URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3124
[ Назад ]

Исходное сообщение
"Проверка правил iptables"
Отправлено lux.place , 23-Янв-07 07:57

Есть не очень большая, но уже нетривиальная сеть. Горсть vpn, snat/dnat и прочих радостей. Собственно задача - тестить firewall'ы на серверах. Где-то так:
Сеть: Клиент - сервер1 - сервер2 - сервер3.
Надо:
1) на сервере1 с командной строки убедиться, что пакеты от клиента до сервера3 будут через фаервол пропущены. При выключенной в этот момент машине клиента.
2) на сервере1 при тех же условиях убедиться, что пакеты будут завёрнуты на сервер2.
3) на нём же при тех же условиях убедиться, что пакеты будут пропущены через конкретное правило -j SNAT
В идеале получается система тестов на всех серверах, которая при внесении изменений в конфигурацию сети будет меня громко материть на предмет отвалившихся хвостов. А в полном идеале она врисовывается в nagios. Ну да систему нарисовать не трудно, знать бы чем правила iptables/route проверять.
Куда гуглить?

Содержание

Проверка правил iptables,solaris, 23:46 , 29-Янв-07

Сообщения в этом обсуждении

"Проверка правил iptables"
Отправлено solaris , 29-Янв-07 23:46

>Есть не очень большая, но уже нетривиальная сеть. Горсть vpn, snat/dnat и
>прочих радостей. Собственно задача - тестить firewall'ы на серверах. Где-то так:
>
>Сеть: Клиент - сервер1 - сервер2 - сервер3.
>Надо:
>1) на сервере1 с командной строки убедиться, что пакеты от клиента до
>сервера3 будут через фаервол пропущены. При выключенной в этот момент машине
>клиента.
>2) на сервере1 при тех же условиях убедиться, что пакеты будут завёрнуты
>на сервер2.
>3) на нём же при тех же условиях убедиться, что пакеты будут
>пропущены через конкретное правило -j SNAT
>
>В идеале получается система тестов на всех серверах, которая при внесении изменений
>в конфигурацию сети будет меня громко материть на предмет отвалившихся хвостов.
>А в полном идеале она врисовывается в nagios. Ну да систему
>нарисовать не трудно, знать бы чем правила iptables/route проверять.
>
>Куда гуглить?
Если дело только в отвалившихся хостах - то нет ничего эффективнее, нежели смотреть arp. arpwatch и arping к вашим услугам. Что касаемо nagios - не изобретайте велосипеда. Напишите, что конкретно надо, а мы придумаем реализацию. При выключенном клиенте, запускаете алиас на маршрутизаторе из подсети клиента с его ip и тестируете с маршрутизатора.