বড় আকারের পরিবেশের জন্য iptables পরিচালনা সরঞ্জাম

15

আমি যে পরিবেশে কাজ করছি তা হ'ল একটি বৃহত আকারের ওয়েব হোস্টিং অপারেশন (পরিচালনার অধীনে কয়েক শতাধিক সার্ভার, প্রায় সর্বজনীন সম্বোধন, ইত্যাদি - তাই যে কোনও কিছু এডিএসএল লিঙ্কগুলি পরিচালনা করার বিষয়ে কথা বলে) এটি ভালভাবে কাজ করার সম্ভাবনা কম) এবং আমরা ' পুনরায় এমন কিছু সন্ধান করছেন যা মূল রোলসেট (বর্তমান গণনা অনুসারে আইপটেবলগুলিতে প্রায় 12,000 এন্ট্রি) এবং গ্রাহকদের জন্য আমরা হোস্ট-ভিত্তিক রোলসেটগুলি পরিচালনা করতে স্বাচ্ছন্দ্য বোধ করবে। আমাদের কোর রাউটার রুলসেটটি দিনে কয়েকবার পরিবর্তন হয় এবং হোস্ট-ভিত্তিক রোলসেটগুলি মাসে 50 বার (সমস্ত সার্ভার জুড়ে, তাই প্রতি মাসে পাঁচটি সার্ভারে একটি করে পরিবর্তন) পরিবর্তিত হতে পারে।

আমরা বর্তমানে ফিল্টারজেন (যা সাধারণভাবে বল এবং আমাদের কাজকর্মের স্কেলগুলিতে দুর্দান্ত বল) ব্যবহার করছি এবং অতীতে আমি অন্যান্য কাজগুলিতে শোরওয়াল ব্যবহার করেছি (যা ফিল্টারজেনের চেয়ে বেশি পছন্দনীয়, তবে আমি বুঝতে পারি যে সেখানে কিছু আছে) কিছু আছে যে এর চেয়ে ভাল)।

যে কোনও প্রতিস্থাপন ব্যবস্থার জন্য আমরা যে "মাস্টগুলি" নিয়ে এসেছি সেগুলি হ'ল:

  • মোটামুটি দ্রুত একটি রুলসেট তৈরি করতে হবে (আমাদের রোলসেটে একটি ফিল্টারজেন রান 15-20 মিনিট সময় নেয়; এটি কেবল উন্মাদ) - এটি পরবর্তী পয়েন্টের সাথে সম্পর্কিত:
  • একটি iptables- পুনরুদ্ধার শৈলী ফাইল উত্পন্ন করা আবশ্যক এবং একটি হিট মধ্যে লোড, প্রতিটি নিয়ম সন্নিবেশ জন্য iptables কল না
  • রোলসেটটি পুনরায় লোড হওয়ার সময় ফায়ারওয়ালটি কোনও বর্ধিত সময়ের জন্য নামাবেন না (আবার, এটি উপরের পয়েন্টটির ফলাফল)
  • অবশ্যই আইপিভি support সমর্থন করা উচিত (আমরা আইপিভি compatible এর সামঞ্জস্যপূর্ণ নয় এমন নতুন কিছু স্থাপন করছি না)
  • অবশ্যই ডিএফএসজি-মুক্ত থাকতে হবে
  • প্লেইন-টেক্সট কনফিগারেশন ফাইলগুলি অবশ্যই ব্যবহার করা উচিত (যেমনটি আমরা সংশোধন নিয়ন্ত্রণের মাধ্যমে সমস্ত কিছু চালাই এবং স্ট্যান্ডার্ড ইউনিক্স টেক্সট-ম্যানিপুলেশন সরঞ্জামগুলি আমাদের এসওপি)
  • রেডহ্যাট এবং ডেবিয়ান উভয়কেই সমর্থন করা উচিত (প্যাকেজযুক্ত পছন্দসই, তবে খুব কমপক্ষে ডিস্ট্রোর মানদণ্ডে একেবারে প্রতিকূল হওয়া উচিত নয়)
  • সিস্টেমের "মাতৃভাষা" এর অংশ নয় এমন বৈশিষ্ট্যগুলিকে সমর্থন করার জন্য নির্বিচারে iptables কমান্ডগুলি চালনার দক্ষতার অবশ্যই সমর্থন করা উচিত

এই সমস্ত মানদণ্ড পূরণ না করে এমন কিছু বিবেচনা করা হবে না। নিম্নলিখিতটি আমাদের "সুন্দর থাকতে সুন্দর" রয়েছে:

