1.想对多台服务器上的 iptables 进行监控,查看 iptables 状态,(启动,关闭)(现在是 shell 脚本的方式).
2.对 iptables 通过一个平台去进行增删改查,是否容易实现,(结合 ipset ,还是有其他更好的方式)。
主要是关心第二条,希望有此经验的同学指条方案。由于业务负责人员经常变动,对每条 iptables 对应的业务不清楚,所以现在只是往上增加策略,没有删除(不敢删)。长此下去,策略只会越来越臃肿。
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 3702 days ago, the information mentioned may be changed or developed.
Supplement 1 · Apr 5, 2016
如果有第三方开源平台,或者开源库也会考虑
 |
1
aabbccli Apr 5, 2016
这是要做路由器的节奏呀
|
 |
2
crowds Apr 5, 2016
这种事情不要在 linux 上去做
|
|
3
crowds Apr 5, 2016
接上,不要在服务器端去做
|
 |
5
tuteng OP @aabbcli 做不了啊,主要是组里人员主要偏向于运维,对于 iptables 管理,每次要登录退出目标服务器,再去增加,查看,十分不方便,而且容易出错
|
 |
6
gamexg Apr 5, 2016 via Android  1
自己写个?
python 倒是有个 iptable 的库,之前通过这个库统计过 ss 流量,定时上传到网站。 各个节点开个 http 服务接收 ss 配置推送,也可以长连接推送。 一个建议,第一条规则就是 iptable 更新进程白名单,防止自己把自己拦截。 |
 |
8
jackal Apr 5, 2016 1
由于业务负责人员经常变动,对每条 iptables 对应的业务不清楚,所以现在只是往上增加策略,没有删除(不敢删)。
-----> 如果现状已经是这样了,你考虑 ipset 没有意义。 ipset 跟 iptables 规则并不是完全兼容,引入 ipset 势必要重新梳理你现有的 iptables 规则,这样构建的风险太大(梳理之后又要重新构建,风险当然大)。 iptables 也是有正确用法的,简单的指令熟悉根本就不算叫使用 iptables ; 规则架构规划组织,用户链的引入,性能方面的提前考虑才是 iptables 的正确用法。 ipset 相比 iptables 只是说当规则超过一定数量的时候性能更有优势。 建议你第一步是重构你目前已有的 iptables 规则,重构有科学的方法,至少能控制范围和风险! 其他的应该根据第一步之后的结果再另外分析考虑。 |
 |
10
coagent Apr 6, 2016 1
|
 |
11
vonnyfly Apr 6, 2016
这个需求应该蛮大的, iptables 配置很容易出问题,前两天还把自己挡在 ssh 外面了。还有一些语法错误啊什么的,有个 web 配置界面,简直再好不过了。
|
 |
12
Gothack Apr 6, 2016
楼主我觉得我们遇到的是同样的问题、、
|
Select Language