Комментарии 4
Я бы рекомендовал посмотреть на ufw. Это сделает конфигурацию правил фаирвола более наглядной и корткой + можно сделать темплейты для приложений и делать что-то вроде ufw allow tomcat
вот скажите, только честно. зачем пользоваться подобными надстройками над одним из самых простых и прозрачный фаерволов iptables? какой профит?
1. если речь об админе (а я полагаю, что человек, который использует puppet — админ), то незнание правил конфигурирования фаервола делает его элементарно профнепригодным.
2. если же об обычном пользователе, то что комментарий о каком-то ufw делает в посте про puppet?
1. если речь об админе (а я полагаю, что человек, который использует puppet — админ), то незнание правил конфигурирования фаервола делает его элементарно профнепригодным.
2. если же об обычном пользователе, то что комментарий о каком-то ufw делает в посте про puppet?
А на мой взгляд это то же самое, что правой пяткой чесать левое ухо.
Гораздо легче и нагляднее сделать обычный шелл скрипт для фаера. Дальше паппетом его синхрониховать с клиентской нодой и им же (паппетом) его выполнить.
Гораздо легче и нагляднее сделать обычный шелл скрипт для фаера. Дальше паппетом его синхрониховать с клиентской нодой и им же (паппетом) его выполнить.
То есть это всё запускается каждые полчаса?
Проще было бы сделать типа того:
file { "/etc/iptables.rules":
source => «puppet://server/module/iptables.rules»
}
exec { 'minimal-firewall':
path => "/usr/sbin",
subscribe => File["/etc/iptables.rules"],
command => «cat /etc/iptables.rules | iptables-restore»,
refreshonly => true
}
Проще было бы сделать типа того:
file { "/etc/iptables.rules":
source => «puppet://server/module/iptables.rules»
}
exec { 'minimal-firewall':
path => "/usr/sbin",
subscribe => File["/etc/iptables.rules"],
command => «cat /etc/iptables.rules | iptables-restore»,
refreshonly => true
}
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Простой firewall средствами puppet