Fina

Fina is een eenvoudige, robuuste shell script dat iptables regels laadt uit een regeling directory. Als zodanig, het is niet bezig met het maken van regels voor u, het is gewoon helpt je ze laden in een robuuste manier.
Als er iets niet lukt, zal Fina uw oude regelset laden. De Fina project maakt het ook rijker commentaar in de regels bestanden dan iptables. Toch kan het omgaan met alles wat iptables-herstellen kan.
Fina is het gevolg van het werken met diverse pogingen wrapping iptables
(Eerder: Netfilter) met scripts en andere infrastructuur om
maken dagelijks bestuur van de regels eenvoudiger.
Vanwege mijn werk, heb ik altijd een script dat gemakkelijk kan worden geautomatiseerd nodig
afstand. Het maakt niet uit hoe groot een script is, als het duurt eeuwen te werken
veertien webservers van een cluster, het is nutteloos voor mij.
Een andere fundamentele behoefte aan een dergelijk script is dat het veilig door te
default - zonder in de admins veel te veel. Het is te zeggen,
het schept alleen maar regels die de admin uitdrukkelijk configureert. Natuurlijk, een
verstandige set van configuratie / voorbeelden / wordt verstrekt.
De derde harde eis is dat het script kan doen moet
Netfilter alles kan. Dat betekent dat het niet uitmaakt hoe ingewikkeld uw
NAT en prerouting magie behoeften zijn, het script moet kunnen verwerken
het. Een bijwerking hiervan is, dat het grote filtersets moet aansturen op
minste even gemakkelijk als Netfilter zelf.
De vierde vereiste is een beetje ingewikkeld. Soms kan het
noodzakelijk variabelen in / proc wijzigen nadat modules zijn geladen
maar voordat regels verwijzen naar deze modules worden toegevoegd. Ook Soms
kan het nodig zijn, om dingen te doen na de packet filter is geweest
geladen. Daartoe / etc / fina kunnen twee scripts genoemd bevatten
"Pre-up.sh" en "post-up.sh". Als deze bestanden bestaan ​​en uitvoerbaar,
zij worden uitgevoerd op de overeenkomstige tijden.
Tenslotte moet het script lichtgewicht heeft zo weinig extern zijn
afhankelijkheden mogelijk. Ook moet het script zelf als eenvoudig
en klein mogelijk. Dit is omdat de eenvoudige dingen hebben minder manieren
waarin zij kunnen falen.
Ontwerp
Door de vier bovengenoemde harde eisen, het script niet
eigenlijk "weten" dat alles veel over Netfilter. Zo dit
Bevat alles Netfilter kan doen - zonder dat een bewegende
doelwit van specs te houden aan.
Kortom, Fina assembleert een iptables-herstellen compatibel regel dump van
fragmenten configureert / uitgegeven door de beheerder van de machine. Het probeert vervolgens naar
laadt u de hele set. Als dit niet lukt op geen enkele manier, de oude regel set is
hersteld.
Uiteraard betekent dit dat Fina doet naast niets voor de beheerder
als het gaat om / genereren / regels op de machine. Dit is een bewuste
beslissing. Voor één, wie gebruikt / configureert een packet filter zou moeten zijn
de hoogte van alle gevolgen van zijn daden. Daarbij moet gedacht
te weten waarom het slecht is om alle ICMP-verkeer te laten vallen.
Een andere reden is dat het verstrekken van voorbeelden of zelfs recepten voor packet
filters is iets / documentatie / moeten doen. Het is geen goed idee om
hebben een zwarte doos te doen "gewoon het juiste ding". Meestal is er een
niet-triviale hoeveelheid gebruikers waarvoor The Right Thing kan niet gemakkelijk worden
geraden.
Hoe het werkt
Als fina wordt gestart via de init script, een kritische extra stap
genomen: het script probeert /etc/fina/minimal.rules laden met
iptables-herstellen. Dit is handig als u de kernel hebt bijgewerkt en
vergeten delen van de iptables modules - uw mooie grote configuratiebestand
zal waarschijnlijk niet laden en uw machine is ofwel kwetsbaar of
