Привет.
Инфраструктура порядка 500 серверов, в 95% Debian 12. VM находятся в разных средах, облака, гипервизоры proxmox, vmware. Задача - запустить и обеспечить работы пакетного фильтра на серверах. ACL на основе групп, при помещении хоста в группу появляются разрешающие правила на INPUT. Скорее всего nftables. Рулить security groups в разных средах не хочется. Ставка была на saltslack но поигравшись обнаружил что допустим правила разрешающие ICMP не приходят на vm, хотя apply рапортует что всё ок.
Вот правило, руки посте такого опустились, толи сырой, толи я что-то непонимаю.
allow_icmp:
nftables.append:
- table: filter
- family: inet
- chain: corp
- proto: icmp type { echo-request, echo-reply }
- jump: accept
- require:
- nftables: create_chain_corp
ansbile да такого количества хостов - медлителен хотя похоже единственный пока вариант, puppet монж но в контуре пока его нет, надо изучать.
Посоветуйте решения?
