Avamar: Come aggiungere o rimuovere regole personalizzate del firewall Avamar con edit-firewall-rules.sh (v7.3 e successive)

In Avamar v7.3 e versioni successive, è disponibile uno strumento che consente agli utenti di aggiungere o rimuovere le proprie regole iptables personalizzate.

Caratteristiche: 

• Parte dell RPM standard di Avamar Firewall fornito con v7.3.
• Gli utenti possono aggiungere o rimuovere le proprie regole iptables personalizzate.
• Le regole personalizzate sopravvivono agli upgrade della versione di Avamar.
• Le regole personalizzate sopravvivono agli aggiornamenti dei pacchetti del firewall.

I seguenti nuovi file vengono installati sui sistemi dall RPM di sicurezza avfwb. I file si trovano in: /usr/local/avamar/lib/admin/security.

• edit-firewall-rules.sh.
• manage-custom-rules.sh.
• avfwb_custom_config.txt.

edit-firewall-rules.sh:

• Questo file è uno script interattivo che prende l'input dell'utente e lo formatta in formato iptables .
• Questo file presenta le informazioni in modo facile da usare per il cliente.

manage-custom-rules.sh:

• Questo file è il motore alla base dello script interattivo edit-firewall-rules.sh .
• Questo file crea le regole e i comandi iptables basati sul set di regole personalizzate salvato nel file di configurazione.
• Questo file riavvia il servizio avfirewall per applicare le nuove regole.

Eseguire gli script precedenti come utente root. 
Dopo aver caricato le chiavi come utente amministratore, passare all'utente root con "su - "

Esecuzione dello script:
Caricare le chiavi SSH prima di eseguire lo script.  

Se le chiavi non vengono caricate, lo script potrebbe non riuscire quando copia le regole in altri nodi.  

Per ulteriori informazioni, consultare l'articolo "Note" o la Guida all'amministrazione del sistema Avamar .
 

Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action:

Add a Custom Rule
The user can make selections for iptables fields to construct the rule they wish to add.

• Tipo di regola: IPv4 o IPv6.
• Catena: Output, Input, LogDrop o Forward.
• Protocollo: TCP, UDP, ICMP.
• IP di origine.
• Porta di origine.
• IP di destinazione.
• Porta di destinazione.
• Bersaglio: Accetta, rifiuta, elimina, rifiuta.
• Tipo di nodo: Tutto, Dati, Utilità.

Le regole personalizzate vengono memorizzate in avfwb_custom_config.txt file come righe delimitate da pipe.

Formato:
IP di origine | Porta di origine | IP di destinazione | Porta di destinazione | Protocollo | Tipo di ICMP | Obiettivo | Catena | Tipo di

nodo Esempio:

10.10.10.10||10.10.10.11||tcp||ACCEPT|OUTPUT|ALL

Add Rule Example

Select the type of firewall rule to add

Firewall Rule Types
-------------------
1) IPv4 Rule
2) IPv6 Rule
Enter Firewall Rule Type:

Protocol
--------
1) TCP
2) UDP
3) ICMP
Enter Protocol:
Select the desired CHAIN

Firewall Chains
---------------
1) OUTPUT
2) INPUT
3) LOGDROP
4) FORWARD
Select Chain:
Select the Protocol type to be used

Protocol
--------
1) TCP
2) UDP
3) ICMP
Enter Protocol:

Enter source IP (leave blank for none):
Enter source port (leave blank for none):
Enter destination IP (leave blank for none):
Enter destination port (leave blank for none):
Select the desired target action

Targets
-------
1) ACCEPT
2) REJECT
3) DROP
4) LOGDROP
Select Target:

Select which type of node this new rule will be applied to

Node Types
----------
1) ALL
2) DATA
3) UTILITY
Select node type to apply rule to:

The script will ask you to confirm that you want to add the new rule to the avfwb_custom_config.txt file

Add rule ||||tcp||ACCEPT|OUTPUT|ALL to file? (Y/N): y
Adding ||||tcp||ACCEPT|OUTPUT|ALL to file...

The script asks if you wish to add another rule or return to the main menu

Add another rule? (Y/N):
Return to main menu? (Y/N):

Saving and applying rules

Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action: 5

Rules have been saved to /usr/local/avamar/lib/admin/security/avfwb_custom_config.txt
Save and execute rules now? (Y/N):

Choosing Y when asked to save and execute will propagate the config file to all 
nodes, applies the rules accordingly and restarts the avfirewall service.



Removing a rule 

 Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action: 2


Select the rule to remove.  The script will confirm "Line xxx has been removed from configuration file"

Return to the main menu.  If we select option 3 "List Current Custom Rules" we will see the list of rules and a list of 'Changes Pending'.



Pending changes will be executed when exiting the script and selecting Y to "Save and execute rules now".

 Rules have been saved to /usr/local/avamar/lib/admin/security/avfwb_custom_config.txt
Save and execute rules now? (Y/N):

Prestare attenzione a non creare regole del firewall che potrebbero influire sulla funzionalità dell'applicazione Avamar. Ad esempio, Rifiuto del traffico da o verso una porta di Avamar Server.

Consultare la versione più recente della Guida alla sicurezza del prodotto Avamar per informazioni sulle porte richieste di Avamar.

La Guida alla sicurezza del prodotto contiene anche uno strumento simile, "manage-custom-rules.sh", che non è interattivo.

Come verificare se le chiavi SSH sono caricate e, in caso contrario, come caricarle.

admin@util:~/>: ssh-add -l
Could not open a connection to your authentication agent.   <-- keys not loaded
admin@util:~/>: ssh-agent bash
admin@util:~/>: ssh-add ~/.ssh/dpnid
Identity added: .ssh/dpnid (.ssh/dpnid)
admin@util:~/>: ssh-add -l
1024 1b:af:88:95:7a:d8:a9:16:fb:cb:9e:0e:49:32:a3:cd [MD5] .ssh/dpnid (DSA)  <-- keys loaded