rsh + UTM5

[Munsera]

Здравствуйте.
Хочу настроить автоматическое отключение пользователей на циске. Делаю все по книге.
Т.е.

Код: Выделить всё

Extended IP access list 155
    10 Dynamic test1 permit ip any any
    20 permit ip host х.х.х.3 any (внешний УТМ)
    30 permit ip host 10.0.0.251 any (внутренный УТМ)
Extended IP access list 156
    10 Dynamic test2 permit ip any any
    20 permit ip any host х.х.х.3
    30 permit ip any host 10.0.0.251

username netup privilege 8 password 7 Пароль

no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netup х.х.х.3 netup enable

/netup/utm5/log/rfw.log

Код: Выделить всё

 Info  &#58; Feb 21 09&#58;23&#58;11 StreamManager&#58; ID <0x4004> handler <0x085bcdc0>
 Info  &#58; Feb 21 09&#58;23&#58;11 StreamManager&#58; ID <0x4004> handler <0x085bcdc0>
 Info  &#58; Feb 21 09&#58;23&#58;11 StreamManager&#58; ID <0x4002> handler <0x085bcdc0>
 Info  &#58; Feb 21 09&#58;23&#58;11 StreamManager&#58; ID <0x4002> handler <0x085bcdc0>
 Info  &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; Connection thread started. Peer 127.0.0.1&#58;12758
 Info  &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; Connection thread started. Peer 127.0.0.1&#58;12758
?Debug &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; Connection using TCP socket
?Debug &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; System message recived
?Debug &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; Challenge response sent
?Debug &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; System message recived
 Info  &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; Connection is not authorized, terminating
 Info  &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; Connection is not authorized, terminating
?Debug &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; closing connection &#91;1&#93;
 Info  &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; Connection from 127.0.0.1&#58;12758 closed
 Info  &#58; Feb 21 09&#58;23&#58;11 StreamConnection&#58; Connection from 127.0.0.1&#58;12758 closed
 ERROR &#58; Feb 21 09&#58;23&#58;11 StreamManager&#58; set_auth&#58; connection closed
 ERROR &#58; Feb 21 09&#58;23&#58;11 StreamManager&#58; set_auth&#58; connection closed
*CRIT  &#58; Feb 21 09&#58;23&#58;11 RFW Config&#58; Unable to login, check you configuration file settings
*CRIT  &#58; Feb 21 09&#58;23&#58;11 RFW Config&#58; Unable to login, check you configuration file settings
*CRIT  &#58; Feb 21 09&#58;23&#58;11 RFW Config&#58; Unable to login, check you configuration file settings
-Stats &#58; Feb 21 09&#58;23&#58;11 StreamManager&#58;         Stats&#58; Uptime&#58; 00&#58;00&#58;00. Events&#58; 0; Errors&#58; 0
 Notice&#58; Feb 21 09&#58;23&#58;11 RFW Config&#58; Pid file found&#58; /var/run/utm5_rfw.pid; Overwriting
 Notice&#58; Feb 21 09&#58;23&#58;11 RFW Config&#58; Pid file found&#58; /var/run/utm5_rfw.pid; Overwriting

/netup/utm5/rfw5.cfg

Код: Выделить всё

rfw_name=127.0.0.1
core_host=127.0.0.1
core_port=12758
rfw_login=rfw
rfw_password=rfw
firewall_type=cisco
#rfw_ssl_type=none
sync_flags=enable
firewall_path=/sbin/ipfw
#sudo_path=/usr/bin/sudo
#dont_fork=yes
cisco_ip=x.x.x.1
log_level=3
log_file_main=/netup/utm5/log/rfw.log
....

В админке:

В списке брандмауеров:
Тип cisco(rsh)
IP x.x.x.3
Логин netup

Правила:
на включение для всех польозвателей
access-template 155 test1 host UIP any
access-template 156 test any host UIP
На выключение для всех пользователей
clear access-template 155 test1 host UIP any
clear access-template 156 test2 any host UIP

utm5_rfw рестартил.

Правила не добавляются.

tcpdump -nXli eth1 -s 6500 port 514 - молчит.

В чем косяк?

[Munsera]

Спасибо Mikhal'y за помощь в настройке.