  • কনফিগারেশন ফাইল "টুকরা" সমর্থন করা উচিত (যা আপনি একটি ডিরেক্টরিতে ফাইলের একটি গাদা ফেলে দিতে পারেন এবং ফায়ারওয়ালকে "এই ডিরেক্টরিতে সমস্ত কিছু নিয়মের মধ্যে অন্তর্ভুক্ত করতে পারেন" বলতে পারেন; আমরা কনফিগারেশন পরিচালনা ব্যাপকভাবে ব্যবহার করি এবং এই বৈশিষ্ট্যটি ব্যবহার করতে চাই পরিষেবা-নির্দিষ্ট নিয়ম স্বয়ংক্রিয়ভাবে সরবরাহ করুন)
  • কাঁচা টেবিল সমর্থন করা উচিত
  • আপনাকে আগত প্যাকেট এবং রিজেক্ট উভয় নিয়মে নির্দিষ্ট আইসিএমপি নির্দিষ্ট করার অনুমতি দেওয়া উচিত
  • একাধিক আইপি ঠিকানার সমাধান করার জন্য হোস্টনামগুলি কৃপণভাবে সমর্থন করা উচিত (আমরা এই ফিল্টারজেনের সাথে কয়েকবার ধরা পড়েছি; এটি বাটের পরিবর্তে রাজকীয় ব্যথা)
  • সরঞ্জামটি আরও বেশি alচ্ছিক / অদ্ভুত iptables বৈশিষ্ট্যগুলি সমর্থন করে (যা স্থানীয়ভাবে বা বিদ্যমান বা সহজে-লিখিত প্লাগইনগুলির মাধ্যমে) আরও ভাল। আমরা এখন থেকে iptables এর অদ্ভুত বৈশিষ্ট্যগুলি ব্যবহার করি এবং এটি "কেবলমাত্র কাজ করে" তাদের তত বেশি, সবার পক্ষে আরও ভাল।
linux  firewall  iptables 
বোকা
সূত্র
আমি কামড় দেব - আপনার পোস্টিংয়ে "বল" এবং "সুপার বল" পদগুলি কী করবে? আমি অনুমান করছি আপনি বাউন্সি রাবারের গোলকের বিষয়ে কথা বলছেন না, তবে প্রসঙ্গটির অর্থ "ভাল" বা "খারাপ" থাকলে আমি অনুমান করতে পারি না।
ইভান অ্যান্ডারসন
বল == খারাপ। সুপার বল == অতিরিক্ত খারাপ।
দোলা
অনেকগুলি নিয়ম সহ, নিশ্চিত হয়ে নিন যে আপনি প্রতিষ্ঠিত এবং সম্পর্কিত সংযোগগুলি শীর্ষে গ্রহণযোগ্য করে শীর্ষে একটি এসিসিপিটি বিধি রেখেছেন। পিসিগুলির একটি টিসিএএম নেই এবং অনেকগুলি বিধি পারফরম্যান্সকে প্রভাবিত করে। অনেক.
টমাস
@ থমাস: হ্যাঁ, একটি নির্দিষ্ট পরিমাণের অপ্টিমাইজেশান রয়েছে যা নিয়মসেটে যায় into ফায়ারওয়াল যে কোনও সরঞ্জামই বেছে নেওয়া হয়েছে তাতে অপ্টিমাইজেশন সম্পর্কে সেই "জ্ঞান" থাকা অবশ্যই একটি বোনাস হতে পারে।
দোলা

উত্তর:

4

যদি আপনি সম্ভবত কোনও নিয়ম-চালিত দৃষ্টিভঙ্গি থেকে কোনও কাজ করার পদ্ধতিতে "চূড়ান্ত অবস্থার বিবরণ প্রয়োজন" বর্ণনা করতে চান তবে fwbuilder এ একবার দেখুন।

পেশাদাররা:

