Cisco 1605R + UTM5.10.006 + RFW

[GaMbiT]

Динамические access-list не отправляется на циску:

cat rfw5.cfg
rfw_name=192.168.80.38

#sudo_path=
#shell_path=/bin/sh
firewall_type=cisco
core_host=127.0.0.1
core_port=11758
rfw_login=init
rfw_password=initinit
cisco_ip=192.168.80.138
-------------------------------------

при включении (выключении) инета в ответ получаю


/usr/local/etc/rc.d/utm5_rfw.sh start
Starting utm5_rfw
Notice: Feb 11 20:44:25 RFW Config: Pid file found: /var/run/utm5_rfw.pid; Overwriting
Notice: Feb 11 20:44:25 UTM5 RFW: Version 5.1.10-001-bsd starting
Notice: Feb 11 20:44:25 RFW Config: Processing config file: /netup/utm5/rfw5.cfg
Info : Feb 11 20:44:25 RFW URFA[plugin]: Worker thread created
Info : Feb 11 20:44:25 RFW URFA[plugin]: [worker]: Thread created
[20:44][root@kiber2:/netup/utm5]#?Debug : Feb 11 20:44:25 RFW URFA[plugin]: Sending name: 192.168.80.138
?Debug : Feb 11 20:44:25 RFW URFA[plugin]: Got ping from core. Sending reply...
?Debug : Feb 11 20:44:32 RFW URFA[plugin]: Got 'exec' command...
ERROR : Feb 11 20:44:32 FWCntl: Error executing FW rule, errno = 2
?Debug : Feb 11 20:44:32 FWCntl: Executing FW rule: access-template 105 test1 host 10.10.0.195 any
?Debug : Feb 11 20:44:32 RFW URFA[plugin]: Got 'exec' command...
?Debug : Feb 11 20:44:32 FWCntl: Executing FW rule: access-template 106 test2 any host 10.10.0.195
ERROR : Feb 11 20:44:32 FWCntl: Error executing FW rule, errno = 2

как бороться ?
p.s. закомментированные строчки раскомментировать пробовал


p.p.s ручками все работает (всмыcле отправки команды по rsh)

[GaMbiT]

Уважаемый aospan, а так же все админы и прочие пользователи подскажите решение или киньте в меня ссылкой, я уже все перепробовал.... (

[GaMbiT]

После двух дней мучений все заработало само собой......странный этот UTM5

[merc]

А в чем была проблема?

[GaMbiT]

Так и не понятно просто в один момент все заработало... поигрались с настройками rfw, и настройками файрволов в админке..

[merc]

У меня похожая проблема. Помогите разобраться.
сat rfw5.cfg
rfw_name=213.111.145.66
sudo_path=/usr/bin/sudo
shell_path=/bin/sh
#firewall_path=/usr/sbin/iptables

#firewall_flush_cmd=/usr/sbin/iptables -F

core_host=127.0.0.1
core_port=11758
rfw_login=init
rfw_password=init
firewall_type=cisco
cisco_ip=213.111.145.66
-------------------

на циске (2621XM)

username netup privilege 8 password 7 044B190909245F5D00160B161E
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netup 213.111.145.67 root enable
privilege exec level 8 access-template
privilege exec level 8 clear access-template
----------

получаем:
?Debug : Feb 17 19:07:06 RFW URFA[plugin]: Got 'exec' command...
?Debug : Feb 17 19:07:06 FWCntl: Send rule<access-template 105 test1 host 1.2.1.1 any> to remote cisco <213.111.145.66>
?Debug : Feb 17 19:07:06 FWCntl: Call RSH: host 213.111.145.66, port 514, login netup, pass parol, cmd access-template 105 test1 host 1.2.1.1 any
Permission denied.
ERROR : Feb 17 19:07:06 FWCntl: RSH Connection error!
ERROR : Feb 17 19:07:06 FWCntl: RSH failed!
?Debug : Feb 17 19:07:06 RFW URFA[plugin]: Got 'exec' command...
?Debug : Feb 17 19:07:06 FWCntl: Send rule<access-template 106 test2 any host 1.2.1.1> to remote cisco <213.111.145.66>
?Debug : Feb 17 19:07:06 FWCntl: Call RSH: host 213.111.145.66, port 514, login netup, pass parol, cmd access-template 106 test2 any host 1.2.1.1
Permission denied.
ERROR : Feb 17 19:07:06 FWCntl: RSH Connection error!
ERROR : Feb 17 19:07:06 FWCntl: RSH failed!
?Debug : Feb 17 19:07:31 RFW URFA[plugin]: Got ping from core. Sending reply...
-------
Если пробовать руками rsh -l netup 213.111.145.66 access-template 105 test1 host 1.2.1.1 any то всё работает

[GaMbiT]

Я лично создавал пользователя netup и команду rsh выполнял от него
типа сначала su netup -c "rsh Cisco_ip command"

а вообще похоже что у тебя циска рунается на права , на твоем месте я бы сделал сначала по доке от UTM

[merc]

Спасибо за "наводку". Нужно было на циске
поменять
ip rcmd remote-host netup 213.111.145.67 root enable
на
ip rcmd remote-host netup 213.111.145.67 netup enable

[vprudnikov]

После двух дней мучений все заработало само собой......странный этот UTM5

А вот у нас пока модуль "шаманский бубен для UTM5" не подгружается почему-то. Поэтому с той же проблемой ничего не работает. Когда будет нормальная дока, господа разработчики?

[GaMbiT]

Опиши что не работает, может мы быстрей поможем...
Каждый из нас сюда заходит не реже 2х раз в день, в надежде найти решение очередной проблемы ))

[vprudnikov]

Опиши что не работает, может мы быстрей поможем...
Каждый из нас сюда заходит не реже 2х раз в день, в надежде найти решение очередной проблемы ))

Спасибо, все, действительно, вдруг само-собой начало работать. Конфиг визуально не изменился. Только вот на циску посылается что-то с каким-то непонятным логином и паролем, в ответ на что приходит Permission denied. Руками по rsh все естественно работает!

[GaMbiT]

Только вот на циску посылается что-то с каким-то непонятным логином и паролем, в ответ на что приходит Permission denied. Руками по rsh все естественно работает!

1)Проверь настройки пользователя на Cisco и существование этого пользователя на сервера.
2)Проверь выполнение команды по rsh от этого пользователя

[vprudnikov]

Только вот на циску посылается что-то с каким-то непонятным логином и паролем, в ответ на что приходит Permission denied. Руками по rsh все естественно работает!

1)Проверь настройки пользователя на Cisco и существование этого пользователя на сервера.
2)Проверь выполнение команды по rsh от этого пользователя

Да, уже разобрались. Просто в UTM5 есть единственная комбинация remote/local username, которая посылается на циску и никакими путями она не меняется.