¿Cómo crear reglas de firewall OS X Server Admin usando grupos de direcciones ip por línea de comando?

0

El (Lion) Server Admin.app tiene una buena capacidad para aplicar reglas de firewall a grupos de direcciones IP sin tener que editar los archivos de configuración ipfw.

Pero tener que ingresar listas grandes y largas de direcciones IP mediante la GUI del administrador del servidor es una tarea tediosa.

Por lo tanto, me pregunto ¿cómo se puede crear un grupo de direcciones IP de cortafuegos desde la línea de comandos ?

Sé que hay un /usr/sbin/serveradmin que tiene la capacidad de generar configuraciones, como usar $ sudo serveradmin settings ipfilter:ipAddressGroupsWithRules:_array_id:10-net:* que produce:

ipfilter:ipAddressGroupsWithRules:_array_id:10-net:rules = _empty_array
ipfilter:ipAddressGroupsWithRules:_array_id:10-net:readOnly = no
ipfilter:ipAddressGroupsWithRules:_array_id:10-net:allowAll = no
ipfilter:ipAddressGroupsWithRules:_array_id:10-net:addresses:_array_index:0 = "10.0.0.0/8"
ipfilter:ipAddressGroupsWithRules:_array_id:10-net:name = "10-net"

Cuál puede volcar en un archivo usando $ sudo serveradmin settings ipfilter:ipAddressGroupsWithRules:_array_id:10-net:* > 10-net.txt . Pero luego edite ese archivo para cambiarle el nombre a un nuevo grupo, como:

ipfilter:ipAddressGroupsWithRules:_array_id:11-net:rules = _empty_array
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:readOnly = no
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:allowAll = no
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:addresses:_array_index:0 = "11.0.0.0/8"
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:name = "11-net"

y cargar eso en serveradmin usando $ sudo serveradmin settings < 10-net.txt no crea una nueva regla "ipAddressGroupsWithRules" en ipfilter. Según lo verificado, usando $ sudo serveradmin settings ipfilter:ipAddressGroupsWithRules:_array_id:11-net:* .

¿Qué estoy haciendo mal?

    
pregunta Pro Backup 24.06.2012 - 22:27

1 respuesta

0

Después de 12 horas de búsqueda y no encontré ningún ejemplo para ipfilter: ipAddressGroupsWithRules enlace trajo una visión útil.

Lo único que se necesita cambiar para crear una nueva regla, y no actualizar una existente, es una primera línea que crea la regla. Por ejemplo:

ipfilter:ipAddressGroupsWithRules:_array_id:11-net = create
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:readOnly = no
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:allowAll = no
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:addresses:_array_index:0 = "11.0.0.0/8"
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:name = "11-net"

Ahora la salida de $ sudo serveradmin settings < 10-net.txt ya no es:

ipfilter:ipAddressGroupsWithRules = _empty_array

pero:

ipfilter:ipAddressGroupsWithRules:_array_id:11-net:readOnly = no
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:allowAll = no
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:addresses:_array_index:0 = "11.0.0.0/8"
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:rules = _empty_array
ipfilter:ipAddressGroupsWithRules:_array_id:11-net:name = "11-net"

Cuál es el sinónimo de que se haya introducido correctamente la nueva configuración.

    
respondido por el Pro Backup 24.06.2012 - 22:27

Lea otras preguntas en las etiquetas