18 сентября 2015 г.

Лопата в руках + puppet (iptables)

После настройки DNS надо подумать о настройке fierwall на серверах.

Точно так же, как и с DNS, существуют модули puppet, предназначенные для управления fierwall. Исходя из соображения, зачем использовать сторонние обёртки, когда iptables сам по себе крут и админ должен знать его на Ять, я не буду использовать эти модули.

Что будем делать:

  • Удалим firewalld, поставим классический iptables-service.
  • Создадим файл с конфигурацией фаервола, в стиле /etc/sysconfig/iptables.
  • На клиенте запустим скрипт, который применит правила fierwall.

На puppet сервере, создадим файл с конфигурацией firewall для машины с dns:
# cd /var/puppet/centos7-2.test.local/etc/
# mkdir sysconfig
# vim sysconfig/iptables
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
COMMIT

В файле site.pp добавляем новый класс.
class minimal-iptables {
# Удаляем firewalld
package { 'firewalld':
ensure => absent,
  before => Package['iptables-services']
}
# Перед удалением firewalld останавливаем соответствующий
# сервис и делаем ему disable.
service { 'firewalld':
name => "firewalld",
enable => false,
ensure => stopped,
before => Package['firewalld']
}
# Устанавливаем iptables-services
package { 'iptables-services' :
ensure => installed
}
service { 'iptables':
  enable => true,
ensure => running,
  require => Package["iptables-services"]
 }
# Определяем файл, в котором будем описывать
# правила firewall
file { '/etc/sysconfig/iptables':
ensure => file,
mode => '0600',
owner => 'root',
# Для каждой машины предполагается свой файл
source => "puppet:///configs/$fqdn/etc/sysconfig/iptables",
require => Package["iptables-services"]
}
# Описываем программу, которая будет выполняться
# на машине для поднятия правил fierwall
exec { 'firewall':
# «Подписываемся» на файл
subscribe => File["/etc/sysconfig/iptables"],
# Устанавливаем правила фаервола из файла.
command => "/usr/bin/cat /etc/sysconfig/iptables | /usr/sbin/iptables-restore ",
# Говорим, что программа будет выполняться
# только если файл, на который мы подписаны,
# изменился.
refreshonly => true
}
}

Вносим изменения в node.
node 'centos7-2.test.local' {
include 'baselinux'
include 'minimal-iptables'
include 'dns'
}

Проверяем файл манифеста.
# puppet parser validate /etc/puppet/manifests/site.pp

У данного способа есть недостаток - при исполнении скрипта будут рваться сессии. Это можно обойти, используя вместо файла /etc/sysconfig/iptables самописанный скрипт.
Отправить комментарий