хочу средствами utm5_rfw получать дубль правил на другой NAS2
когда настраиваю второй NAS2 указываю идентичные настройки первого NAS1, как бы все норм, второй получил все правила, но с момента соеденения utm5_rfw с ядром перестает слать правила на первый NAS1.
что предложите?
rfw дубль правил на соседний NAS
Думаю что лучше для этой цели написать скриптик, который сам бы рассылал правила на оба NAS, и прописать его в конфиг rfw. Сам же скрипт можно разместить где угодно, где есть rfw, главное чтоб он мог до этих NAS дотянуться. При поступлении чего-либо от билла запустится этот скрипт и сбросит правила в оба нужных места. Так можно даже целым кластером NAS управлять, и на два отсылать и на четыре и на сколько душе угодно.
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
Если NAS - это компьютер, то этот вариант проще: при поступлении правила пишем в файл, кто открыт, а кто закрыт, и прочитываем его на старте системы. У меня так достаточно записать, кто открыт, потому что фаер построен по принципу "кто в таблице не прописан, тот свободен". А вот если NAS - киска или подобная железяка, то тут да, придется пошевелить мозгами. Дергать постоянно copy ru st - никакая флэша не выдержит.
Про кису вот тут можно почитать, ключевые слова coldstart и reload:
http://www.cisco.com/en/US/tech/tk648/t ... 4a05.shtml
Про кису вот тут можно почитать, ключевые слова coldstart и reload:
http://www.cisco.com/en/US/tech/tk648/t ... 4a05.shtml
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
создавайте в биллинге еще один, два, пять фаерволов с уникальными именами. Настраиваете utm5_rfw так, чтоб на каждом NAS фаервол имел свое имя. Если неизвестно на какой NAS юзер подключится - дублируйте правила фаервола, чтоб каждому nas отсылалось правило.
Если юзера сгруппированы по nas, то привязывать правила к группам, тарифам или хз чему. один хрен правила дублируются фактически.
Если юзера сгруппированы по nas, то привязывать правила к группам, тарифам или хз чему. один хрен правила дублируются фактически.
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
Из поиска по данной теме понял , что полюбому надо писать скрипт (к сожалению никто не привел примера данного скрипта). Запуск 2-х экземпляров rfw никчему хорошему не приводит)).
Вдруг кому то пригодится такое решение:
utm5-2.1.005 на freeBSD 6 , 2 шт. циски 3620 - требуется посылать правила на обе циски.
на обеих цисках :
на фре - rfw5.cfg:
rfw_name=127.0.0.1
firewall_type=local
sudo_path=/usr/local/script/rfw/cisco_rfw.pl
dont_fork=yes
(Без последовательной строчки правила отсылаются не дожидаясь отработки предыдущих, в результате из дебага было видно , что последние правила не выполнялись и вылазило BAD . No free VTY's)
на utm :
nas - 127.0.0.1
правила пишем, как для 1 циски , напр.
access-template 125 inet any host UIP - включение
clear access-template 125 inet any host UIP - выключение
скрипту передаем все правило в качестве параметра и засылаем на циски
cisco_rfw.pl :
#!/usr/bin/perl -w
$rule = join(" ",@ARGV);
system(`/usr/bin/rsh -l netup 192.168.155.253 $rule`);
system(`/usr/bin/rsh -l netup 192.168.155.254 $rule`);
В итоге на циски уходит что-типа
/usr/local/script/rfw/cisco_rfw.pl access-template 120 arenda any host 192.168.22.11
Вдруг кому то пригодится такое решение:
utm5-2.1.005 на freeBSD 6 , 2 шт. циски 3620 - требуется посылать правила на обе циски.
на обеих цисках :
Код: Выделить всё
username netup privilege 8 password 0 test
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netup 192.168.155.1 root enable
!
line con 0
line aux 0
line vty 0 4
access-class 10 in
!
access-list 10 permit 192.168.155.1
!
privilege exec level 8 access-template
privilege exec level 8 clear access-templaterfw_name=127.0.0.1
firewall_type=local
sudo_path=/usr/local/script/rfw/cisco_rfw.pl
dont_fork=yes
(Без последовательной строчки правила отсылаются не дожидаясь отработки предыдущих, в результате из дебага было видно , что последние правила не выполнялись и вылазило BAD . No free VTY's)
на utm :
nas - 127.0.0.1
правила пишем, как для 1 циски , напр.
access-template 125 inet any host UIP - включение
clear access-template 125 inet any host UIP - выключение
скрипту передаем все правило в качестве параметра и засылаем на циски
cisco_rfw.pl :
#!/usr/bin/perl -w
$rule = join(" ",@ARGV);
system(`/usr/bin/rsh -l netup 192.168.155.253 $rule`);
system(`/usr/bin/rsh -l netup 192.168.155.254 $rule`);
В итоге на циски уходит что-типа
/usr/local/script/rfw/cisco_rfw.pl access-template 120 arenda any host 192.168.22.11
По вопросу одновременной работы с 2 NAS серверами обращался в хотлайн. Вот что они ответили:
> Добрый день
> Возникла необходимость от rfw встроенный в биллинг
> 5.2.1-006, чтобы он посылал по rsh список правил на разные
> хосты (cisco и на сервер авторизации клиентов под Freebsd)
>
> Возможно ли это сделать, если да то надо ли что менять в rfw5.cfg
>
Для того, чтобы отсылать правила на разные хосты, необходимо запустить
по
одной копии utm5_rfw на каждый хост с соответствующим типом (local или
cisco)
и конфигурационным файлом. Вы можете ознакомиться с документацией на
стр. 211
для поиска соответствующих настроек.
С уважением, группа технической поддержки Компании НетАП.
> Добрый день
> Возникла необходимость от rfw встроенный в биллинг
> 5.2.1-006, чтобы он посылал по rsh список правил на разные
> хосты (cisco и на сервер авторизации клиентов под Freebsd)
>
> Возможно ли это сделать, если да то надо ли что менять в rfw5.cfg
>
Для того, чтобы отсылать правила на разные хосты, необходимо запустить
по
одной копии utm5_rfw на каждый хост с соответствующим типом (local или
cisco)
и конфигурационным файлом. Вы можете ознакомиться с документацией на
стр. 211
для поиска соответствующих настроек.
С уважением, группа технической поддержки Компании НетАП.