要するに：

cfnetwork-ネットワークを完全に構成し、PuppetリソースをフィルタリングするためのPuppet API。 Hieraと、Puppetコンセプトの他の「データプロバイダー」との完璧な友達。
cffirehol-素晴らしいFireHOLジェネレーターに基づいたcfnetworkのフィルター設定の特定の実装の「メタプロバイダー」
これまでのところ、Debian 8+（Jessie以上）およびUbuntu 14.04+（Trusty以上）のみがサポートされています

テーマサイクル：

パートI：ネットワークおよびネットワークフィルター（cfnetwork + cffirehol）
パートII：アクセスと標準環境（cfauth + cfsystem）
パートIII：Puppet Server（cfpuppetserver）のインストール
パートIV：集中管理（cftotalcontrol）
パートV：データベース（cfdb）
パートVI：現在のブラックリストと保護されたノッキング

叙情的な紹介： 展開されたシステムの監視と自動化のトピックについて、著者が非常に妄想していることが起こりました。 長年にわたり、遭遇した問題の経験と比較的小さな町の解決策が蓄積されました。 私の以前の職場を離れた後、管理領域に具体的な手荷物がないことが明らかになりました。 しかし、私は本当に隣にあるものをドラッグしたくありませんでした。 そこで新しい自転車が誕生しました。 ここまでがポイントです。

注：テキスト全体で、作成者の壊れやすい子供の聴覚、目、脳をレイプする他の「ロシア語」という用語代わりに、意図的にまたは使用されます。

既存のソリューションに適さないものは何ですか？

ネットワーク構成とサージプロテクターの弱い統合 -（再）構成とエラーのリスクが高いことによる追加の騒ぎ; セキュリティシステムと友達である個々のサービスのプラグアンドプレイモジュールを作成するのが難しい。
監査のための可視性の欠如 -構成は簡潔ではなく、多くのファイルに広がっているか、人にとっては読めない方法で存在しています。
抽象化のない過度に低レベルのフィルター構成は、上記のポイントと同じ問題です。これは、アセンブラーでWebページを作成することと比較できます。
デフォルト設定の「インテリジェンス」の欠如 -不器用な人にとっては利点ですが、著者にとってはそうではありません。
通常、ネットワークスタックのチューニングはバイパスされます。バニラカーネルの設定は、セキュリティは言うまでもなく、テストや最適化の前であっても戦闘システムで見たいものとはほど遠いものです。

ネットワークおよびフィルター設定の一般的な概念

新しい理論はありません-別の場所からのルーチン。

各論理ネットワークインターフェイスには、 world 、 dmz 、 officeなどの一意の意味のある名前がありworld 。 local loopbackインターフェイス用に予約されています。
標準の論理インターフェイスの設定が設定され、フィルタールールジェネレーターからアクセス可能になります。
特別なタイプのインターフェイスanyサポート-フィルタージェネレーターは、決して機能しない不必要なルールを生成しないように十分にスマートでなければなりません。たとえば、許可されたアドレスのリストが発信または着信のものに指定されている場合、そのような接続が原則としてネットワーク構成によって想定されていないインターフェースにルールを追加しないでください。
ポートを直接指定する代わりに、連想名が使用され、ポートとプロトコルのセット全体を隠すことができます。
ネットワークとフィルターの一時的な調整は、障害からの回復中に集中管理することなく、ターゲットマシンで簡単に実行する必要があります。
AppArmorまたはSeLinuxをオンにする前に、適切なネットワークセキュリティを実現する必要があります。
動的保護は個別に実装する必要がありますが、ブラックリストインターフェイスはこのレベルで設定されます。

技術の選択

Puppet 4 + Puppet DB + Hiera-著者は正直にAnsibleとChefの少なくとも1つに愛を植え付けようとしましたが、Puppetの4番目のバージョンが犠牲になりました。ただし、Ansibleは定期的なメンテナンスタスクとPuppetの初期展開には興味深いようです。
基本的に、 RubyはPuppet拡張機能の定義済みの選択肢です。ところで、著者はプロジェクト中にこのPLを研究しなければなりませんでしたが、彼はまったく後悔していません。
FireHOLは、作成者が10年以上のアクティブなサーバー管理のためにネットワークフィルターを委託することができた最初のサードパーティのiptablesジェネレーターです。他のすべてのジェネレーターは主観的にフェードします。

