Ein Kunde von uns hätte gerne eine Lösung, mit der er selbst per Batchdatei bestimmte (vorher konfigurierte) Regeln an-/abschaltet.
Lässt sich sowas mit den Puttytools (plink, pageant etc) realisieren?
Also SSH-Key speichern, anmelden, Anforderung ausführen
An-/Abschalten von regeln per Batchdatei
Moderator: Securepoint
-
t_wittmann
- Beiträge: 28
- Registriert: Mi 02.06.2010, 18:09
Hallo,
ja, das ist möglich. Allerdings nicht direkt auf die CLI Shell. Die ist nicht kompatibel.
Man muss sich via root einloggen und dann dort das CLI Kommando aufrufen. Z. B.:
spcli show rule
Alternativ könnte man das vielleicht auch via der SPUVA Funktion machen (was an der
Stelle wohl aus Sicherheitsgründen besser wäre):
http://faq.securepoint.de/index.php?opt ... &Itemid=16
Ist zwar ein Howto von der 2007er aber auch anwendbar auf die 10er.
ja, das ist möglich. Allerdings nicht direkt auf die CLI Shell. Die ist nicht kompatibel.
Man muss sich via root einloggen und dann dort das CLI Kommando aufrufen. Z. B.:
spcli show rule
Alternativ könnte man das vielleicht auch via der SPUVA Funktion machen (was an der
Stelle wohl aus Sicherheitsgründen besser wäre):
http://faq.securepoint.de/index.php?opt ... &Itemid=16
Ist zwar ein Howto von der 2007er aber auch anwendbar auf die 10er.
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH
-
t_wittmann
- Beiträge: 28
- Registriert: Mi 02.06.2010, 18:09
Danke für die rasche Antwort.
Aber wenn ich das richtig verstehe kann der SPUVA-User selbst keine Regeln ändern sondern hat nur die Möglichkeiten im Rahmen der Regeln die ich vorher definiere, oder sehe ich das falsch?
Und wenn ich mich als root anmelden kann, dann kann ich das ja so über putty steuern richtig? Dem Kunden wäre in dem Falle bewusst was das Aktivieren des root-Benutzers bedeutet. Wie kann ich dann z.B. den ssh-Key automatisiert abspeichern?
Vielen Dank für die Geduld :-)
Aber wenn ich das richtig verstehe kann der SPUVA-User selbst keine Regeln ändern sondern hat nur die Möglichkeiten im Rahmen der Regeln die ich vorher definiere, oder sehe ich das falsch?
Und wenn ich mich als root anmelden kann, dann kann ich das ja so über putty steuern richtig? Dem Kunden wäre in dem Falle bewusst was das Aktivieren des root-Benutzers bedeutet. Wie kann ich dann z.B. den ssh-Key automatisiert abspeichern?
Vielen Dank für die Geduld :-)
Moin,
zu der ersten Frage bezgl. SPUVA: korrekt!
Zu der zweiten Frage:
DSA oder RSA Keys zur Authentisierung werden nicht unterstützt. Der Hostkey muss einmal auf dem Client Rechner gespeichert sein. Das passiert automatisch wenn man sich via Putty
einmal einloggt. Das Skript kann via plink übertragen werden (Batch-Modus). Sprich in einer
Textdatei einfach die entsprechenden CLI Kommandos (mit führenden Kommando spcli, da
man ja via root eine Linux Shell hat) erstellen. Beim Aufruf von plink kann man das Passwort mit übergeben.
Der Aufruf könnte zum Beispiel so aussehen:
c:\\Programme\\putty\\plink.exe -batch -pw insecure -m config.txt root@192.168.175.1
Und der Inhalt von config.txt zum Beispiel so:
spcli change networkobject "Internal Network" "Internal Network" 192.168.0.0/24 internal
spcli update rule
spcli config save securepoint
Beste Grüße
zu der ersten Frage bezgl. SPUVA: korrekt!
