Як одна версія може контролювати правила брандмауера ядра Linux?

Наш маршрутизатор - CentOS, але ми просто використовуємо iptables для зміни правил брандмауера ядра Linux. Існує сценарій, який знаходиться під контролем версій, який скидає всі ланцюги / правила, але при цьому відміняє всі існуючі з'єднання і, як правило, спричиняє хаос, якщо працювати в робочий час. Це означає, що звичайний метод зміни правил брандмауера - це використання iptables"на ходу". Це може призвести до зміни брандмауера, не повернення його до контролю версій.

Те, що я намагаюся розробити, - це перевірити, чи були якісь модифікації брандмауера після певної версії сценарію в Subversion.

Вихід від iptables --listсильно відрізняється від рядка в сценарії, який зазвичай виглядає щось подібне iptables -A chain -j ACCEPT -s 192.168.1.100.

Чи є простіший / кращий спосіб тримати правила брандмауера ядра Linux під контролем версій?

Я відкритий для пропозицій альтернативних інструментів або операційних систем, якщо вони є відкритим кодом і добре встановлені.

Я зрозумів, як тільки запитав це, що є iptables-saveі iptables-restore. Однак на даний момент я не впевнений, як це буде працювати. Я відправлю його в якості відповіді , але я думаю , що реальне рішення буде трохи складніше.

Можна було б використати, iptables-saveякий друкує поточно завантажені ланцюги для stdout. Ви також можете використовувати -tкомутатор, щоб вказати визначені користувачем ланцюги. Таким чином, ви можете виводити кожну ланцюжок у файл один за одним і керувати ними версії. Однак я не можу побачити простий спосіб перезавантаження ланцюгів по одному, оскільки еквівалент iptables-restoreне має еквівалентного перемикача ( -tзамість цього тест означає).

Іншим обмеженням цього методу, який я помітив, було те, що немає можливості зберегти вбудовані ланцюги окремо (наприклад, INPUT, OUTPUT і FORWARD). Єдиний спосіб їх усунути - не використовувати -tперемикач і скидати все.

Потрібно було б трохи сценаріїв, щоб все це перетворити на щось, що можна легко зберегти та перезавантажити.