Avamar: Aangepaste Avamar firewallregels toevoegen of verwijderen met edit-firewall-rules.sh (v7.3 en hoger)

In Avamar v7.3 en hoger is een hulpprogramma beschikbaar waarmee gebruikers hun eigen aangepaste iptables-regels kunnen toevoegen of verwijderen.

Functies: 

• Onderdeel van de standaard Avamar Firewall RPM die wordt geleverd met v7.3.
• Gebruikers kunnen hun eigen aangepaste iptables-regels toevoegen of verwijderen.
• Aangepaste regels overleven upgrades van Avamar-versies.
• Aangepaste regels overleven updates van firewallpakketten.

De volgende nieuwe bestanden worden op systemen geïnstalleerd door de avfwb security RPM. De bestanden bevinden zich op: /usr/local/avamar/lib/admin/security.

• edit-firewall-rules.sh.
• manage-custom-rules.sh.
• avfwb_custom_config.txt.

edit-firewall-rules.sh:

• Dit bestand is een interactief script dat de invoer van de gebruiker overneemt en formatteert in iptables-formaat .
• In dit bestand wordt informatie op een klantvriendelijke manier uiteengezet.

manage-custom-rules.sh:

• Dit bestand is de motor achter het edit-firewall-rules.sh interactieve script.
• In dit bestand worden de iptables-regels en -opdrachten gemaakt die zijn gebaseerd op de opgeslagen aangepaste regelset in het configuratiebestand.
• In dit bestand wordt de avfirewall-service opnieuw gestart om de nieuwe regels toe te passen.

Voer de bovenstaande scripts uit als de hoofdgebruiker. 
Na het laden van sleutels als admin-gebruiker, schakelt u over naar de rootgebruiker met "su - "

Het script uitvoeren:
Laad de SSH-sleutels voordat u het script uitvoert.  

Als de sleutels niet worden geladen, kan het script mislukken wanneer het regels naar andere knooppunten kopieert.  

Raadpleeg het artikel 'notities' of de Avamar System Administration Guide voor meer informatie.
 

Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action:

Add a Custom Rule
The user can make selections for iptables fields to construct the rule they wish to add.

• Regeltype: IPv4 of IPv6.
• Keten: Output, Input, Logdrop of Forward.
• Protocol: TCP, UDP, ICMP.
• Bron: IP.
• Source Port.
• Doel-IP.
• Bestemmingshaven.
• Doel: Accepteren, afwijzen, laten vallen, afwijzen.
• Knooppunttype: Alles, data, hulpprogramma.

Aangepaste regels worden in avfwb_custom_config.txt bestand opgeslagen als door pijpen gescheiden regels.

Formaat:
Bron IP | Bronpoort | Bestemmings-IP | Haven van bestemming | Protocol | ICMP-type | Streefdoel | Ketting | Knooppunttype

Voorbeeld:

10.10.10.10||10.10.10.11||tcp||ACCEPT|OUTPUT|ALL

Add Rule Example

Select the type of firewall rule to add

Firewall Rule Types
-------------------
1) IPv4 Rule
2) IPv6 Rule
Enter Firewall Rule Type:

Protocol
--------
1) TCP
2) UDP
3) ICMP
Enter Protocol:
Select the desired CHAIN

Firewall Chains
---------------
1) OUTPUT
2) INPUT
3) LOGDROP
4) FORWARD
Select Chain:
Select the Protocol type to be used

Protocol
--------
1) TCP
2) UDP
3) ICMP
Enter Protocol:

Enter source IP (leave blank for none):
Enter source port (leave blank for none):
Enter destination IP (leave blank for none):
Enter destination port (leave blank for none):
Select the desired target action

Targets
-------
1) ACCEPT
2) REJECT
3) DROP
4) LOGDROP
Select Target:

Select which type of node this new rule will be applied to

Node Types
----------
1) ALL
2) DATA
3) UTILITY
Select node type to apply rule to:

The script will ask you to confirm that you want to add the new rule to the avfwb_custom_config.txt file

Add rule ||||tcp||ACCEPT|OUTPUT|ALL to file? (Y/N): y
Adding ||||tcp||ACCEPT|OUTPUT|ALL to file...

The script asks if you wish to add another rule or return to the main menu

Add another rule? (Y/N):
Return to main menu? (Y/N):

Saving and applying rules

Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action: 5

Rules have been saved to /usr/local/avamar/lib/admin/security/avfwb_custom_config.txt
Save and execute rules now? (Y/N):

Choosing Y when asked to save and execute will propagate the config file to all 
nodes, applies the rules accordingly and restarts the avfirewall service.



Removing a rule 

 Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action: 2


Select the rule to remove.  The script will confirm "Line xxx has been removed from configuration file"

Return to the main menu.  If we select option 3 "List Current Custom Rules" we will see the list of rules and a list of 'Changes Pending'.



Pending changes will be executed when exiting the script and selecting Y to "Save and execute rules now".

 Rules have been saved to /usr/local/avamar/lib/admin/security/avfwb_custom_config.txt
Save and execute rules now? (Y/N):

Zorg dat u geen firewallregels maakt die van invloed kunnen zijn op de werking van de Avamar-applicatie. Bijvoorbeeld: weigeren van verkeer van of naar een Avamar-serverpoort.

Raadpleeg de meest recente release van de Avamar Product Security Guide voor informatie over vereiste Avamar-poorten.

De productbeveiligingsgids heeft ook een soortgelijke tool "manage-custom-rules.sh" die niet-interactief is.

Hoe te controleren of de SSH-sleutels zijn geladen en zo niet, hoe ze te laden.

admin@util:~/>: ssh-add -l
Could not open a connection to your authentication agent.   <-- keys not loaded
admin@util:~/>: ssh-agent bash
admin@util:~/>: ssh-add ~/.ssh/dpnid
Identity added: .ssh/dpnid (.ssh/dpnid)
admin@util:~/>: ssh-add -l
1024 1b:af:88:95:7a:d8:a9:16:fb:cb:9e:0e:49:32:a3:cd [MD5] .ssh/dpnid (DSA)  <-- keys loaded