Код: Выделить всё

rfw_name=x.x.x.1
core_host=127.0.0.1
core_port=12758
rfw_login=init
rfw_password=пароль
firewall_type=cisco
rfw_ssl_type=none
sync_flags=enable
cisco_ip=x.x.x.1
log_level=3
log_file_main=/netup/utm5/log/rfw5_main.log
log_file_debug=/netup/utm5/log/rfw5_debug.log
log_file_critical=/netup/utm5/log/rfw5_critical.log

На циске

Код: Выделить всё

username netup privilege 15 secret 5 пароль
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host netup x.x.x.3 netup enable
privilege exec level 15 access-template
privilege exec level 15 clear access-template
access-list 155 permit ip host xx.x.x.3 any
access-list 155 dynamic test1 permit ip any any

access-list 156 permit ip any host x.x.x.3
access-list 156 dynamic test2 permit ip any any

Но

Код: Выделить всё

[root@localhost ~]# # rsh -l netup xx.x.x.1 "sh ver"
connect to address x.x.x.1 port 544: Connection refused
Trying krb4 rsh...
connect to address x.x.x.1 port 544: Connection refused
trying normal rsh (/usr/bin/rsh)
Permission denied..

Код: Выделить всё

[root@localhost ~]# tcpdump -nXli eth1 -s 6500 port 514
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 6500 bytes
18&#58;18&#58;51.498417 IP x.x.x.3.1023 > x.x.x.1.shell&#58; S 1669256105&#58;1669256105&#40;0&#41; win 5840 <mss 1460,sackOK,timestamp 107906 0,nop,wscale 4>
	0x0000&#58;  4500 003c 762b 4000 4006 2b11 c3bd 8903  E..<v+@.@.+.....
	0x0010&#58;  c3bd 8901 03ff 0202 637e d3a9 0000 0000  ........c~......
	0x0020&#58;  a002 16d0 b506 0000 0204 05b4 0402 080a  ................
	0x0030&#58;  0001 a582 0000 0000 0103 0304            ............

[Munsera]

добавил на циске transport input ssh telnet

rsh -l netup х.х.х.1 "sh ver" - заработал.
Но правила все равно не добавляются автоматически...

Код: Выделить всё

19:10:22.256063 IP 195.189.137.1.shell > 195.189.137.3.1023: P 1462:1709(247) ack 24 win 4105
	0x0000:  4500 011f c4f3 0000 ff06 5c65 c3bd 8901  E.........\e....
	0x0010:  c3bd 8903 0202 03ff 73ff d50a 2576 f4cf  ........s...%v..
	0x0020:  5018 1009 1369 0000 6e65 7420 696e 7465  P....i..net.inte
	0x0030:  7266 6163 6573 0d0a 3120 5669 7274 7561  rfaces..1.Virtua
	0x0040:  6c20 5072 6976 6174 6520 4e65 7477 6f72  l.Private.Networ
	0x0050:  6b20 2856 504e 2920 4d6f 6475 6c65 0d0a  k.(VPN).Module..
	0x0060:  4452 414d 2063 6f6e 6669 6775 7261 7469  DRAM.configurati
	0x0070:  6f6e 2069 7320 3634 2062 6974 7320 7769  on.is.64.bits.wi
	0x0080:  6465 2077 6974 6820 7061 7269 7479 2064  de.with.parity.d
	0x0090:  6973 6162 6c65 642e 0d0a 3233 394b 2062  isabled...239K.b
	0x00a0:  7974 6573 206f 6620 6e6f 6e2d 766f 6c61  ytes.of.non-vola
	0x00b0:  7469 6c65 2063 6f6e 6669 6775 7261 7469  tile.configurati
	0x00c0:  6f6e 206d 656d 6f72 792e 0d0a 3632 3732  on.memory...6272
	0x00d0:  304b 2062 7974 6573 206f 6620 4154 4120  0K.bytes.of.ATA.
	0x00e0:  436f 6d70 6163 7446 6c61 7368 2028 5265  CompactFlash.(Re
	0x00f0:  6164 2f57 7269 7465 290d 0a0d 0a43 6f6e  ad/Write)....Con
	0x0100:  6669 6775 7261 7469 6f6e 2072 6567 6973  figuration.regis
	0x0110:  7465 7220 6973 2030 7832 3130 320d 0a    ter.is.0x2102..
19:10:22.256380 IP 195.189.137.3.1023 > 195.189.137.1.shell: . ack 1709 win 11680
	0x0000:  4500 0028 35a0 4000 4006 6bb0 c3bd 8903  E..(5.@.@.k.....
	0x0010:  c3bd 8901 03ff 0202 2576 f4cf 73ff d601  ........%v..s...
	0x0020:  5010 2da0 7e6c 0000                      P.-.~l..
19:10:22.257106 IP 195.189.137.1.shell > 195.189.137.3.1023: P 1709:1710(1) ack 24 win 4105
	0x0000:  4500 0029 c4f4 0000 ff06 5d5a c3bd 8901  E..)......]Z....
	0x0010:  c3bd 8903 0202 03ff 73ff d601 2576 f4cf  ........s...%v..
	0x0020:  5018 1009 91fa 0000 0a00 0000 0000       P.............
19:10:22.257610 IP 195.189.137.3.1023 > 195.189.137.1.shell: . ack 1710 win 11680
	0x0000:  4500 0028 35a1 4000 4006 6baf c3bd 8903  E..(5.@.@.k.....
	0x0010:  c3bd 8901 03ff 0202 2576 f4cf 73ff d602  ........%v..s...
	0x0020:  5010 2da0 7e6b 0000                      P.-.~k..
19:10:22.357271 IP 195.189.137.1.shell > 195.189.137.3.1023: FP 1710:1710(0) ack 24 win 4105
	0x0000:  4500 0028 c4f5 0000 ff06 5d5a c3bd 8901  E..(......]Z....
	0x0010:  c3bd 8903 0202 03ff 73ff d602 2576 f4cf  ........s...%v..
	0x0020:  5019 1009 9bf9 0000 0000 0000 0000       P.............
19:10:22.367171 IP 195.189.137.3.1023 > 195.189.137.1.shell: F 24:24(0) ack 1711 win 11680
	0x0000:  4500 0028 35a2 4000 4006 6bae c3bd 8903  E..(5.@.@.k.....
	0x0010:  c3bd 8901 03ff 0202 2576 f4cf 73ff d603  ........%v..s...
	0x0020:  5011 2da0 7e69 0000                      P.-.~i..
19:10:22.368816 IP 195.189.137.1.shell > 195.189.137.3.1023: . ack 25 win 4105
	0x0000:  4500 0028 c4f6 0000 ff06 5d59 c3bd 8901  E..(......]Y....
	0x0010:  c3bd 8903 0202 03ff 73ff d603 2576 f4d0  ........s...%v..
	0x0020:  5010 1009 9c00 0000 0000 0000 0000       P.............