どうした

インターフェイス自体は、メインのcfnetworkクラスと、ネットワーク設定とネットワークフィルターを指定するcfnetwork::*タイプのセットで構成されています。すべての設定は、Puppet DSLまたはHieraなどのデータプロバイダーを介してプログラムで設定できます。

不完全なパラメーターのリストを含むAPIの簡単な説明。完全版は英語で入手できます。

`cfnetwork`クラス

main - cfnetwork::iface設定cfnetwork::ifaceメインインターフェイスのcfnetwork::iface 。
dns -DNSサーバーのリストまたは特別な値：
- '$recurse'ローカルサーバーを配置します。
- '$serve'は同じですが、 $service_face顧客にサービスを提供しています。
is_routerこのマシンはネットワークルーターとして機能しますか？
optimize_10gbeデフォルトのTCP設定を調整し、50〜100ミリ秒の推定遅延でパブリック「インターネット」の代わりに10 + Gbitインターフェースを介して最大接続パフォーマンスを実現します。
Hieraを使用する便利さ。
ifacesを除くすべての値にはlookup_options: { merge: hash } （documentation）があります。
- ifaces - cfnetwork::ifaceようなセカンダリインターフェイスの設定のセット。
- describe_services - cfnetwork::describe_service （サービスの説明）のリソースの説明のセット。
- service_ports -set * cfnetwork::service_port （着信接続）。
- client_ports -set * cfnetwork::client_ports （送信接続）。
- dnat_ports -set * cfnetwork::dnat_ports 。
- router_ports -set * cfnetwork::router_ports 。

タイプ`cfnetwork::iface`インターフェイス設定。

title他のリソースで使用される連想識別子。
device -システムネットワークインターフェイス。
"address/cidr"形式のネットワークマスクと一緒のメインIPv4 / IPv6アドレス。
extra_addresses同じ形式の追加アドレス。
extra_routes追加のルーティング設定（フィルタージェネレーターにとっても重要）。
gateway -フィルタージェネレーターで使用されるデフォルトの行進を意味します。
force_public = autoは、フィルターの非常に重要な設定です。
- デフォルトでは、 $addressが10 / 8、172.16 / 12または192.168 / 16に属する場合はfalse 、そうでない場合はtrueです。
- true ：
  - アウトバウンド接続用にSNATまたはMASQUERADEを自動的に追加します。
  - DNATを含むインバウンド接続のTCP SYNPROXYを自動的に有効にします。
  - デフォルトでREJECT代わりにDROPポリシーを配置します。
  - 着信pingを1 /秒に制限します。 1つのIPのハッシュ制限を介して。
  - 特別なホワイトリストを除き、着信IPのグローバルブラックリストを設定します。

タイプ`cfnetwork::describe_service`サービスの説明（プロトコルとポート）。

titleすべてのポート名にリソースの名前が使用されます。
server - proto/portnumのサーバーポートのリスト。例： [ 'tcp/80', 'tcp/443' ] 。

タイプ`cfnetwork::client_port` 発信接続の説明。

FireHOLから取られた用語..

title = '<iface>:<service>[:<tag>]'
src 、 dst 、 user 、 group 、 comment

タイプ`cfnetwork::service_port` 着信接続の説明。

title = '<iface>:<service>[:<tag>]'
src 、 dst 、 comment

タイプ`cfnetwork::router_port`許可されたルーティング可能な接続の説明。

title = '<iface>/<outface>:<service>[:<tag>]'
src 、 dst 、 comment

タイプ`cfnetwork::dnat_port`同時にルーティングされる接続と宛先アドレスの変換の説明

title = '<iface>/<outface>:<service>[:<tag>]'
src 、 dst 、 comment
to_dstリダイレクトアドレス（IPv4およびIPv6）
to_portリダイレクトポート（オプション）

統一されたパラメーターの説明：

<iface> -関連付けられたリソースの名前cfnetwork::ifaceまたは：
- 'local' -前述のように、ローカルトラフィックのみ。ただし、外部IPへのトラフィックもlocalを通過することに注意してください。
- 'any'は、明らかに未使用のルールを作成しないように、 src 、 dst 、およびto_dst基づく特別な複雑なログインです。これらのパラメーターが存在しない場合、すべての可能なインターフェイスに追加されます。（たとえば、 localはrouter_portでは意味がありません）
<outface>は同じですが、 dnat_portとrouter_port場合の2番目のインターフェース用
<service> cfnetwork::describe_serviceのサービス記述の名前cfnetwork::describe_service
<tag>はオプションの部分であり、 commentます。
「仮想リソース」を明示的に使用する必要なく、リソース名の競合を回避するために追加されました
src 、 dst発信およびターゲットIPv4 / IPv6アドレスのリスト
comment -任意の1行コメント（改行は強制的にカットされます）
user 、 group -発信接続のユーザーとグループを確認します（実際の偏執病者は、 localもそれらを使用する必要があります）

