rsh не отрабатывает да еще остаётся в процессах

[builder]

Win2000, UTM 5.1.10-008, Cisco
В очередной раз прошу немного внимания от тех.поддержки!
RSH не передает правила на циску, конечно в своих логах он пишет что все Ok!, но на циске ничего не меняется. Мало того, после каждой попытки utm5_rfw передать посредством rsh что-то циске он оставляет задачу (rsh) в памяти, т.е. было 50 попыток - 50 копии висит в памяти!!!
В командной строке rsh руками отрабатывает отлично.

[spec]

Вы учитываете, что при запуске от имени системной службы подключение к Cisco идет от имени локального пользователя SYSTEM?

[builder]

Вот я догадываюсь, что проблема в правах (только догадываюсь ибо ни циска ни rfw об этом не ругаются), но разобраться с правами никак не могу самостоятельно.
Но ведь я в командной строке, не указывая явно пользователя, обращаюсь к циске именно от SYSTEM, т.е. под админским, с которым я зарегистрировался в системе? Или я не прав?

[spec]

Когда вы отправляете команду из командной строки - команда идет от того пользователя, от которого ее запустили (которым залогинены в системе)
Когда система отправляет - то команда идет от пользователя SYSTEM
На Циске надо разрешить этому удаленному пользователю выполнять команды.

[builder]

Намек понял, попробую.

[builder]

spec, я наверно туплю, но ни как не пойму как правильно создать пользователя System, помогите пожалуйста. С каким паролем и как прописать вот это:
ip rcmd remote-host кого_сюда 10.10.10.100(это сервер с netup) а_кого_сюда enable 8
Буду очень благодарен.[/i]

[spec]

кого_сюда - это юзер на cisco
в документации на странице 98 пример приведен для имени пользователя на Cisco - netup
а_кого_сюда - это как раз SYSTEM

[builder]

А почему при подаче комманды руками
rsh 10.10.10.1 access-template 105 test1 host 10.10.10.150 any
циска отвечает:
Line has invalid autocommand "access-template 105 AVANS host 10.10.10.150 any" ?
На циске привилегии прописаны:
privilege exec level 8 clear ip accounting
privilege exec level 8 access-template
privilege exec level 8 clear access-template
privilege exec level 8 show ip accounting
privilege exec level 8 show ip
privilege exec level 8 show

[builder]

Спасибо, spec, все заработало. Очень помог ethereal.
Проблема вобщем-то была в невнимательности, в информативности логов (rfw_debug), не передающих реальные события и в неадекватности коммандной строки win32, что внесло дополнительную путаницу.

[Squirel]

День добрый!
builder, поделись пожалуйста в чём была трабла, а то у меня сегодня то-же самое вылезло.
Циска пишет Line has invalid autocommand "access-template 105 in host 172.16.35.53 any".


А именно:
NAS: Cisco7201:c7200p-ipbase-mz.124-15.T5.bin - IP:10.1.1.1
Billing: 10.0.0.1