Zu der zweiten Frage:
DSA oder RSA Keys zur Authentisierung werden nicht unterstützt. Der Hostkey muss einmal auf dem Client Rechner gespeichert sein. Das passiert automatisch wenn man sich via Putty
einmal einloggt. Das Skript kann via plink übertragen werden (Batch-Modus). Sprich in einer
Textdatei einfach die entsprechenden CLI Kommandos (mit führenden Kommando spcli, da
man ja via root eine Linux Shell hat) erstellen. Beim Aufruf von plink kann man das Passwort mit übergeben.
Der Aufruf könnte zum Beispiel so aussehen:
c:\\Programme\\putty\\plink.exe -batch -pw insecure -m config.txt root@192.168.175.1
Und der Inhalt von config.txt zum Beispiel so:
spcli change networkobject "Internal Network" "Internal Network" 192.168.0.0/24 internal
spcli update rule
spcli config save securepoint
Beste Grüße
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH
-
t_wittmann
- Beiträge: 28
- Registriert: Mi 02.06.2010, 18:09
Dankschee, werd das testen
Schönes Wochenende :-)
Schönes Wochenende :-)
-
t_wittmann
- Beiträge: 28
- Registriert: Mi 02.06.2010, 18:09
Funktioniert super!
Allerdings ist anzumerken dass die Rule ID sich nach der ID im Manager richtet, nicht nach der ID im Browser/SOC!
Allerdings ist anzumerken dass die Rule ID sich nach der ID im Manager richtet, nicht nach der ID im Browser/SOC!
Wir haben 2 Internetzugänge. Wir wollen mit den Batchmöglichkeiten unser Defaultgateway verstellen wenn einer dieser Zugänge ausfällt.
Wir haben zuerst zwei Defaultroute mit verschiedener Metrik ausprobiert. Aber das ist überhaupt nicht die Lösung des Problems, bei Metrik geht es nur um Gewichtung des Traffics und nicht um Ausfall (danke Support!).
Das ganze wird dann ungefähr so aussehen (wird dann in Perl programmiert):
ping -t 3 10.95.83.2
# Ping geht
exit
# Geht anderer Gateway?
ping -t 3 10.95.83.4
# Geht nicht?
exit -> panik, alles ist weg
# Defaultrouting umstellen
ssh root@... 'splci show route'
...
92;;0.0.0.0/0;10.95.83.2;1 <<<<< Nr. 92 ändert sich immer
# suche Zeile mit Defaultrouting
# merke Regelnummer, hier 92
# altes Defaultrouting deaktivieren
ssh root@... 'spcli delete route 92'
# Anderes Routing aktivieren
ssh root@... 'spcli add route "" 0.0.0.0/0 10.95.83.4 1"
# Alle Routen aktualisieren
ssh root@... 'spcli update routes'
Die Kommandozeilenbedienung ist echt klasse und hilft in solchen Situationen weiter.
Mit freundlichem Gruß
Richard Lippmann
Wir haben zuerst zwei Defaultroute mit verschiedener Metrik ausprobiert. Aber das ist überhaupt nicht die Lösung des Problems, bei Metrik geht es nur um Gewichtung des Traffics und nicht um Ausfall (danke Support!).
Das ganze wird dann ungefähr so aussehen (wird dann in Perl programmiert):
ping -t 3 10.95.83.2
# Ping geht
exit
# Geht anderer Gateway?
ping -t 3 10.95.83.4
# Geht nicht?
exit -> panik, alles ist weg
# Defaultrouting umstellen
ssh root@... 'splci show route'
...
92;;0.0.0.0/0;10.95.83.2;1 <<<<< Nr. 92 ändert sich immer
# suche Zeile mit Defaultrouting
# merke Regelnummer, hier 92
# altes Defaultrouting deaktivieren
ssh root@... 'spcli delete route 92'
# Anderes Routing aktivieren
ssh root@... 'spcli add route "" 0.0.0.0/0 10.95.83.4 1"
# Alle Routen aktualisieren
ssh root@... 'spcli update routes'
Die Kommandozeilenbedienung ist echt klasse und hilft in solchen Situationen weiter.
Mit freundlichem Gruß
Richard Lippmann