クラス`cfnetwork::sysctl`ネットワークスタックを微調整する機能。標準キーはクラスパラメーターの形式で表示されます。

`cffirehol`クラス-フィルタージェネレーター

enable=falseフィルター設定が期待通りであることを確認した後、強制的に有効にする必要があります
synproxy_public=true true-パブリックインターフェイスでSYNPROXYフラグを有効にします
ip_whitelist / ip_blacklist静的リスト。ここではip_blacklistを設定すべきではありませんが、絶えず更新されるデータベースと動的保護システムから動的にipsetに詰め込む必要がありますが、これは別の話です。
定義済みキット：
- whitelist4およびwhitelist6 -IPv4およびIPv6 whitelist6ネットワーク
- blacklist4個々のIPv4 blacklist4アドレス
- blacklist4netおよびblacklist6net -IPv4およびIPv6 blacklist6netネットワーク

DebianおよびUbuntuには十分な新しいFireHOLパッケージがなく、標準のパッケージはネットワークインターフェイスを上げた後にのみ起動されるため、.debパッケージをビルドする必要がありました。

注： cfxxxシリーズの各Puppetモジュールの説明cfxxxは、「暗黙的に作成されたリソース」というセクションcfxxx 、定義されているすべてのネットワークフィルターリソースについて説明しています。

生きている例

この記事で取り上げていないモジュールを使用したVagrantでのインフラストラクチャの完全な展開については、こちらをご覧ください。

明確にするために、ルーターのネットワーク構成とフィルターを示します。

ヒエラ設定

 classes: - cfnetwork #  ,     `/sbin/firehol try` #cffirehol::enable: true cfnetwork::is_router: true cfnetwork::main: device: eth1 address: '192.168.1.30/24' extra_addresses: '192.168.1.40/24' gateway: '192.168.1.1' #     force_public: true cfnetwork::ifaces: vagrant: device: eth0 method: dhcp #     extra_routes: ['10.0.1.1/25'] infradmz: device: eth2 address: '10.10.1.254/24' dbdmz: device: eth3 address: '10.10.2.254/24' webdmz: device: eth4 address: '10.10.2.254/24' cfnetwork::describe_services: testdb: server: 'tcp/1234' cfhttp: server: - 'tcp/80' - 'tcp/443' # DNAT   HTTP  (     ) cfnetwork::dnat_ports: 'main/webdmz:cfhttp': dst: '192.168.1.40' to_dst: '10.10.2.10' cfnetwork::router_ports: #   NTP, DNS, APT     'infradmz/main:cfhttp:apt': src: 'maint.example.com' 'infradmz/main:ntp': src: 'maint.example.com' #  Puppet Server (r10k)   'infradmz/main:cfhttp:puppet': {} #    DMZ     'any/infradmz:ntp': src: '10.10.0.0/16' dst: 'maint.example.com' 'any/infradmz:dns': src: '10.10.0.0/16' dst: 'maint.example.com' 'any/infradmz:aptproxy': src: '10.10.0.0/16' dst: 'maint.example.com' 'any/infradmz:puppet': src: '10.10.0.0/16' dst: 'puppet.example.com' #        'webdmz/dbdmz:testdb': {}

生成されたフィルタージェネレーターの構成（これが行われます）

はい、冗長性の割合はわずかですが、将来のバージョンでは最適化を実行できます。たとえば、2つのルールを設定しても意味がありません。1つは他のルールの特定のケースです。原則として、生成コードは、実装時に多くの「知的」条件ですでに大きくなりすぎています。

