Beiträge getagged ‘Firewall’

VMWare Tools auf Endian Firewall 2.2

15 Dezember 2009
Endian Firewall

Endian Firewall

Eigentlich ist die schlanke Firewall Appliance Endian prädestiniert um als virtuelle Maschine auf einem ESX(i) zu laufen. Leider haben die Endian Entwickler letztmalig von der Version 2.1.2 eine komplett konfigurierte VMWare-Maschine zur Verfügung gestellt. Von der Version 2.2 und auch der aktuellen 2.3 ist das leider nicht mehr der Fall. Die mal schnell selber zu installieren ist allerdings nicht möglich da der Endian Installation von Haus aus einige Pakete fehlen. Mit etwas Handarbeit kriegt man das aber auch hin.

Ich beschreibe hier die Umsetzung auf Basis der Endian Version 2.2 (auch die RC’s gehen auf die gleiche Weise). Das ganze kann im lauffenden Betrieb erfolgen, einzig zu beachten ist genügend Platz auf der Root-Partition zur Verfügung steht, denn temporär können doch ein paar hundert Megabyte verbraten werden.

Bitte zuerst SSH im Backend anschalten und als root per SSH einloggen. Zuerst installieren wir wget um weitere Pakete einfach auf den Endian zu holen.

» Weiterlesen: VMWare Tools auf Endian Firewall 2.2

periodisches Backup der Endian Firewall

21 November 2009
Endian Firewall Appliance

Endian Firewall Appliance

Tja wieder mal ein Fall des Murphy’s Law, braucht man mal ein Backup hat  an sicher kein Aktuelles zur Hand. Im Falle der Endian Firewall sicherlich blöd, zumal die wirklich umfangreichen Einstellungsmöglichkeiten wieder neu einzugeben zur Sisyphusarbeit werden kann. Zwar gibt es ab der aktuellen 2.3 ein periodische Backup, das aber der Endian Maschine verbleibt und somit bei einem Datenverlust genauso weg ist. Hier ist ein schickes Script das Nachts ein Backup fährt und via SMB die Sicherung auf einem anderen PC anlegt.

Zuerst auf der Endian Box einen Ordner /backup mit mkdir erstellen. Dann in der /etc/ftsab folgende Zeile zum Mounten des SMB-Shares einrichten:

//WINSERVERIP/backup /backup cifs username=USER,password=PASSWD 0 0

Danach ein folgendes script anlegen /etc/cron.d/dailybackup :

PATH=/sbin:/bin:/usr/sbin:/usr/bin
00 23     * * *     find /home/httpd/html/backup -name ‚*-cron.tar.gz*‘ -exec rm -f {} „;“ ; /usr/local/bin/backup-create.sh –settings –dbdumps –logs –logarchives –cron –message=Daily
40 23     * * *     mount /backup ; find /home/httpd/html/backup -name ‚*-cron.tar.gz‘ -exec cp -f {} /backup/endianfirewall.tar.gz „;“ ;umount /backup

Danach per /etc/init.d/fcron restart einfach den Cron-Daemon neu starten. Fertig! So das wars, jetzt wird einmal um 23:00 Uhr die alte Sicherung vom Vortag gelöscht und eine neue angelegt. Um 23:40 Uhr (das Backup sollte dann auf jeden Fall fertig sein 🙂 ) wird dann auf den gemounteten Share kopiert und danach geunmounted. Dieses Backup kann dann während einer Neuinstallation einfach genutzt werden um alle Einstellungen wieder einzulesen.

Nachtrag:

Wer lieber die Backup’s aufheben möchte, macht es einfach so:

PATH=/sbin:/bin:/usr/sbin:/usr/bin
00 23     * * *     find /home/httpd/html/backup -name ‚*-cron.tar.gz*‘ -exec rm -f {} „;“ ; /usr/local/bin/backup-create.sh –settings –dbdumps –logs –logarchives –cron –message=Daily
40 23     * * *     mount /backup ; find /home/httpd/html/backup -name ‚*-cron.tar.gz‘ -exec cp -f {} /backup/ „;“ ;umount /backup

Dann werden alle Einzelbackup behalten.

Endian nTop von https auf http umstellen

20 November 2009

Die Firewall-Appliance Endian beinhaltet den Netzwerkmonitor ntop, der Quasi-Referenz in diesem Sektor. Tolles Tool, aber leider zeigt dieser auf der Endian FW immer wieder das verhalten, das nach einigen Tagen Laufzeit ntop einen Grossteil des Arbeitsspeichers allokiert und irgendwann gar nicht funktioniert. Nach ein wenig probieren konnte ich das Problem darauf eingrenzen, dass es daran lag das das Webfrontend per https aufrufbar war. Also Problemlösung: einfach den Webserver der ntop auf http umstellen und zwar so:

folgende Datei editieren /etc/init.d/ntop:

option=“–user ntop –daemon –db-file-path /var/ntop –interface br0 –trace-level 3 –https-server 3001 –http-server 0 –disable-schedyield–no-fc“

wird geändert in

option=“–user ntop –daemon –db-file-path /var/ntop –interface br0 –trace-level 3 –https-server 0 –http-server 3001 –disable-schedyield –no-fc“

Danach einfach den Dienst via /etc/init.d/ntop restart Neustarten. Logischerweise ist das das Frontend dann nicht mehr auf https://endianip:3001, sondern http://endianip:3001 aufrufbar. Per http, läuft der ntop mit normalen Speicherverbrauch mehrere Monate durchgehend.

Endian Firewall und periodischer Reconnect

19 November 2009

Mittlerweile hat sich in unserer Firma die Endian Firewall gut eingeführt. Endian ist eine Firewall-Applicance, der ein Ableger des legendären IP-Cop, welcher wiederum die freie Abspaltung von Smoothwall ist/war. Grundlage aller drei ist LFS. Soweit so gut. Wie viele Andere nutzen wir eine normale DSL Leitung, die providerseitig alle 24 Stunden getrennt wird. Grundsätzlich kein Problem, wenn das nicht immer wieder, alle 24 Stunden, unter Tags wäre, natürlich frei nach Murphy’s Law immer mitten in einem FTP-Upload. Viel schöner wäre es doch wenn der Reconnect einfach in der Nacht wäre, wo dieser keinen stört. Also musste ein Script dazu her.

Zuerst erstelle ich ein im Ordner /sbin/ ein Script names reconnect.sh mit folgendem Inhalt:

#!/bin/sh
# Reconnect and update DynDNS

/etc/rc.d/uplinks stop main
sleep 90
/etc/rc.d/uplinks start main
sleep 30
/usr/local/bin/setddns.pl

dann per chmod 755 /sbin/reconnect.sh das Script ausführbar machen. Danach die Crontab mit vi /etc/crontab bearbeiten und folgenden Eintrag hinzufügen:

15 0 * * * /sbin/reconnect.sh

Danach wird jeden Tag um Viertel nach Zwölf die Leitung getrennt, wieder direkt connected und dann bei DynDNS wieder neu angemeldet. Fertig und man hat unter Tags seine Ruhe.

Die Variante ist getestet mit 2.1.2, 2.2 und auch der nagelneuen 2.3.