  • একাধিক ফায়ারওয়াল সমর্থিত - আপনার মূল + হোস্ট-ভিত্তিক নিয়ম - 1 সেট অবজেক্ট থেকে
  • এসকিউএল-এস্কো "আপনি কী চান তা আমাকে বলুন" পরিবর্তে "এটি কীভাবে করবেন তা বলুন" (পদ্ধতির (এনবি আমি এখানে বলছি না যে সেখানে কোনও এসকিউএল আছে! ঠিক এটিই বর্ণনামূলক বনাম প্রক্রিয়াগত :-)
  • এটি একটি জিইউআই, বাণিজ্যিক হার্ডওয়্যার এফ / ডাব্লু বিক্রেতাদের ইন্টারফেসের মতো ধরণের, সুতরাং কর্মচারী / দক্ষতার স্তরের নিচে কিছু কাজ ঠেলা সম্ভব possible
  • আমি চেষ্টা করেছি বেশিরভাগ "বদ্ধ" ব্যবহার সমর্থন করে
  • বিএসডি / সিকসো / আইপটেবলস / ইত্যাদি - বিভিন্ন ধরণের f / w প্রয়োগের জন্য বিধি তৈরি করতে পারে
  • নিয়ম-সংকলক থেকে ফ্রন্ট-এন্ড বিচ্ছিন্ন করে, যা আমাকে আশাবাদী করে তোলে যে গতি লেখকদের কাছে উদ্বেগজনক। এনবি আপনার কাছে যে পরিমাণ স্কেল চিহ্নিত করা হচ্ছে তার কাছে আমার কাছে কিছুই নেই
  • ফাইল ফর্ম্যাট বাইনারি নয়
  • আইপিভি 6 করে
  • পারমাণবিক এবং দ্রুত লোডিংয়ের জন্য একটি iptables-save স্টাইলী কনফিগারেশন তৈরি করে

কনস:

  • এটি একটি জিইউআই
  • আপনার বিদ্যমান রুলসেটটি স্থানান্তরিত ব্যথা মুক্ত হওয়ার সম্ভাবনা নেই
  • জিপিএল এবং ডেবিয়ানে, উইন্ডোজ + ওএসএক্স ক্লায়েন্টগুলি 30 দিনের ইভাল, কারণ সেই ওএসের জন্য এখনও কোনও ফ্রি সংস্করণ সংকলিত নেই; সুতরাং ডিভসের বাণিজ্যিক বাহিনীর সেই বাইনারিগুলির উপর একচেটিয়া রয়েছে
  • ফাইল ফর্ম্যাটটি প্রযুক্তিগতভাবে এক্সএমএল; এনবি আপনাকে এড়াতে দেবে না: তারা যে সরঞ্জামগুলি সরবরাহ করে তা একবার দেখুন (উদাহরণস্বরূপ, আপনি সিআইএলির মাধ্যমে এটি পরিচালনা করতে গুই বাইনারি ব্যবহার করতে পারেন), ইতিমধ্যে বিদ্যমান সিএলআই এক্সএমএল সরঞ্জামগুলি, এবং এটি মনে রাখবেন - আপনার স্কেল - মেটা ডেটা + কাঠামোর কিছু সিম্ব্লেন্স একটি / খারাপ / জিনিস নয়! এটি সম্পাদনাগুলি, আইআইআরসি জুড়ে বেশ সুন্দরভাবে আলাদা।

লিঙ্ক: http://www.fwbuilder.org

জোনাথন ম্যাথিউস
সূত্র
Hrm ... আমি একবার দেখে নেব একটি জিইউআইয়ের অস্তিত্ব (এক্সএমএলটির উল্লেখ না করা) আমাকে বরং হিংস্রভাবে কুঁচকে দেয়, তবে আপনি কিছু আকর্ষণীয় ধারণা (পুরো অবকাঠামোর নিয়মের একক সেট) উত্থাপন করেন। ওএস এক্স জিনিসটি কোনও সমস্যা হতে পারে না।
womble
আমি একমত, একটি জিইউআই আমাকে মূলত এটিতে ডাব্লুটিএফ করেছে, তবে সিএলআই পক্ষ থেকে আমি যা দেখেছি তাতে আমি সন্তুষ্ট। যাইহোক, আপনার সেটআপটি কতটা গতিশীল? এটি কি দিনে 10 টি পরিবর্তন বা বছরে 10 টি পরিবর্তন হবে? এখানে বিস্তারিত জানার জন্য এটি একটি কার্যকর উপাদান হতে পারে। এছাড়াও, এক্সএমএল ফাইল ফর্ম্যাটটির একটি দুর্দান্ত ফাংশনটি হ'ল এক্সএমএল-সচেতন সরঞ্জামগুলি ব্যবহার করে একক সংজ্ঞাযুক্ত বস্তু ব্যবহার করে আপনার একটি ফাইলের মধ্যে পুরো কনফিগারেশন থাকতে পারে, তবে স্বতন্ত্র সার্ভারের কনফিগারেশন এবং চেঞ্জসেটগুলি ডকুমেন্ট করার জন্য নোড-নির্দিষ্ট চেঞ্জলগ তৈরি করতে পারে । শুধু একটি ভাবনা ...
জোনাথন ম্যাথিউস
@ জোনাথন: আপনি ঠিক বলেছেন, রুলসেটের গতিশীলতাটি জানা গুরুত্বপূর্ণ। আমি প্রশ্নটি সম্পাদনা করেছি; এটি কোর রুলসেটের জন্য বেশিরভাগ কার্যদিবসে দিনে কয়েকবার হয়।
দোলা
3