14:54:33.947720 IP 10.1.1.1.514 > 10.0.0.1.722: . ack 3604005871 win 4124
0x0000: 4500 0028 9142 0000 ff06 158b 0a01 0101 E..(.B..........
0x0010: 0a00 0001 0202 02d2 0e99 eb41 d6d0 c3ef ...........A....
0x0020: 5010 101c f146 0000 0000 0000 0000 P....F........
14:54:33.947742 IP 10.0.0.1.722 > 10.1.1.1.514: P 1:59(58) ack 0 win 65535
0x0000: 4500 0062 20cc 4000 4006 04c8 0a00 0001 E..b..@.@.......
0x0010: 0a01 0101 02d2 0202 d6d0 c3ef 0e99 eb41 ...............A
0x0020: 5018 ffff 1557 0000 6e65 7475 7000 6e65 P....W..netup.ne
0x0030: 7475 7000 6163 6365 7373 2d74 656d 706c tup.access-templ
0x0040: 6174 6520 3130 3520 696e 2020 686f 7374 ate.105.in..host
0x0050: 2031 3732 2e31 362e 332e 3131 3320 616e .172.16.3.113.an
0x0060: 7900 y.
14:54:33.948220 IP 10.1.1.1.514 > 10.0.0.1.722: P 0:1(1) ack 59 win 4066
0x0000: 4500 0029 9143 0000 ff06 1589 0a01 0101 E..).C..........
0x0010: 0a00 0001 0202 02d2 0e99 eb41 d6d0 c429 ...........A...)
0x0020: 5018 0fe2 f13d 0000 0000 0000 0000 P....=........
14:54:33.949220 IP 10.1.1.1.514 > 10.0.0.1.722: P 1:79(78) ack 59 win 4128
0x0000: 4500 0076 9144 0000 ff06 153b 0a01 0101 E..v.D.....;....
0x0010: 0a00 0001 0202 02d2 0e99 eb42 d6d0 c429 ...........B...)
0x0020: 5018 1020 e109 0000 0d0a 4c69 6e65 2068 P.........Line.h
0x0030: 6173 2069 6e76 616c 6964 2061 7574 6f63 as.invalid.autoc
0x0040: 6f6d 6d61 6e64 2022 6163 6365 7373 2d74 ommand."access-t
0x0050: 656d 706c 6174 6520 3130 3520 696e 2020 emplate.105.in..
0x0060: 686f 7374 2031 3732 2e31 362e 332e 3131 host.172.16.3.11
0x0070: 3320 616e 7922 3.any"
14:54:33.949238 IP 10.0.0.1.722 > 10.1.1.1.514: . ack 79 win 65535
0x0000: 4500 0028 20cd 4000 4006 0501 0a00 0001 E..(..@.@.......
0x0010: 0a01 0101 02d2 0202 d6d0 c429 0e99 eb90 ...........)....
0x0020: 5010 ffff 151d 0000 P.......
14:54:33.949723 IP 10.1.1.1.514 > 10.0.0.1.722: P 79:80(1) ack 59 win 4128
0x0000: 4500 0029 9145 0000 ff06 1587 0a01 0101 E..).E..........
0x0010: 0a00 0001 0202 02d2 0e99 eb90 d6d0 c429 ...............)
0x0020: 5018 1020 e6b0 0000 0a00 0000 0000 P.............
14:54:34.047665 IP 10.1.1.1.514 > 10.0.0.1.722: FP 80:80(0) ack 59 win 4128
0x0000: 4500 0028 9146 0000 ff06 1587 0a01 0101 E..(.F..........
0x0010: 0a00 0001 0202 02d2 0e99 eb91 d6d0 c429 ...............)
0x0020: 5019 1020 f0af 0000 0000 0000 0000 P.............
14:54:34.047698 IP 10.0.0.1.722 > 10.1.1.1.514: . ack 81 win 65535
0x0000: 4500 0028 20cf 4000 4006 04ff 0a00 0001 E..(..@.@.......
0x0010: 0a01 0101 02d2 0202 d6d0 c429 0e99 eb92 ...........)....
0x0020: 5010 ffff 151d 0000 P.......
14:54:34.047739 IP 10.0.0.1.722 > 10.1.1.1.514: F 59:59(0) ack 81 win 65535
0x0000: 4500 0028 20d0 4000 4006 04fe 0a00 0001 E..(..@.@.......
0x0010: 0a01 0101 02d2 0202 d6d0 c429 0e99 eb92 ...........)....
0x0020: 5011 ffff 151d 0000 P.......
14:54:34.048046 IP 10.0.0.1.926 > 10.1.1.1.514: S 409754061:409754061(0) win 65535 <mss 1460,nop,wscale 1,nop,nop,timestamp 2344913 0,sackOK,eol>
0x0000: 4500 0040 20d2 4000 4006 04e4 0a00 0001 E..@..@.@.......
0x0010: 0a01 0101 039e 0202 186c 59cd 0000 0000 .........lY.....
0x0020: b002 ffff 1535 0000 0204 05b4 0103 0301 .....5..........
0x0030: 0101 080a 0023 c7d1 0000 0000 0402 0000 .....#..........
14:54:34.048165 IP 10.1.1.1.514 > 10.0.0.1.722: . ack 60 win 4128
0x0000: 4500 0028 9147 0000 ff06 1586 0a01 0101 E..(.G..........
0x0010: 0a00 0001 0202 02d2 0e99 eb92 d6d0 c42a ...............*
0x0020: 5010 1020 f0b6 0000 0000 0000 0000 P.............
14:54:34.048664 IP 10.1.1.1.514 > 10.0.0.1.926: S 3843410289:3843410289(0) ack 409754062 win 4128 <mss 1460>
0x0000: 4500 002c ea13 0000 ff06 bcb5 0a01 0101 E..,............
0x0010: 0a00 0001 0202 039e e515 c971 186c 59ce ...........q.lY.
0x0020: 6012 1020 4c92 0000 0204 05b4 0000 `...L.........
14:54:34.048686 IP 10.0.0.1.926 > 10.1.1.1.514: . ack 1 win 65535
0x0000: 4500 0028 20d3 4000 4006 04fb 0a00 0001 E..(..@.@.......
0x0010: 0a01 0101 039e 0202 186c 59ce e515 c972 .........lY....r
0x0020: 5010 ffff 151d 0000 P.......
14:54:34.048732 IP 10.0.0.1.926 > 10.1.1.1.514: P 1:5(4) ack 1 win 65535
0x0000: 4500 002c 20d4 4000 4006 04f6 0a00 0001 E..,..@.@.......
0x0010: 0a01 0101 039e 0202 186c 59ce e515 c972 .........lY....r
0x0020: 5018 ffff 1521 0000 3936 3700 P....!..967.
14:54:34.247554 IP 10.1.1.1.514 > 10.0.0.1.926: . ack 5 win 4124
0x0000: 4500 0028 ea14 0000 ff06 bcb8 0a01 0101 E..(............
0x0010: 0a00 0001 0202 039e e515 c972 186c 59d2 ...........r.lY.
0x0020: 5010 101c 644f 0000 0000 0000 0000 P...dO........
14:54:34.247575 IP 10.0.0.1.926 > 10.1.1.1.514: P 5:63(58) ack 1 win 65535
0x0000: 4500 0062 20d6 4000 4006 04be 0a00 0001 E..b..@.@.......
0x0010: 0a01 0101 039e 0202 186c 59d2 e515 c972 .........lY....r
0x0020: 5018 ffff 1557 0000 6e65 7475 7000 6e65 P....W..netup.ne
0x0030: 7475 7000 6163 6365 7373 2d74 656d 706c tup.access-templ
0x0040: 6174 6520 3130 3620 6f75 7420 616e 7920 ate.106.out.any.
0x0050: 686f 7374 2031 3732 2e31 362e 332e 3131 host.172.16.3.11
0x0060: 3300 3.

