Мониторинг статуса iptables
У кого-нибудь есть хорошее решение для проверки iptables, чтобы обеспечить применение соответствующих правил (и служба работает)? Я использую Zenoss для мониторинга окружающей среды.
Кроме того, некоторые правила в моей цепочке, которые я хочу проверять, блокируют трафик из определенных сетей, и поскольку мой монитор Zenoss находится в доверенной сети, выполнение только мониторинга портов даст ложные срабатывания. В идеале мне нужно решение, которое читает и интерпретирует процесс iptables, а также дает некоторую гибкость среде, когда точные правила в цепочке могут измениться.
Спасибо
3 ответа
Сделайте скрипт, который будет выгружать правила в файл (iptables -L или же iptables-save) который он затем будет grep для соответствующих правил.
Обратите внимание, что вы можете ограничить вывод только одной таблицей. Вы также можете взять хеш полученного файла, чтобы обнаружить отклонения без грязных greps или регулярных выражений.
Сохраните заведомо исправный вывод где-нибудь в другом месте как файл только для чтения.
Ежедневно выполняйте задание cron, чтобы отправлять вам по электронной почте любые непустые различия вывода iptables -L и сохраненного вывода.
Я использую Webmin ( http://www.webmin.com/) для проверки iptables через графический интерфейс. Через webmin вы можете напрямую следить за несколькими вещами, в том числе за тем, какие правила в настоящее время применяются в iptables. Кроме того, вы можете добавлять новые правила относительно легко.
Если вы имеете в виду мониторинг того, какие порты открыты и закрыты в результате выполнения правил iptables, которые в данный момент выполняются, вы можете настроить окно Nagios, которое запрашивает определенные порты, чтобы увидеть, реагируют ли службы на открытые порты.