ファイアウォールの変更管理
現時点では、Pythonスクリプトを使用してiptablesルールを生成しています。変更の各セットはデプロイ前にgitリポジトリにコミットされるため、誰が何を変更したかを追跡できます。なぜ。
他の人がファイアウォールルールの変更を管理するために使用するツール/プロセスは何ですか?誰もが好きなファイアウォール変更制御のベストプラクティスに関するガイドはありますか?
PDATE:私が求めているのは、その地域の周りのツール/プロセスです。たとえば、大きなファイアウォールスクリプトのテストは非常に難しいと思います。誰かがテストスクリプトを使用/作成したり、iptablesで可能な単体テストタイプのアプローチを知っていますか?
Shorewallのようなiptablesルールを生成する高レベルのソフトウェアを使用できます。ルールの整合性とエラーをチェックするコマンド「shorewallcheck」があります。
ファイアウォールの変更管理は他のものとそれほど変わらないと思うので、標準のソース管理が機能します。 gitまたはsvnを使用して、スクリプトのチェックインを自動化します。
これには、標準のソース管理ツールで十分です。これを自動化する場合にも考慮すべきことの1つは、チェックインフックに有効性チェック(「ショアウォールチェック」Lucが言及したような)を追加して、不正な構成の展開に対する保護レベルを提供することです。