НО когда вбиваешь вручную, например:
rsh -l root 10.1.1.1 access-template 105 in host 172.16.2.36 any ИЛИ
rsh -l netup 10.1.1.1 sh use
Всё работает, причём
rsh -l netup 10.1.1.1 sh run не срабатывает.

Выдержки из конфига:

aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization commands 8 default local
aaa authorization network default group radius
aaa accounting delay-start all
aaa accounting update newinfo periodic 15
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius

username netup privilege 8 password 7 pass
username admin secret 5 pass1
username root privilege 15 secret 5 pass2

no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netup 10.0.0.1 root enable
ip rcmd remote-host root 10.0.0.1 root enable
ip rcmd remote-host netup 10.0.0.1 netup enable

privilege exec level 8 access-enable
privilege exec level 8 access-template
privilege exec level 8 access-profile
privilege exec level 8 clear access-template
privilege exec level 8 clear

[Squirel]

Всё, разобрался.
надо было изменить правила файервола
вместо:
access-template 106 out any host UIP
надо прописать:
access-template 106 out 0.0.0.0 255.255.255.255 UIP 0.0.0.0.
Ну и 105 ACL соответственно изменить.

Только странно, что Cisco2801 принимает и тот и другой вид команды, а 7201 только второй вид.

[Kolodon]

Тоже столкнулся с подобным.
на циске
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netup 192.168.155.1 netup enable 8
!
username netup privilege 8 password 0 test
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template

при запросе с freeBSD : rsh -l netup 192.168.155.254 clear access-template 120 arenda any host 192.168.22.11 - правило отрабатывает нормально на циске,
при запросе с freeBSD : rsh -l netup 192.168.155.254 access-template 120 arenda any host 192.168.22.11 - получаю Line has invalid autocommand "access-template 120 arenda any host 192.168.22.11 "

Как было написано выше помогает замена any на 0.0.0.0 255.255.255.255 и host на 0.0.0.0 , но правило было переписывать влом)) и покопавшись немного нашел решение в конфиге сиськи, а именно в строчке
ip rcmd remote-host netup 192.168.155.1 netup enable 8
, если убрать уровень привелегии 8, то все работает как надо
т.е. ip rcmd remote-host netup 192.168.155.1 netup enable

[Chrst]

Тоже столкнулся с подобным.
на циске
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netup 192.168.155.1 netup enable 8
!
username netup privilege 8 password 0 test
!
privilege exec level 8 access-template
privilege exec level 8 clear access-template

при запросе с freeBSD : rsh -l netup 192.168.155.254 clear access-template 120 arenda any host 192.168.22.11 - правило отрабатывает нормально на циске,
при запросе с freeBSD : rsh -l netup 192.168.155.254 access-template 120 arenda any host 192.168.22.11 - получаю Line has invalid autocommand "access-template 120 arenda any host 192.168.22.11 "

Как было написано выше помогает замена any на 0.0.0.0 255.255.255.255 и host на 0.0.0.0 , но правило было переписывать влом)) и покопавшись немного нашел решение в конфиге сиськи, а именно в строчке
ip rcmd remote-host netup 192.168.155.1 netup enable 8
, если убрать уровень привелегии 8, то все работает как надо
т.е. ip rcmd remote-host netup 192.168.155.1 netup enable

Ну дак и правильно не исполняет. Для 8 уровня не определена команда access-template.
В конфиг надо добавить
privilege exec level 8 access-template
privilege exec level 8 clear access-template
и будет работать как задумано.
А так вы серьезную дырку в rsh проковыряли

[Kolodon]

Как же не определена, когда в моем посте выше в конфиге явно прописано
privilege exec level 8 access-template
privilege exec level 8 clear access-template

и при этом clear выполняет правильно, а добавление в лист выдает ошибку.
А насчет дырки не все так плохо)) Доступ на line vty ограничен листом доступа только с внутреннего адреса и в котором прописан только адресс сервера + циска находиться еще за одной 3745.

[Chrst]

Как же не определена, когда в моем посте выше в конфиге явно прописано
privilege exec level 8 access-template
privilege exec level 8 clear access-template

и при этом clear выполняет правильно, а добавление в лист выдает ошибку.
А насчет дырки не все так плохо)) Доступ на line vty ограничен листом доступа только с внутреннего адреса и в котором прописан только адресс сервера + циска находиться еще за одной 3745.

Извиняюсь, пропустил, не досмотрел