UTM:5 RSH --> cisco 2600

Serp · Сообщение **Serp** » Пт авг 28, 2015 10:29

maxxsoft писал(а):
Serp писал(а): А можно ли как-то сразу попасть на кошку в режим конфигурации? Сам сейчас использую локальный файервол со скриптом на Perl (+Expect.pm), хочется ускорить работу просто.
Других методов воздействия на интерактиквный диалог (типа expect) я не знаю, но на мой взгляд это не совсем безопастно в плане сохранения конфигурации, не дай бог перезагрузится или питание упадёт..., можно конечно рулить running-config`ом, например сгружать его, править, загружать и активировать, но тоже на мой взгляд метод опасный...

Хм... а я правлю лишь ACL, поэтому думается, что постоянно конфиг сохранять необязательно, хотя сейчас на стенде я его сохраняю. Новый ACL до передачи [раз в минуту по cron'у] на роутер хранится в файле, поэтому в случае чего ACL всегда можно отправить заново, а если совсем всё плохо будет, рестарт rfw поможет сформировать весь ACL с нуля. Скриптом проверяется также свежесть файла, содержащего ACL.

Shiva · Сообщение **Shiva** » Пт авг 28, 2015 11:03

Serp писал(а):А можно ли как-то сразу попасть на кошку в режим конфигурации?

rsh

f.hokimov@mail.ru

maxxsoft писал(а):
Serp писал(а): А можно ли как-то сразу попасть на кошку в режим конфигурации? Сам сейчас использую локальный файервол со скриптом на Perl (+Expect.pm), хочется ускорить работу просто.
Других методов воздействия на интерактиквный диалог (типа expect) я не знаю, но на мой взгляд это не совсем безопастно в плане сохранения конфигурации, не дай бог перезагрузится или питание упадёт..., можно конечно рулить running-config`ом, например сгружать его, править, загружать и активировать, но тоже на мой взгляд метод опасный...

Всем спасибо за то что выделили время чтобы помочь. Respect всем!

f.hokimov@mail.ru

Кто нибудь может поделиться опытом использования sudo_path. Ситуация следующая: Система UTM5 поднята на CentOS на отдельном серваке. Необходимо по истечении трафика закрыть доступ на другом сервере под FreeBSD путем отправки правила ipfw. FreeBSD не дает доступ пользователю netup запустить команду. В rfw5.conf прописал sudo_path=/usr/bin/sudo
firewall_path=/sbin/ipfw

В правилах ipfw добавляю правила добавления и удаления данных из таблиц.

Вопрос как сделать так чтобы система FreeBSD дала доступ пользователю Netup выполнять команды удаленно? Поискал как посоветовали в форуме man sudo что-то не доходит. Поделитесь опытом пожалуйста.

Shiva · Сообщение **Shiva** » Вт сен 01, 2015 10:10

скрипт с suid битом, который включает и выключает правила, а не универсальный доступ.

maxxsoft

Shiva писал(а):скрипт с suid битом, который включает и выключает правила, а не универсальный доступ.

Правильно, создать скрипты например в корне пользователя netup:
add_fw.sh
del_fw.sh
и в /etc/sudoers прописать:
netup ALL=NOPASSWD: /home/netup/add_fw.sh
netup ALL=NOPASSWD: /home/netup/del_fw.sh

f.hokimov@mail.ru

maxxsoft писал(а):
Shiva писал(а):скрипт с suid битом, который включает и выключает правила, а не универсальный доступ.
Правильно, создать скрипты например в корне пользователя netup:
add_fw.sh
del_fw.sh
и в /etc/sudoers прописать:
netup ALL=NOPASSWD: /home/netup/add_fw.sh
netup ALL=NOPASSWD: /home/netup/del_fw.sh

А если дать доступ в sudoers только для выполнения netup ALL=NOPASSWD: /sbin/ipfw table 10 add * и netup ALL=NOPASSWD: /sbin/ipfw table 10 delete * не будет ли одним и темже?