Avamar: Hinzufügen oder Entfernen von nutzerdefinierten Avamar-Firewallregeln mit edit-firewall-rules.sh (ab Version 7.3)

In Avamar v7.3 und höher ist ein Tool verfügbar, mit dem Nutzer ihre eigenen nutzerdefinierten iptables-Regeln hinzufügen oder entfernen können.

Funktionen: 

• Teil des standardmäßigen Avamar Firewall RPM, das mit v7.3 ausgeliefert wird.
• Benutzer können ihre eigenen benutzerdefinierten iptables-Regeln hinzufügen oder entfernen.
• Nutzerdefinierte Regeln überdauern Avamar-Versionsupgrades.
• Nutzerdefinierte Regeln überdauern Firewallpaket-Aktualisierungen.

Die folgenden neuen Dateien werden vom avfwb-Sicherheits-RPM auf Systemen installiert. Die Dateien befinden sich unter: /usr/local/avamar/lib/admin/security.

• edit-firewall-rules.sh.
• manage-custom-rules.sh.
• avfwb_custom_config.txt.

edit-firewall-rules.sh:

• Diese Datei ist ein interaktives Skript, das Benutzereingaben entgegennimmt und in das iptables-Format formatiert .
• In dieser Datei werden Informationen kundenfreundlich dargestellt.

manage-custom-rules.sh:

• Diese Datei ist die Engine hinter dem interaktiven Skript edit-firewall-rules.sh .
• Diese Datei erstellt die iptables-Regeln und -Befehle, die auf dem gespeicherten nutzerdefinierten Regelsatz in der Konfigurationsdatei basieren.
• Diese Datei startet den avfirewall-Service neu, um die neuen Regeln anzuwenden.

Führen Sie die obigen Skripte als Root-Nutzer aus. 
Nachdem Sie die Schlüssel als Admin-Benutzer geladen haben, wechseln Sie mit "su - " zum Root-Benutzer

. Ausführen des Skripts:
Laden Sie die SSH-Schlüssel, bevor Sie das Skript ausführen.  

Wenn die Schlüssel nicht geladen werden, schlägt das Skript möglicherweise fehl, wenn Regeln auf andere Nodes kopiert werden.  

Weitere Informationen finden Sie im Artikel "Hinweise" oder im Avamar-Systemadministrationshandbuch .
 

Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action:

Add a Custom Rule
The user can make selections for iptables fields to construct the rule they wish to add.

• Regeltyp: IPv4 oder IPv6.
• Kette: Output, Input, Logdrop oder Forward.
• Protokoll: TCP, UDP, ICMP.
• Quell-IP-Adresse.
• Quellport.
• IP-Adresse des Ziels.
• Zielhafen.
• Ziel: Akzeptieren, Ablehnen, Fallenlassen, Ablehnen.
• Node-Typ: Alles, Daten, Nutzen.

Nutzerdefinierte Regeln werden in avfwb_custom_config.txt Datei als durch senkrechte Striche getrennte Zeilen gespeichert.

Format:
Quell-IP | Quellport | Ziel-IP | Zielhafen | Protokoll | ICMP-Typ | Ziel | Kette | Beispiel für Node-Typ

:

10.10.10.10||10.10.10.11||tcp||ACCEPT|OUTPUT|ALL

Add Rule Example

Select the type of firewall rule to add

Firewall Rule Types
-------------------
1) IPv4 Rule
2) IPv6 Rule
Enter Firewall Rule Type:

Protocol
--------
1) TCP
2) UDP
3) ICMP
Enter Protocol:
Select the desired CHAIN

Firewall Chains
---------------
1) OUTPUT
2) INPUT
3) LOGDROP
4) FORWARD
Select Chain:
Select the Protocol type to be used

Protocol
--------
1) TCP
2) UDP
3) ICMP
Enter Protocol:

Enter source IP (leave blank for none):
Enter source port (leave blank for none):
Enter destination IP (leave blank for none):
Enter destination port (leave blank for none):
Select the desired target action

Targets
-------
1) ACCEPT
2) REJECT
3) DROP
4) LOGDROP
Select Target:

Select which type of node this new rule will be applied to

Node Types
----------
1) ALL
2) DATA
3) UTILITY
Select node type to apply rule to:

The script will ask you to confirm that you want to add the new rule to the avfwb_custom_config.txt file

Add rule ||||tcp||ACCEPT|OUTPUT|ALL to file? (Y/N): y
Adding ||||tcp||ACCEPT|OUTPUT|ALL to file...

The script asks if you wish to add another rule or return to the main menu

Add another rule? (Y/N):
Return to main menu? (Y/N):

Saving and applying rules

Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action: 5

Rules have been saved to /usr/local/avamar/lib/admin/security/avfwb_custom_config.txt
Save and execute rules now? (Y/N):

Choosing Y when asked to save and execute will propagate the config file to all 
nodes, applies the rules accordingly and restarts the avfirewall service.



Removing a rule 

 Choose an Action
----------------
1) Add a custom rule
2) Remove a custom rule
3) List Current Custom Rules
4) Exit
5) Save & Exit
Enter desired action: 2


Select the rule to remove.  The script will confirm "Line xxx has been removed from configuration file"

Return to the main menu.  If we select option 3 "List Current Custom Rules" we will see the list of rules and a list of 'Changes Pending'.



Pending changes will be executed when exiting the script and selecting Y to "Save and execute rules now".

 Rules have been saved to /usr/local/avamar/lib/admin/security/avfwb_custom_config.txt
Save and execute rules now? (Y/N):

Achten Sie darauf, keine Firewallregeln zu erstellen, die sich auf die Funktionalität der Avamar-Anwendung auswirken könnten. Beispiel: Ablehnen von Datenverkehr zu oder von einem Avamar -Serverport.

Weitere Informationen zu den erforderlichen Avamar-Ports finden Sie in der neuesten Version des Avamar-Produktsicherheitsleitfadens .

Der Produktsicherheitsleitfaden enthält auch ein ähnliches Tool "manage-custom-rules.sh", das nicht interaktiv ist.

So überprüfen Sie, ob die SSH-Schlüssel geladen wurden und falls nicht, wie Sie sie laden.

admin@util:~/>: ssh-add -l
Could not open a connection to your authentication agent.   <-- keys not loaded
admin@util:~/>: ssh-agent bash
admin@util:~/>: ssh-add ~/.ssh/dpnid
Identity added: .ssh/dpnid (.ssh/dpnid)
admin@util:~/>: ssh-add -l
1024 1b:af:88:95:7a:d8:a9:16:fb:cb:9e:0e:49:32:a3:cd [MD5] .ssh/dpnid (DSA)  <-- keys loaded