[Chrst]

Но правила все равно не добавляются автоматически...

Смущает в rfw.cfg

Код: Выделить всё

rfw_login=init
rfw_password=пароль 

Может стоит завести системного пользователя firewall со своим паролем?

Кстати для пользователя netup на cisco вполне достаточно privelege exec level 8.

Если на cisco включить debug ip tcp rcmd, что нибудь видно ?

А еще, на всякий случай, есть ли хост с биллингом в ACL cisco на vty 0 4?

[Munsera]

Дебаг молчит.

Может стоит завести системного пользователя firewall со своим паролем?

useradd netup? Так?

[Munsera]

Тему можно закрывать. Все работает!
Большое спасибо Mikhail. Полностью решил мою проблему.

[kuzmaonline]

Интересно?! А проблема была то в чем скажешь?

[praeitor]

Такая же проблема как и у пользователя Munsera, всё настроено по книжке но на

Код: Выделить всё

tcpdump -nXli eth0 -s 65000 port 514

реакция нулевая.

Руками правила добавляются нормально.

[gagarin]

Такая же проблема как и у пользователя Munsera, всё настроено по книжке но на

Код: Выделить всё

tcpdump -nXli eth0 -s 65000 port 514

реакция нулевая.

Руками правила добавляются нормально.

такая же проблема как у Вас, откликнитесь плз кто сталкивался,
уже 4-ый день не могу понять почему руками добавляются, кнопкой - нет

[maxxsoft]

Для начала создаём брандмауэр в админке, запоминаем его имя например 1router
в rfw5.cfg
ключевые поля:

Код: Выделить всё

rfw_name=1router
core_host=127.0.0.1
core_port=12758
rfw_login=логин системного пользователя для коннекта к ядру
rfw_password=пароль системного пользователя для коннекта к ядру
firewall_type=cisco
cisco_ip=ип рутера
sync_flags=enable:disable
dont_fork=yes

но на собственном опыте убедился, что особенно с нагружеными удалёнными кошками часть правил не проходит... гораздо надёжней работает в режиме "локальный" со скриптом.
т.е. заводим брандмауэр с типом "локальный", опять же запоминаем имя, вот полный код rfw5.cfg:

Код: Выделить всё

rfw_name=имя брандмауэра из админки
core_host=127.0.0.1
core_port=12758
rfw_login=логин системного пользователя для коннекта к ядру
rfw_password=пароль системного пользователя для коннекта к ядру
firewall_type=local
rfw_ssl_type=ssl3
sync_flags=enable:disable
firewall_path=/netup/utm5/rfw5.sh
dont_fork=yes
log_level=1
log_file_main=/netup/utm5/log/rfw.log
log_file_debug=/netup/utm5/log/rfw.log
log_file_critical=/netup/utm5/log/rfw.log
rotate_logs=yes
max_logfile_count=5
pid_file=/var/run/utm5_rfw.pid

/netup/utm5/rfw5.sh:

Код: Выделить всё

#!/bin/sh

#rfw
rsh netup@ип рутера "$*"

на кошке:

Код: Выделить всё

user add netup privilege 8 access-class 8 nopasswd
access-list 8 permit ип биллинга