現在私はPythonスクリプトを使用してiptables
ルールを生成しています。各変更セットは展開前にgitリポジトリにコミットされるので、誰が何を変更したのか、そしてなぜ変更したのかを追跡できます。
他の人は、ファイアウォールルールの変更を管理するためにどのツール/プロセスを使用しますか?ファイアウォール変更制御のベスト・プラクティスについて希望するガイドはありますか?
修正する:私が望むのは、その領域のツール/プロセスだと思います。たとえば、大規模なファイアウォールスクリプトをテストすることは非常に困難です。テストスクリプトを使用/作成したことがある、または使用できるユニットテストタイプのアプローチを知っている人はいますかiptables
?
答え1
Shorewallなどのiptablesルールを生成する高度なソフトウェアを使用できます。ルールの一貫性とエラーを確認する「shorewall check」コマンドがあります。
答え2
私はファイアウォールの変更制御が他のものと大きく変わらないと思うので、標準のソース管理が機能します。 gitまたはsvnを使用してスクリプトでチェックインを自動化します。
答え3
標準のソース管理ツールはこれに完全に適しています。これを自動化する場合は、チェックインフックに検証を追加することを検討することもできます(Lucが言及した「ウォーターウォールチェック」など)、誤った設定展開に対する特定のレベルの保護を提供します。