この構成は、 cffirehol::enable=trueときに自動的にcffirehol::enable=true ！

/etc/firehol/firehol.conf

 # This file is autogenerated by cffirehol Puppet Module # Any changes made here may be overwritten at any time version 6 # Defaults #---------------- DEFAULT_INTERFACE_POLICY="DROP" DEFAULT_ROUTER_POLICY="DROP" FIREHOL_LOG_MODE="NFLOG" FIREHOL_TRUST_LOOPBACK="0" FIREHOL_DROP_ORPHAN_TCP_ACK_FIN="1" FIREHOL_INPUT_ACTIVATION_POLICY="DROP" FIREHOL_OUTPUT_ACTIVATION_POLICY="DROP" FIREHOL_FORWARD_ACTIVATION_POLICY="DROP" # Custom Services #---------------- server_dns_ports="tcp/53 udp/53" client_dns_ports="any" # Use to open all TCP ports (eg for local) server_alltcp_ports="tcp/1:65535" client_alltcp_ports="any" # Use to open all UDP ports (eg for local) server_alludp_ports="udp/1:65535" client_alludp_ports="any" # Use to open all TCP and UDP ports (eg for local) server_allports_ports="udp/1:65535 tcp/1:65535" client_allports_ports="any" server_cfhttp_ports="tcp/80 tcp/443" client_cfhttp_ports="default" server_testdb_ports="tcp/1234" client_testdb_ports="default" server_cfssh_ports="tcp/22" client_cfssh_ports="default" server_smtp_ports="tcp/25" client_smtp_ports="default" server_cfsmtp_ports="tcp/25 tcp/465 tcp/587" client_cfsmtp_ports="default" server_puppet_ports="tcp/8140" client_puppet_ports="default" # Setup of ipsets #---------------- ipset4 create whitelist4 hash:net ipset6 create whitelist6 hash:net ipset4 create blacklist4 hash:ip ipset4 create blacklist4net hash:net ipset6 create blacklist6net hash:net # note: hardcoded list is not expected to be large ipset4 add whitelist4 "10.0.0.0/8" # Protection on public-facing interfaces #---------------- # main blacklist4 input inface "eth1" ipset:blacklist4net ipset:blacklist4 except src ipset:whitelist4 blacklist6 input inface "eth1" ipset:blacklist6net ipset:blacklist6 except src ipset:whitelist6 iptables -t raw -N cfunroute_main iptables -t raw -A cfunroute_main -s "10.0.0.0/8,172.16.0.0/12,224.0.0.0/4,127.0.0.1/8" -j DROP iptables -t raw -A cfunroute_main -d "10.0.0.0/8,172.16.0.0/12,224.0.0.0/4,127.0.0.1/8" -j DROP iptables -t raw -A PREROUTING -i "eth1" -j cfunroute_main # cfauth: synproxy4 input inface main dst "192.168.1.30/24" dport "22" src "192.168.0.0/16" accept synproxy4 forward inface main dst "192.168.1.40" dport "80" dnat to "10.10.2.10" synproxy4 forward inface main dst "192.168.1.40" dport "443" dnat to "10.10.2.10" iptables -t nat -N cfpost_snat_main iptables -t nat -A cfpost_snat_main -s 192.168.1.30,192.168.1.40 -j RETURN iptables -t nat -A cfpost_snat_main -j SNAT --to-source=192.168.1.30 iptables -t nat -A POSTROUTING -o "eth1" -j cfpost_snat_main # vagrant blacklist4 input inface "eth0" ipset:blacklist4net ipset:blacklist4 except src ipset:whitelist4 blacklist6 input inface "eth0" ipset:blacklist6net ipset:blacklist6 except src ipset:whitelist6 # cfauth: iptables -t nat -A POSTROUTING -o "eth0" -j MASQUERADE # Custom Headers #---------------- # NAT #---------------- dnat4 to "10.10.2.10" inface "eth1" proto "tcp" dport "80" dst "192.168.1.40" dnat4 to "10.10.2.10" inface "eth1" proto "tcp" dport "443" dst "192.168.1.40" # Interfaces #---------------- interface "eth1" "main" policy deny protection bad-packets client icmp accept server4 ping accept with hashlimit ping upto 1/s burst 2 # cfauth: server4 "cfssh" accept src "192.168.0.0/16" # cfsystem: client "http" accept uid "root" # cfsystem: client "https" accept uid "root" # cfsystem: client "ntp" accept uid "root ntpd" # cfsystem: client "cfsmtp" accept uid "root Debian-exim" # cfsystem: client "puppet" accept uid "root" # cfnetwork: client "dns" accept interface "eth0" "vagrant" policy deny protection bad-packets client icmp accept server4 ping accept with hashlimit ping upto 1/s burst 2 # cfauth: server4 "cfssh" accept src "10.0.0.0/8 192.168.0.0/16 172.16.0.0/12" # cfsystem: client "http" accept uid "root" # cfsystem: client "https" accept uid "root" # cfsystem: client "ntp" accept uid "root ntpd" # cfsystem: client "cfsmtp" accept uid "root Debian-exim" # cfsystem: client "puppet" accept uid "root" # cfnetwork: client4 "dns" accept dst "10.10.1.10" interface "eth2" "infradmz" policy reject client icmp accept server icmp accept # cfauth: server4 "cfssh" accept src "10.0.0.0/8" # cfsystem: client "http" accept uid "root" # cfsystem: client "https" accept uid "root" # cfsystem: client "ntp" accept uid "root ntpd" # cfsystem: client "cfsmtp" accept uid "root Debian-exim" # cfsystem: client "puppet" accept uid "root" # cfnetwork: client4 "dns" accept dst "10.10.1.10" interface "eth3" "dbdmz" policy reject client icmp accept server icmp accept # cfauth: server4 "cfssh" accept src "10.0.0.0/8" # cfsystem: client "http" accept uid "root" # cfsystem: client "https" accept uid "root" # cfsystem: client "ntp" accept uid "root ntpd" # cfsystem: client "cfsmtp" accept uid "root Debian-exim" # cfsystem: client "puppet" accept uid "root" interface "eth4" "webdmz" policy reject client icmp accept server icmp accept # cfauth: server4 "cfssh" accept src "10.0.0.0/8" # cfsystem: client "http" accept uid "root" # cfsystem: client "https" accept uid "root" # cfsystem: client "ntp" accept uid "root ntpd" # cfsystem: client "cfsmtp" accept uid "root Debian-exim" # cfsystem: client "puppet" accept uid "root" interface "lo" "local" policy reject client icmp accept server icmp accept # cfauth: server4 "cfssh" accept src "10.0.0.0/8 192.168.0.0/16" # cfsystem: client "http" accept uid "root" # cfsystem: client "https" accept uid "root" # cfsystem: client "ntp" accept uid "root ntpd" # cfsystem: server "smtp" accept # cfsystem: client "smtp" accept # cfsystem: client "cfsmtp" accept uid "root Debian-exim" # cfsystem: client "puppet" accept uid "root" # Routers #---------------- router "main_infradmz" inface "eth1" outface "eth2" policy drop client icmp accept # apt: client4 "cfhttp" accept src "10.10.1.10" client4 "ntp" accept src "10.10.1.10" # puppet: client "cfhttp" accept router "main_webdmz" inface "eth1" outface "eth4" policy drop client icmp accept server4 "cfhttp" accept dst "10.10.2.10" router "vagrant_infradmz" inface "eth0" outface "eth2" policy drop client icmp accept server4 "ntp" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "dns" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "aptproxy" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "puppet" accept dst "10.10.1.11" src "10.10.0.0/8" router "infradmz_infradmz" inface "eth2" outface "eth2" policy reject server icmp accept client icmp accept server4 "ntp" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "dns" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "aptproxy" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "puppet" accept dst "10.10.1.11" src "10.10.0.0/8" router "dbdmz_infradmz" inface "eth3" outface "eth2" policy reject server icmp accept client icmp accept server4 "ntp" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "dns" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "aptproxy" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "puppet" accept dst "10.10.1.11" src "10.10.0.0/8" router "webdmz_infradmz" inface "eth4" outface "eth2" policy reject server icmp accept client icmp accept server4 "ntp" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "dns" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "aptproxy" accept dst "10.10.1.10" src "10.10.0.0/8" server4 "puppet" accept dst "10.10.1.11" src "10.10.0.0/8" router "webdmz_dbdmz" inface "eth4" outface "eth3" policy reject server icmp accept client icmp accept server "testdb" accept

