以编程方式修改Linux防火墙规则

Question

我需要使用编程在防火墙中分配规则。我的意思是我想创建一个 Web 应用程序，用户可以在其中为其 IP 地址选择防火墙规则，并且这些规则将分配给该 IP。只会有一台防火墙机器。我认为具有良好 api 的防火墙可以做到这一点。有人知道有好的API的开源防火墙吗？

Answer 1

Linux 防火墙称为netfilter，是Linux 内核的一部分。有多种用户空间工具可以操作它，最引人注目的是事实上的标准实用程序 iptables。由于您需要成为 root 才能修改防火墙规则，并且 Web 服务器不应该以 root 身份运行，因此我建议采用两层方法来解决此问题：一个修改一组规则的 Web 应用程序规则（在 SQL 数据库或配置文件中），以及以 root 身份运行的守护程序，该守护程序监视规则更改并通过执行 iptables 来应用它们。