ontoegankelijk voor jou. Meestal wil je een zeer eenvoudige regel set hebben
hier (zonder conntracking) die toegang vanaf uw beheer mogelijk maakt
IPs. U kunt deze regelset laden met behulp van de -m commandline switch. Dit kan
handig zijn in noodsituaties (denk aan het als een paniek-knop).
Fina verwacht een configuratiebestand, /etc/fina/fina.cfg. Dit is
eigenlijk gewoon een shell script dat afkomstig is uit de belangrijkste Fina
script. Het bevat (standaard) een variabele die men opgeeft
extra locatie, dat van de regel directory. Ten eerste controleert of fina
/etc/fina/pre-up.sh bestaat en uitvoerbaar is en zo ja, loopt het. Dit is
de plaats om modules te laden of dingen te veranderen in proc, indien de noodzaak zich voordoet.
De tweede locatie is belangrijker. Het specificeert de directory die
bevat de regel snippets dat Fina moet monteren. Meestal is dit
gelegen op /etc/fina/rules.d/. Fina gaat dan om alle bestanden te laden uit
zei directory (en de sub-directories) die eindigen in .rules. Om te
hebben betrouwbare volgorde bij het monteren, worden de bestanden meestal voorafgegaan
twee- of drie-cijferige nummers.
De verwachte formaat van de bestanden is niet de zorg van Fina. Fina zelf
zullen ze alleen assembleren om in één bestand. Hierna zal zij
een backup van de huidige regelset (met behulp van iptables-save) en zet het in een
locatie die in /etc/fina/fina.cfg. Dan zal Fina proberen te laden
het gegenereerde bestand met behulp van iptables-herstellen. Als dit niet lukt om wat voor
reden, zal het proberen om de oude regel set laden en vertonen een geschikte
foutmelding plus wat boodschap die zij kreeg van de tekortkoming
iptables-herstellen commando.
Ten slotte zal fina uitvoeren /etc/fina/post-up.sh als het bestaat en is
executable.
Andere functionaliteit
In aanvulling op het genereren en vervolgens direct laden van een regelset, Fina kan
ook gewoon dumpen het bestand zou het laden stdout ("alsof mode", die
is de standaard). Dit is handig als u vermoedt dat er een bug in uw Netfilter
fragmenten en willen een blik op de set voordat het proberen om het te laden.
Fina geeft een overvloed aan reacties op het gegenereerde bestand te debuggen maken
gemakkelijker. Met behulp van Finas alsof-modus, kunt u er ook voor zorgen dat de Fina kan lezen
alle bestanden die het zou moeten.
Ook deze manier kunt u diffs tussen uw momenteel regels te maken
en de regels Fina zou opleveren. Op deze manier kunt u gemakkelijk ter plaatse als de
veranderingen in de regels fragmenten hebben de verwachte resultaten.
Houd er wel rekening mee dat in deze modus, Fina heeft geen manier om te vertellen als
wat het genereert daadwerkelijk kan worden geladen met iptables-herstellen.
Helaas heeft het kernel-interface niet een middel om te zien of te voorzien van een
regelset kan worden geladen zonder daadwerkelijk te activeren (als ik verkeerd ben
hier, zou ik blij zijn om te horen over dergelijke functionaliteit) zijn.
Om te helpen bij het debuggen, alle lijnen die door Fina zelf zijn
voorvoegsel "# Fina #", zodat je kunt zien welke lijnen zijn van Fina en
welke afkomstig zijn van uw bestanden

Wat is nieuw in deze release:.

• Een show-stoppen bug in de foutafhandeling van de generieke init scripts werd vastgesteld.

Wat is nieuw in versie 0.2.2:

• Een klein logische oplossing voor pre / post-up scripts werd gemaakt.
• De documentatie werd enigszins versterkt.

Wat is nieuw in versie 0.2.0:

• Fina is nu in staat om zowel IPv4 als IPv6 te behandelen regelsets.

Eisen

• GNU bash (& gt; = v2)
• GNU vinden (iets recente)
• GNU grep (idem)
• GNU sed (idem)
• iptables (wat werkt met uw kernel)