ネットワーク構成

モジュール自体はネットワーク設定をその場で変更しようとはしません-これはペンで行うか再起動する必要があります。

/etc/network/interfaces.d/*

 # # Generated by cfnetwork::iface puppet module # auto lo iface lo inet loopback source /etc/network/interfaces.d/* # # Generated by cfnetwork::iface puppet module # auto eth3 iface eth3 inet static address 10.10.2.254 netmask 24 up sysctl --ignore net.ipv6.conf.eth3.disable_ipv6=1 # # Generated by cfnetwork::iface puppet module # auto eth2 iface eth2 inet static address 10.10.1.254 netmask 24 up sysctl --ignore net.ipv6.conf.eth2.disable_ipv6=1 # # Generated by cfnetwork::iface puppet module # auto eth1 iface eth1 inet static address 192.168.1.30 netmask 24 gateway 192.168.1.1 dns-nameservers 10.10.1.10 dns-search example.com up ip addr add 192.168.1.40/24 dev eth1 up sysctl --ignore net.ipv6.conf.eth1.disable_ipv6=1 # # Generated by cfnetwork::iface puppet module # auto eth0 iface eth0 inet dhcp netmask 255.255.255.0 up ip route add 10.0.1.1/25 dev eth0 up sysctl --ignore net.ipv6.conf.eth0.disable_ipv6=1 # # Generated by cfnetwork::iface puppet module # auto eth4 iface eth4 inet static address 10.10.2.254 netmask 24 up sysctl --ignore net.ipv6.conf.eth4.disable_ipv6=1

おわりに

ご覧のとおり、ネットワークとフィルターの構成は基本的でクリーンで簡潔であり、最も重要なことは、山のない変更にはマジックナンバーが便利であることです。

戦闘モードには長い歴史はありません。実行は、深刻な負荷なしに実サーバーのペアと約12の仮想マシンで実行されます。したがって、ボランティアはシステム群が成長したことに興味があり、管理へのアプローチはまだ調整する時間がないか、完全に満足していません。

CodingFuture + Puppet。パートI：ネットワークおよびネットワークフィルター（cfnetwork + cffirehol）

要するに：

テーマサイクル：

既存のソリューションに適さないものは何ですか？

ネットワークおよびフィルター設定の一般的な概念

技術の選択

どうした

`cfnetwork`クラス

タイプ`cfnetwork::iface`インターフェイス設定。

タイプ`cfnetwork::describe_service`サービスの説明（プロトコルとポート）。

タイプ`cfnetwork::client_port` 発信接続の説明。

タイプ`cfnetwork::service_port` 着信接続の説明。

タイプ`cfnetwork::router_port`許可されたルーティング可能な接続の説明。

タイプ`cfnetwork::dnat_port`同時にルーティングされる接続と宛先アドレスの変換の説明

統一されたパラメーターの説明：

クラス`cfnetwork::sysctl`ネットワークスタックを微調整する機能。標準キーはクラスパラメーターの形式で表示されます。

`cffirehol`クラス-フィルタージェネレーター

生きている例

ヒエラ設定

生成されたフィルタージェネレーターの構成（これが行われます）

ネットワーク構成

おわりに

More articles:

CodingFuture + Puppet。 パートI：ネットワークおよびネットワークフィルター（cfnetwork + cffirehol）

要するに：

テーマサイクル：

既存のソリューションに適さないものは何ですか？

ネットワークおよびフィルター設定の一般的な概念

技術の選択

どうした

cfnetworkクラス

タイプcfnetwork::ifaceインターフェイス設定。

タイプcfnetwork::describe_serviceサービスの説明（プロトコルとポート）。

タイプcfnetwork::client_port 発信接続の説明。

タイプcfnetwork::service_port 着信接続の説明。

タイプcfnetwork::router_port許可されたルーティング可能な接続の説明。

タイプcfnetwork::dnat_port同時にルーティングされる接続と宛先アドレスの変換の説明

統一されたパラメーターの説明：

クラスcfnetwork::sysctlネットワークスタックを微調整する機能。標準キーはクラスパラメーターの形式で表示されます。

cffireholクラス-フィルタージェネレーター

生きている例

ヒエラ設定

生成されたフィルタージェネレーターの構成（これが行われます）

ネットワーク構成

おわりに

More articles:

CodingFuture + Puppet。パートI：ネットワークおよびネットワークフィルター（cfnetwork + cffirehol）

`cfnetwork`クラス

タイプ`cfnetwork::iface`インターフェイス設定。

タイプ`cfnetwork::describe_service`サービスの説明（プロトコルとポート）。

タイプ`cfnetwork::client_port` 発信接続の説明。

タイプ`cfnetwork::service_port` 着信接続の説明。

タイプ`cfnetwork::router_port`許可されたルーティング可能な接続の説明。

タイプ`cfnetwork::dnat_port`同時にルーティングされる接続と宛先アドレスの変換の説明

クラス`cfnetwork::sysctl`ネットワークスタックを微調整する機能。標準キーはクラスパラメーターの形式で表示されます。

`cffirehol`クラス-フィルタージェネレーター