3

後でリモート マシンperlにロードされるシェル スクリプトを生成するスクリプトがあります。iptablesperl スクリプトのデータ入力は、構成ファイルから取得されます。このファイルでは、各ルールのすべての種類のパラメーターを指定できます。

問題は検証に関するものです。ルールを実行する能力なしに、一連のルール全体をどのように検証しますか?

私は CPAN を検索しましたが、最も近い解決策はIPTables::Ruleでしたが、ルールを生成するときに制限の一部のみを検証します。IPTables::IPv4 はホスト iptables と直接対話するため、使用できません。

4

4 に答える 4

1

fffuuをチェックしてください。これは、洗練された正式なファイアウォールの普遍的な理解者です。iptables ファイアウォールのルールセットの静的アナライザーです。このツールはまだ活発に開発されており (2017 年 2 月現在)、まだ完全には完成していません。ただし、コアは完全に正式に検証されているため、信頼できます。

入力として、 の出力が必要なだけですiptables-save。このシナリオでは、仮想マシンでこの出力を生成できます。

何を検証しますか?

fffuu できること:

  • なりすまし保護を確認する
  • ファイアウォールを簡易バージョンに変換し、手動で確認できるようにします
  • 完全な IPv4 および IPv6 アドレス空間を介して、ファイアウォールによって暗示されるアクセス制御関係を視覚化します。デフォルトでは、宛先ポート 22 および 80 をチェックします。

ITval にはバグがあり、Cornelius Diekmann、Julius Michaelis、Maximilian Haslbeck、および Georg Carle による Verified iptables Firewall Analysis で報告されていることに注意してください。IFIP Networking 2016、ウィーン、オーストリア、2016 年 5 月 (セクション 2、パラグラフ 2)

免責事項: 私はfffuuの作成者です。私の見解は偏っている可能性があり、fffuuは (まだ) 完璧ではありません。でもねえ、それは無料で自由です。お役に立てば幸いです. コードは自由に再利用してください:-)

于 2016-04-02T16:47:25.123 に答える
1

これは直接達成できません。iptablesルール文字列構文は、読み込まれた個々のマッチング モジュールまたはアクション モジュールによって部分的に解析されますiptables(8)。基礎となる C モジュールを直接呼び出さずに入力を解析する標準的な方法はありません。

于 2012-09-09T20:37:17.013 に答える
0

次の sf.net プロジェクトを確認してください http://sourceforge.net/projects/itval/

于 2013-12-26T13:28:49.313 に答える