的,有个 web 配置界面,简直再好不过了。
|
 |
12
Gothack 2016-04-06 12:07:02 +08:00
楼主我觉得我们遇到的是同样的问题、、
|
Select Language