iptables: Programm zur Verwaltung?

[Hoeze]

Hi,
mich würde interessieren, ob es sowas wie eine Regelverwaltung für iptables gibt.
Grundsätzlich habe ich ja die Regel(n):

Verwerfe alles, was an eth0 ankommt, bis auf SSH.

Jetzt kommt mein erster Dienst: ein Mailserver.
Da muss ich jetzt ein paar zusätzliche Regeln aufstellen. Die berühren aber die grundsätzlichen Regeln nicht.
Ich hätte jetzt gerne eine Verwaltung für iptables, mit der ich sagen kann:

- Lade folgende Regeln: [Mailserverregeln]
- Entferne folgende Regeln: [Mailserverregeln]
- Zeige die folgenden Regeln an: [Mailserverregeln]

Ich habe also ein paar Regeln, die für den Mailserver gedacht sind. Diese Regeln will ich aktivieren und deaktivieren können.
Es soll eindeutig klar sein, dass diese Regeln für den Mailserver gedacht sind.

Etwas komplexere Anwendung:
Ich habe einen lxc-Container.
Der benötigt nun zum einen NAT für den Internetzugriff, dazu brauche ich masquerading, etc.
Außerdem sollen ein paar Ports von eth0 an diesen Container weitergeleitet werden.
=> Ich benötige auf jeden Fall eine Gruppe von Regeln, die nur für den Container gedacht sind.
=> Schön wäre dabei auch eine Untergruppe an Regeln für das Portforwarding.

Es ist einfach unglaublich zeitraubend, jedes Mal unter den tausend iptables-Rules diejenige Regel zu finden, warum NAT mal wieder nicht will. Da wärs einfach komfortabel, nur die Regeln für die Container ansehen zu müssen.

 

[habichtfreak]

- Lade folgende Regeln: [Mailserverregeln]

regeln aufstellen, abspeichern in datei (zb mailserveraktivieren.conf). willst du diese regeln aktivieren, müsste "./mailserveraktivieren.conf" reichen

- Entferne folgende Regeln: [Mailserverregeln]

regeln werden durchnummeriert, wenn die ssh-durchlassregel die einzig andere ist, werden die für den mailserver immer die danach sein. also die iptables anweisungen wieder in einer datei speichern und analog zum aktivieren ausführen

- Zeige die folgenden Regeln an: [Mailserverregeln]

iptables -L -v? da erscheinen zwar wieder die beiden für ssh aber stören die? ansonsten "cat mailserveraktivieren.conf". ob die gerade greifen verrät das natürlich nicht

 

[Hoeze]

Ja, das weiß ich

Aber was machst du, wenn du nicht nur einen Mailserver drauf hast, sondern noch x andere Programme und nicht sichergestellt ist, dass die Regeln genau ab Position x beginnen?
Und iptables -l -v, da erscheinen dann ausnahmslos ALLE Regeln, aber genau das will ich nicht, zu unübersichtlich.

Bei zehn Regeln ist das alles natürlich kein Problem, aber was machst du bei 100?

 

[Enigma]

Du verwaltest die Regeln dann nicht mehr im IP-Tables. Du hast eine Soll-Konfiguration (in beliebig vielen Dateien) und diese wird einfach geladen (iptables-restore).

Kannst dir ja n mini-Script schreiben, das die Dateien zusammenbaut oder du schaust mal ob du mit Chains nicht auch n bissl Struktur reinbringen kannst.