আপনার নিজের লিখুন। গুরুত্ব সহকারে - এই স্কেল এটি যুক্তিসঙ্গত।

আইপসেট এবং / অথবা প্রচুর পরিমাণে iptable টেবিল / উপশব্দগুলি ব্যবহার করুন । যখনই সম্ভব পুনরায় লোড করুন কেবলমাত্র কয়েকটি উপ-টেবিল / আইপসেটের কিছু সেট - এটি পুনরায় কনফিগারেশনকে গতিযুক্ত করবে।

সম্ভবত আপনি এটি ইতিমধ্যে করেছেন, তবে এখনও এটি উল্লেখ করার মতো - রাউটারে লোড হ্রাস করতে নেস্টেড টেবিলগুলি ব্যবহার করুন এবং নতুন সংযোগ স্থাপনের জন্য প্যাকেটগুলির জন্য প্রয়োজনীয় গড় অনুসন্ধানের সংখ্যা প্রয়োজন। স্পষ্টতই - একটি অগ্রবর্তী-মিটার রাজ্য - স্টেট ইস্টাব্লিশড, সম্পর্কিত আপনার শীর্ষতম নিয়ম your

pQd
সূত্র
"আমাদের নিজের লিখুন" টেবিলের বাইরে নয়, তবে এটিই আমাদের প্রথম স্থানে ফিল্টারজেন পেয়েছে - এটি একজন প্রাক্তন কর্মচারী লিখেছিলেন। আমরা যদি এখনও সম্ভব হয় তবে অন্য ফায়ারওয়াল-ম্যানেজমেন্ট-সরঞ্জামটি উত্পাদন না করতে চাই।
womble
আইপিএসইটি বড় নিয়মের সেটগুলির জন্য দ্রুত বজ্রপাত করছে। "একাধিক আইপি ঠিকানা বা পোর্ট নম্বর সংরক্ষণ করুন এবং আইপেটেবল দ্বারা সংগ্রহের বিরুদ্ধে এক চলাফেরায় ম্যাচ করুন; কার্য সম্পাদন ব্যয় ছাড়াই আইপি অ্যাড্রেস বা পোর্টগুলির বিরুদ্ধে আইপি টেবিল বিধিগুলি গতিশীলভাবে আপডেট করুন; জটিল আইপি ঠিকানা এবং পোর্ট ভিত্তিক রোলসেটগুলি একক আইপটবেবল নিয়ম সহ প্রকাশ করুন এবং গতি থেকে উপকার পাবেন আইপি সেট "আমি শোরওয়াল দিয়ে এটি ব্যবহার করি। শোরওয়াল যদিও আপনার স্কেলে পারফর্ম করবে সে সম্পর্কে আমার কোনও ধারণা নেই।
artifex
2

পবিত্র বল (থিম জীবিত রাখুন!) মানুষ ... 12,000 মূল নিয়ম?

আমি ধরে নিচ্ছি আপনি সিভিএসে সেটগুলি ফেলে দেওয়ার মতো সমস্ত সহজ বিকল্প বিবেচনা করেছেন? পুতুল নাকি সিফেনজিন?

সত্যিই, আপনি যে বিস্তৃত ওভারভিউ দিয়েছেন তার থেকে আমি আপনার নেটওয়ার্ক ডিজাইনের পুনরায় মূল্যায়ন করার পরামর্শ দিচ্ছি। আমি সম্ভবত কিছুটা সরলবাদী, তবে আমি কেবল এমন কোনও নকশাকে বুঝতে পারি না যে 12 কে আইপিটেবলের নিয়ম প্রয়োজন। এটি সত্যিই এমন কিছু বলে মনে হচ্ছে যা ফায়ারওয়াল নিয়মগুলি পরিচালনা করার চেয়ে ভাল উপায়ের চেয়ে এসএলবি ধরণের সমাধান থেকে আরও বেশি উপকৃত হবে।

সাইড নোটে, কীভাবে কেউ একটি "উত্তর" যুক্ত বনাম কোনও মন্তব্য যুক্ত করে?

