複数のVLANと呼ばれる複雑なリアルタイムシステムがあります。各サーバーにはLinuxサーバーがあり、各サーバーにはサービスがあります。サービスは一緒に接続されます。たとえば、ホストAのhttpサービスは、ホストBポート3306/tcpのmysqlサービスに接続されます。
このタイプの構成をデータベースに自動的にマップし、各サーバーにファイアウォールルールを作成して、ホスト間で必要な接続のみを許可したいと思います。
私の考えでは:
- 各サーバーでnetstatを使用して接続リスト(またはiptablesのログ接続?)を取得し、データベースに保存します。
- graphvisなどを使用して視覚化し、
- データベースのルールに基づいてファイアウォールルールを作成する
- 以前のルールに準拠していない接続を記録して警告するiptablesルールを作成します。
よりよく/より速く/より自動化できるものはありますか?おそらく車輪を再発明する必要はないでしょうか?
更新:「難しい」部分はファイアウォールルールを作成するのではなく、それを自動化し、必要な接続のリストを管理することです。