Avamar : Ajout ou suppression de règles de pare-feu Avamar personnalisées avec edit-firewall-rules.sh (v7.3 et versions ultérieures)

Dans Avamar v7.3 et versions supérieures, un outil permet aux utilisateurs d’ajouter ou de supprimer leurs propres règles iptables personnalisées.

Fonctionnalités: 

• Fait partie de la version standard d’Avamar Firewall RPM livrée avec la version 7.3.
• Les utilisateurs peuvent ajouter ou supprimer leurs propres règles iptables personnalisées.
• Les règles personnalisées survivent aux mises à niveau de la version d’Avamar.
• Les règles personnalisées survivent aux mises à jour des packages de pare-feu.

Les nouveaux fichiers suivants sont installés sur les systèmes par le RPM de sécurité avfwb. Les fichiers se trouvent à l’emplacement suivant : /usr/local/avamar/lib/admin/security.

• edit-firewall-rules.sh.
• manage-custom-rules.sh.
• avfwb_custom_config.txt.

edit-firewall-rules.sh :

• Ce fichier est un script interactif qui prend les entrées de l’utilisateur et les formate au format iptables .
• Ce fichier présente les informations de manière conviviale.

manage-custom-rules.sh :

• Ce fichier est le moteur du script interactif edit-firewall-rules.sh .
• Ce fichier crée les règles et commandes iptables en fonction de l’ensemble de règles personnalisées enregistré dans le fichier de configuration.
• Ce fichier redémarre le service avfirewall pour appliquer les nouvelles règles.

Exécutez les scripts ci-dessus en tant qu’utilisateur root. 
Après avoir chargé les clés en tant qu’utilisateur administrateur, passez à l’utilisateur root avec « su - »

Exécution du script :
chargez les clés SSH avant d’exécuter le script.  

Si les clés ne sont pas chargées, le script peut échouer lorsqu’il copie les règles vers d’autres nœuds.  

Pour plus d’informations, consultez l’article Remarques ou le Guide d’administration système Avamar .
 

Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action:

Add a Custom Rule
The user can make selections for iptables fields to construct the rule they wish to add.

• Type de règle : IPv4 ou IPv6.
• Chaîne: Sortie, Entrée, Logdrop ou Transfert.
• Protocole : TCP, UDP, ICMP.
• Adresse IP source.
• Port source.
• Adresse IP de destination.
• Port de destination.
• Cible : Accepter, Rejeter, Abandonner, Rejeter.
• Type de nœud : Tout, Données, Utilitaires.

Les règles personnalisées sont stockées dans avfwb_custom_config.txt fichier sous forme de lignes délimitées par des barres verticales.

Format:
Adresse IP source | Port source | Adresse IP de destination | Port de destination | Protocole | Type ICMP | Cible | Chaîne | Exemple de type de nœud

:

10.10.10.10||10.10.10.11||tcp||ACCEPT|OUTPUT|ALL

Add Rule Example

Select the type of firewall rule to add

Firewall Rule Types
-------------------
1) IPv4 Rule
2) IPv6 Rule
Enter Firewall Rule Type:

Protocol
--------
1) TCP
2) UDP
3) ICMP
Enter Protocol:
Select the desired CHAIN

Firewall Chains
---------------
1) OUTPUT
2) INPUT
3) LOGDROP
4) FORWARD
Select Chain:
Select the Protocol type to be used

Protocol
--------
1) TCP
2) UDP
3) ICMP
Enter Protocol:

Enter source IP (leave blank for none):
Enter source port (leave blank for none):
Enter destination IP (leave blank for none):
Enter destination port (leave blank for none):
Select the desired target action

Targets
-------
1) ACCEPT
2) REJECT
3) DROP
4) LOGDROP
Select Target:

Select which type of node this new rule will be applied to

Node Types
----------
1) ALL
2) DATA
3) UTILITY
Select node type to apply rule to:

The script will ask you to confirm that you want to add the new rule to the avfwb_custom_config.txt file

Add rule ||||tcp||ACCEPT|OUTPUT|ALL to file? (Y/N): y
Adding ||||tcp||ACCEPT|OUTPUT|ALL to file...

The script asks if you wish to add another rule or return to the main menu

Add another rule? (Y/N):
Return to main menu? (Y/N):

Saving and applying rules

Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action: 5

Rules have been saved to /usr/local/avamar/lib/admin/security/avfwb_custom_config.txt
Save and execute rules now? (Y/N):

Choosing Y when asked to save and execute will propagate the config file to all 
nodes, applies the rules accordingly and restarts the avfirewall service.



Removing a rule 

 Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action: 2


Select the rule to remove.  The script will confirm "Line xxx has been removed from configuration file"

Return to the main menu.  If we select option 3 "List Current Custom Rules" we will see the list of rules and a list of 'Changes Pending'.



Pending changes will be executed when exiting the script and selecting Y to "Save and execute rules now".

 Rules have been saved to /usr/local/avamar/lib/admin/security/avfwb_custom_config.txt
Save and execute rules now? (Y/N):

Veillez à ne pas créer de règles de pare-feu qui pourraient avoir un impact sur les fonctionnalités de l’application Avamar. Par exemple, rejet du trafic vers ou depuis un port d’Avamar Server.

Pour plus d’informations sur les ports requis Avamar, reportez-vous à la dernière version du Guide de sécurité produit Avamar .

Le Guide de sécurité produit contient également un outil similaire « manage-custom-rules.sh », qui n’est pas interactif.

Comment vérifier si les clés SSH sont chargées et, si ce n’est pas le cas, comment les charger.

admin@util:~/>: ssh-add -l
Could not open a connection to your authentication agent.   <-- keys not loaded
admin@util:~/>: ssh-agent bash
admin@util:~/>: ssh-add ~/.ssh/dpnid
Identity added: .ssh/dpnid (.ssh/dpnid)
admin@util:~/>: ssh-add -l
1024 1b:af:88:95:7a:d8:a9:16:fb:cb:9e:0e:49:32:a3:cd [MD5] .ssh/dpnid (DSA)  <-- keys loaded