Greeblesnort
সূত্র
মন্তব্য করতে আপনার ন্যূনতম পরিমাণে খ্যাতি দরকার। আপনি যখন একটি লিঙ্ক উপস্থিত হবে।
jay_dubya
আমাদের iptables নিয়মগুলিতে সম্ভবত একটি অতিরিক্ত পরিমাণের রিডানডেন্সি রয়েছে তবে এটি ফিল্টারজেনের একটি কাজ যা সম্ভবত এটি দক্ষ হিসাবে কার্যকর হচ্ছে না। আমাদের কাছে আইপি স্পেসের একটি / 19 আছে, এবং প্রতি গ্রাহক ভিএলএএন, এবং একটি যথেষ্ট নিয়ন্ত্রক "ডিফল্ট নীতি" (গ্রাহকরা প্রয়োজনীয়ভাবে বন্দরগুলি খুলতে প্রতি আইপি ব্যতিক্রম প্রয়োজন)। আমরা অবশ্যই এই কয়েকটি বিধি থেকে বেশি মুক্তি পেতে সক্ষম হব না। ওহ, এবং হ্যাঁ, আমরা ইতিমধ্যে পুতুল ব্যবহার করেছি এবং আমরা আমাদের ক্রিয়াকলাপে হাতে হাতে রুলসেটগুলি লিখতে শুরু করি না।
womble
ভাল, আপনি অবশ্যই আমার চেয়ে বড় আইপি স্পেস বজায় রাখছেন, তবে এখনও আমি অনেকগুলি নিয়মকে ন্যায়সঙ্গত প্রমাণ করতে অসুবিধা বোধ করি। আপনি কি এই গাছগুলিকে এমন একটি কাঠামোর মধ্যে ভাঙ্গার চিন্তা করেছেন যেখানে আপনি চোকপয়েন্টে ফলন-নিয়ম সেটআপগুলি ব্যবহার করতে পারেন? অর্থাত্, সমস্ত ওয়েব কেবলমাত্র সাবনেট এক্সে সার্ভার, সমস্ত ওয়েব + এসএমটিপি সার্ভার সাবনেট ওয়াইয়ে? আপনাকে আসলে এগুলি সাবনেট করতে হবে না, কেবল যুক্তিযুক্তভাবে একটি টাইয়ার ফায়ারওয়ালের পিছনে তাদের গ্রুপ করুন ... দুঃখিত যদি আমি এই মুহুর্তে কেবল শব্দ যোগ করছি ... তবে আমি সম্ভবত এটির জন্য যথেষ্ট পরিশীলিত না হতে পারি। আমি আমার ফায়ারওয়ালগুলি সংক্ষিপ্ত এবং নির্মম
রুলসেটগুলি
আমরা আসলে এই জাতীয় জিনিসগুলিকে "স্তরের" করার মতো অবস্থানে নেই; আমরা বেশিরভাগই একটি ডেডিকেটেড সার্ভার হোস্টিং সরবরাহকারী, সুতরাং আমাদের গ্রাহকরা প্রতিদিন তাদের মেশিনগুলির সাথে কী করার সিদ্ধান্ত নেন তা পরিবর্তিত হতে পারে, যদি আমরা কেবল কোনও অভ্যন্তরীণ পরিষেবার জন্য নিবেদিত পরিকাঠামো করছিলাম তবে তার চেয়ে অনেক বেশি নাচের দরকার পড়ে।
দোলা
0

12000 বিধি? তুমি কি পাগল? এই পরিমাণ ফিল্টারিং চলছে বলে আপনি কি পারফরম্যান্স সমস্যায় ভুগছেন না? আমি দেখতে পাচ্ছি না কেন আপনার 12,000 বিধি লাগবে? আপনি কীভাবে যাচাই করবেন যে আপনি যে আইনটি সেট করেছেন সেটি আসলে নীতিটি কার্যকর করছে?

নীতি কী?

আপনি কীভাবে আপনার নীতি পরীক্ষা করেন?

12,000 বিধিগুলি সম্ভবত বইয়ের প্রতিটি সুরক্ষা বিধি ভঙ্গ করে।

ইউনিক্স জানিটর
সূত্র
-2

আপনি iptables -> https://www.efw.io/ forum পরিচালনা করার জন্য একটি SAAS সমাধান চেষ্টা করতে পারেন এটি AWS ক্লাউড ইন্টিগ্রেশনও করতে পারে।

পল মা
সূত্র
আমি সন্দেহ করি যে একটি সাএস অফারটি ডিএফএসজি-মুক্ত হতে চলেছে।
দোলা
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.