Linux 使用 ansible 验证 firewalld 配置

发布于05月22日

我正在使用Ansible来配置Firewald.

lineinfile模块有一个validate参数，我想用它来验证我的配置.

我试过这个:

- name: config firewalld
  become: true
  ansible.builtin.lineinfile:
    path: /etc/firewalld/firewalld.conf
    regexp: "^#?FirewallBackend"
    line: "FirewallBackend=iptables"
    state: present
    validate: firewall-cmd --check-config         # <--------------

但我得到了一个合理的错误:

验证必须包含%S:防火墙-命令--判断-配置

这是因为它需要文件的路径(%s).

我向--check-config咨询了the docs以找到一种方法来指定配置文件的路径，但什么也找不到.

我可以跑sudo firewall-cmd --check-config分，但我希望有一种原生可行的方法.

推荐答案

从the repo的细节来看，这看起来不可能用安可普干净利落地做.因此，这里有一个解决方法:

- name: modify config
  become: true
    # ...
  register: result1

- name: modify config
  become: true
    # ...
  register: result2

- name: modify config
  become: true
    # ...
  register: result3

- name: validate config
  become: true
  command: firewall-cmd --check-config              
  when: result1 is changed or result2 is changed or result3 is changed
  notify: "reload firewalld"