Forum Linux.général Règle iptable en matrice de flux lisible

Posté par Orwell le 18 juin 2020 à 10:09. Licence CC By‑SA.

Étiquettes :

juin

2020

Salut tout le monde,

Je viens de débuter dans une boite qui a de vieux firewall iptable comme unique protection réseau.
C'est difficile à administrer au quotidien et nous sommes contraint de faire appel à un prestataire qui facture très cher pour le moindre changement.

J'aimerai donc les remplacer par une techno avec un interface un peu plus "user friendly" et pour ça j'ai besoin de pouvoir réaliser une matrice de flux de type :FROM TO ACTION PROTO

Savez vous s'il existe des outils qui permettent d’interpréter les règles Iptable d'une façon qui s'en approche?
J'ai besoin d'exporter et les règles de filtrage et les règles de NAT/PAT.

Je vous remercie pour votre aide.

Bonne journée

# iptables-save, iptables-restore

Posté par NeoX le 18 juin 2020 à 11:27. Évalué à 4.
ca fait deja du boulot pour sauvegarder, restaurer les regles,

tu peux éditer la sortie, pour la réinjecter telle quelle.

ca fait deja un debut de boulot en donnant un fichier contenant dans ce format
```
-A INPUT -s 223.173.0.0/16 -j DROP
-A INPUT -s 223.254.0.0/16 -j DROP
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
```
apres il y a souvent des outils plus haut niveau comme ufw, firewalld en ligne de commande, qui vont générer des fichiers de config texte ou xml, pour les rejouer et générer les regles potables qui vont bien.

enfin, à une époque on utilisait firewall-builder pour avoir quand meme une interface graphique pour voir ce que va rendre le firewall, puis générer les regles sur les équipements
- [^] # Re: iptables-save, iptables-restore
  
  Posté par Anonyme le 18 juin 2020 à 15:15. Évalué à 4. Dernière modification le 18 juin 2020 à 15:16.
  
  perso j'utilise shorewall avec des fichier propres a lui et sont assez lisibles, avec j'ai déjà fait du trafic shapping sans souci (les doigts dans le nez grace a la doc of course).
  
  éditable avec ton éditeur de texte favori (vim par exemple)
  
  https://shorewall.org/
  
  cette page explique les grande ligne assez bien (en anglais)
  
  https://shorewall.org/Introduction.html
  
  mais ce ne sera pas mieux avec openBSD et son célèbre pf
  - [^] # Re: iptables-save, iptables-restore
    
    Posté par Gil Cot ✔ (site web personnel, Mastodon) le 19 juin 2020 à 18:21. Évalué à 1.
    
    Je ne connaissais pas Shorewall ; à tester à l'occasion.
    
    Un peu dans le même esprit, j'ai plutôt utilisé Firehol (https://firehol.org/) et Ferm (http://ferm.foo-projects.org/)
    
    “It is seldom that liberty of any kind is lost all at once.” ― David Hume
- [^] # Re: iptables-save, iptables-restore
  
  Posté par lolop (site web personnel) le 18 juin 2020 à 19:25. Évalué à 2. Dernière modification le 18 juin 2020 à 19:27.
  
  Un complément par rapport à la demande dans le forum… Importing iptables Configurations Into Firewall Builder. Si ça fonctionne, ça devrait répondre à la question.
  
  Et s'il faut changer ensuite de système de filtrage, FirewallBuilder peut générer les configs pour différentes solutions «Firewall Builder supports a wide range of firewall platforms, including Cisco ASA & PIX, Linux iptables, BSD pf and many more. You’re not confined to one platform—or locked into a single vendor. »
  
  Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141
  - [^] # Re: iptables-save, iptables-restore
    
    Posté par Orwell le 19 juin 2020 à 10:09. Évalué à 1.
    
    Merci beaucoup à vous tous pour vos réponses.
    Je vais voir ce que donne FirewallBuilder.
    
    Bonne journée