Guten Morgen.
Ist es möglich, sich die PCI-Geräte der UTM anzeigen zu lassen per LSPCI? Ich würde gerne wissen, welche Netzwerk-Chips in unserer RC300g3 verbaut sind. Natürlich könnte ich die UTM auch einfach öffnen und mir die Chips auf der Platine suchen (die g3 Hardware ist ja eh aus der Garantie raus), aber per LSPCI wäre es natürlich einfacher.
Ebenso würde ich gerne wissen, auf welchem Linux die UTM aufbaut (gehärtet ist klar, aber welche Distribution und welche Kernel-Version).
Zweck der ganzen Aktion ist es, eine "Notfall-Hardware" zu bauen, um die UTM bei Ausfall so lange darauf betreiben zu können, bis ein Ersatzgerät verbaut werden kann. Da eine Firewall DER zentrale Knotenpunkt im Netzwerk ist, kann ein Ausfall der Hardware sehr schnell richtig in's Geld gehen, wenn die verschiedenen Netzwerksegmente nicht mehr miteinander sprechen können.
Es werden ja virtualisierte UTMs unterstützt (oder geduldet) per hyper-V, vmware und KVM (z.B. Proxmox), da würde ich aus Sicherheitsgründen gerne den Weg von durchgereichten Netzwerkkarten gehen.
LSPCI
Moderator: Securepoint
-
Benutzername
- Beiträge: 9
- Registriert: Mi 28.10.2020, 17:02
Hab schon selbst eine Möglichkeit gefunden, nachdem ich hier in einem anderen Posting gelesen hatte, dass man per sftp (per WinSCP) auf die Firewall kommt. Da bin ich auf den Befehl LSHW gestoßen. Aufruf einfach per /usr/sbin/lshw -businfo
Mal sehen, was die UTM sonst noch so für Befehle versteht...
Mal sehen, was die UTM sonst noch so für Befehle versteht...
-
Benutzername
- Beiträge: 9
- Registriert: Mi 28.10.2020, 17:02
Ergänzung: den Befehl muss man natürlich als root-User ausführen.
Um z.B. nur die Netzwerkkarten anzuzeigen nimmt man /usr/sbin/lshw -businfo -class network
Um z.B. nur die Netzwerkkarten anzuzeigen nimmt man /usr/sbin/lshw -businfo -class network
-
Benutzername
- Beiträge: 9
- Registriert: Mi 28.10.2020, 17:02
Ergebnis des Auslesens meiner RC300g3: 4 Ports Intel 82580 am gleichen PCI-Gerät, also eine i340-t4 Karte (ETH0-3), zusätzlich 2x Intel i210 auf unterschiedlichen PCI-Geräten.
Die Firewall wird als FWS-7820 gelistet (vielleicht hilft das dabei, passende Erweiterungen zu finden - z.B. das LAN-Zusatzmodul).
Die Firewall wird als FWS-7820 gelistet (vielleicht hilft das dabei, passende Erweiterungen zu finden - z.B. das LAN-Zusatzmodul).
-
Benutzername
- Beiträge: 9
- Registriert: Mi 28.10.2020, 17:02
weiteres Update: Habe mal schnell ein Testsystem (für den Notfall) zusammengebaut: core i7-4790 auf MSI H97 PC Mate, 12Gb RAM, 240Gb SSD.
Dort werden folgende Netzwerkkarten von der Securepoint UTM-Software erkannt:
-Realtek RTL8111 (onboard)
-Intel CT desktop adapter PCIe x1 (Intel 82574L)
-Intel Pro/1000 PCI (Intel 82541PI)
-Intel x520-DA2 hier die HP 560 SFP+ (2x Intel 82599ES)
-Intel i350-T4 (sowohl eine von Dell als auch eine HP 366 FLR).
Die von Securepoint genutzte Linux-Distribution ist also sehr Hardware-freundlich.
Das ganze Konstrukt funktioniert auch unter Proxmox inkl. Durchleiten der Netzwerkkarten in die VM, aber dafür würde ich ein anderes Board empfehlen, da die UEFI-Optionen des MSI bezüglich Virtualisierung schon arg sparsam sind. Ich empfehle eher Gigabyte oder Asrock.
Hinweis: natürlich ist klar, dass so eine Notfall-Kiste nicht für den Produktivbetrieb empfohlen ist und auch nicht supportet wird, aber vielleicht hilft es dem einen oder anderen im Worst-Case schnell weiter.
@ Moderatoren: ich hoffe, ich habe hier nicht irgendwelche Foren-Regeln verletzt. Konnte nichts dazu finden.
Dort werden folgende Netzwerkkarten von der Securepoint UTM-Software erkannt:
-Realtek RTL8111 (onboard)
-Intel CT desktop adapter PCIe x1 (Intel 82574L)
-Intel Pro/1000 PCI (Intel 82541PI)
-Intel x520-DA2 hier die HP 560 SFP+ (2x Intel 82599ES)
-Intel i350-T4 (sowohl eine von Dell als auch eine HP 366 FLR).
Die von Securepoint genutzte Linux-Distribution ist also sehr Hardware-freundlich.
Das ganze Konstrukt funktioniert auch unter Proxmox inkl. Durchleiten der Netzwerkkarten in die VM, aber dafür würde ich ein anderes Board empfehlen, da die UEFI-Optionen des MSI bezüglich Virtualisierung schon arg sparsam sind. Ich empfehle eher Gigabyte oder Asrock.
Hinweis: natürlich ist klar, dass so eine Notfall-Kiste nicht für den Produktivbetrieb empfohlen ist und auch nicht supportet wird, aber vielleicht hilft es dem einen oder anderen im Worst-Case schnell weiter.
@ Moderatoren: ich hoffe, ich habe hier nicht irgendwelche Foren-Regeln verletzt. Konnte nichts dazu finden.
Alles auf eigene Gefahr. Meine private Firewall besteht auch aus einem Eigenbau. Das Einzige was man dazu sagen muss: Gibt es durch den Eigenbau Probleme (z.B. nach einem Update wird Netzwerkkarte xy wegen entfernten Treiber nicht mehr erkannt) gibt es keinen Support für das entstandene Problem durch uns.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Nachtrag: Nanu?! Wo ist meine Antwort hin?Mario hat geschrieben: Alles auf eigene Gefahr. Meine private Firewall besteht auch aus einem Eigenbau. Das Einzige was man dazu sagen muss: Gibt es durch den Eigenbau Probleme (z.B. nach einem Update wird Netzwerkkarte xy wegen entfernten Treiber nicht mehr erkannt) gibt es keinen Support für das entstandene Problem durch uns.
Was ich eigentlich posten wollte:
Wie wäre es mit einem nur für Partner verfügbaren NFR-Image mit voller Treiberunterstützung für den Testgebrauch?
Ansonsten wäre auch denkbar, Partnern eine Kompatibilitätsliste zur Verfügung zu stellen.