iptables 监控，管理实现方式

这是要做路由器的节奏呀

这种事情不要在 linux 上去做

接上，不要在服务器端去做

@crowds 您的意思是这种东西不适合通过平台实现

@aabbcli 做不了啊，主要是组里人员主要偏向于运维，对于 iptables 管理，每次要登录退出目标服务器，再去增加，查看，十分不方便，而且容易出错

自己写个？
python 倒是有个 iptable 的库，之前通过这个库统计过 ss 流量，定时上传到网站。
各个节点开个 http 服务接收 ss 配置推送，也可以长连接推送。

一个建议，第一条规则就是 iptable 更新进程白名单，防止自己把自己拦截。

@gamexg 我试试

由于业务负责人员经常变动，对每条 iptables 对应的业务不清楚，所以现在只是往上增加策略，没有删除（不敢删）。
-----> 如果现状已经是这样了，你考虑 ipset 没有意义。 ipset 跟 iptables 规则并不是完全兼容，引入 ipset 势必要重新梳理你现有的 iptables 规则，这样构建的风险太大（梳理之后又要重新构建，风险当然大）。

iptables 也是有正确用法的，简单的指令熟悉根本就不算叫使用 iptables ； 规则架构规划组织，用户链的引入，性能方面的提前考虑才是 iptables 的正确用法。
ipset 相比 iptables 只是说当规则超过一定数量的时候性能更有优势。

建议你第一步是重构你目前已有的 iptables 规则，重构有科学的方法，至少能控制范围和风险！

其他的应该根据第一步之后的结果再另外分析考虑。

@jackal 很感谢，您说的很正确，现在就是这么个现状。
能推荐一些关于 iptables 科学使用相关的内容么，网上搜到的更多的是基本配置

https://sysadmincasts.com/episodes/18-managing-iptables-with-puppet

puppet 方式的

这个需求应该蛮大的， iptables 配置很容易出问题，前两天还把自己挡在 ssh 外面了。还有一些语法错误啊什么的，有个 web 配置界面，简直再好不过了。

楼主我觉得我们遇到的是同样的问题、、