Exemple de script heartbeat<\/a><\/a><\/li><\/ul><\/nav><\/div>\n\nPourquoi ex\u00e9cuter un script sur Sophos Firewall ?<\/h2>\n\n
Dans certaines situations, il peut \u00eatre n\u00e9cessaire d’ex\u00e9cuter un script personnalis\u00e9 sur Sophos Firewall.\nCela peut servir, par exemple, \u00e0 ajuster les param\u00e8tres r\u00e9seau, \u00e0 envoyer r\u00e9guli\u00e8rement des signaux de battement aux services de surveillance ou \u00e0 modifier les r\u00e8gles du pare-feu.\nSouvent, cette fonctionnalit\u00e9 doit \u00eatre conserv\u00e9e m\u00eame apr\u00e8s le red\u00e9marrage du pare-feu, ce qui signifie que vous devez ajuster la configuration par d\u00e9faut de Sophos Firewall. <\/p>\n\n
Activer les droits d’\u00e9criture sur le syst\u00e8me de fichiers<\/h2>\n\n
Par d\u00e9faut, le syst\u00e8me de fichiers de Sophos Firewall est en lecture seule.\nPour apporter des modifications aux scripts, il doit d’abord \u00eatre mont\u00e9 en \u00e9criture : <\/p>\n\n
mount -no remount,rw \/<\/code><\/pre>\n\nCr\u00e9er ou modifier un script<\/h2>\n\n
Ensuite, vous pouvez cr\u00e9er un script ou modifier un script existant.\nDans cet exemple, nous cr\u00e9ons un script personnalis\u00e9 qui d\u00e9finit certaines r\u00e8gles de r\u00e9seau : <\/p>\n\n
vi \/scripts\/system\/clientpref\/customization_application_startup.sh<\/code><\/pre>\n\nAjoutez le contenu suivant :<\/p>\n\n
#!\/bin\/sh
iptables -t mangle -D POSTROUTING -d 172.19.0.0\/16 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 900
exit 0;<\/code><\/pre>\n\nCette commande supprime une r\u00e8gle existante et en d\u00e9finit une nouvelle afin de fixer la taille maximale des segments (MSS) pour les connexions TCP \u00e0 900 octets.<\/p>\n\n
#!\/usr\/bin\/expect -f\nspawn ssh <Sophos Firewall IP> -l admin\nexpect \"password:\"\nsend \"<Admin Password>\\r\"\nexpect \"Select Menu Number \\\\\\[0-7\\\\\\]:\"\nsend \"7\\r\"\nexpect \"Shutdown(S\/s) or Reboot(R\/r) Device (S\/s\/R\/r): No (Enter) >\"\nsend \"r\\r\"\nexpect eof\nexit<\/code><\/pre>\n\nCette commande assure le red\u00e9marrage de Sophos Firewall chaque nuit.<\/p>\n\n
Enregistrer les modifications et prot\u00e9ger \u00e0 nouveau le syst\u00e8me de fichiers en \u00e9criture<\/h2>\n\n
Une fois le script modifi\u00e9, les modifications doivent \u00eatre enregistr\u00e9es et la protection en \u00e9criture du syst\u00e8me de fichiers doit \u00eatre r\u00e9activ\u00e9e :<\/p>\n\n
mount -no remount,ro \/<\/code><\/pre>\n\nPour s’assurer que le script est ex\u00e9cut\u00e9 m\u00eame apr\u00e8s un red\u00e9marrage du pare-feu, il doit \u00eatre int\u00e9gr\u00e9 \u00e0 la proc\u00e9dure de d\u00e9marrage du pare-feu.\nLe script pr\u00e9c\u00e9demment modifi\u00e9 (customization_application_startup.sh) est ex\u00e9cut\u00e9 \u00e0 chaque d\u00e9marrage du pare-feu et garantit que les param\u00e8tres souhait\u00e9s sont appliqu\u00e9s. <\/p>\n\n
Exemple de script heartbeat<\/h2>\n\n
S’il est n\u00e9cessaire d’envoyer un heartbeat \u00e0 un service de surveillance comme Uptimerobot, vous pouvez utiliser l’exemple suivant :<\/p>\n\n
1. cr\u00e9er un nouveau script<\/p>\n\n
touch \/var\/script.sh<\/code><\/pre>\n\n2. modifiez le script<\/p>\n\n
vi \/var\/script.sh<\/code><\/pre>\n\n3. ajoutez votre contenu, voici un exemple :<\/p>\n\n
#!\/bin\/sh\nwhile [ 1 ];\ndo\ncurl --insecure https:\/\/heartbeat.uptimerobot.com\/xxxxxxx-20cf67c87a3c0a318820d201f19483e06c99c9f7 >\/dev\/null 2>&1\nsleep 60 ;\ndone<\/code><\/pre>\n\n4. rendre le script ex\u00e9cutable :<\/p>\n\n
chmod 755 \/var\/script.sh<\/code><\/pre>\n\n5. ex\u00e9cutez le script<\/p>\n\n
\/var\/script.sh >> \/dev\/null 2>&1 &<\/code><\/pre>\n\n6) Pour que le script s’ex\u00e9cute automatiquement m\u00eame apr\u00e8s un red\u00e9marrage, ajoutez la ligne suivante au fichier customization_application_startup.sh :<\/p>\n\n
\/var\/script.sh >> \/dev\/null 2>&1 &<\/code><\/pre>\n\nRemarques importantes<\/strong><\/p>\n\n\n- Cluster de haute disponibilit\u00e9 (HA)<\/strong>: si vous utilisez un cluster HA, le script doit \u00eatre appliqu\u00e9 aux deux n\u0153uds.<\/li>\n\n\n\n
- Persistance sur les red\u00e9marrages<\/strong>: si le script doit \u00eatre ex\u00e9cut\u00e9 \u00e0 chaque red\u00e9marrage du pare-feu, les \u00e9tapes d\u00e9crites doivent \u00eatre suivies pour l’int\u00e9grer \u00e0 la proc\u00e9dure de d\u00e9marrage.<\/li>\n\n\n\n
- Risques<\/strong>: Il convient d’\u00eatre prudent lors de la modification des scripts de d\u00e9marrage du pare-feu, car des param\u00e8tres incorrects peuvent affecter la fonctionnalit\u00e9 du pare-feu.<\/li>\n<\/ul>\n","protected":false},"author":1,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[407],"class_list":["post-161473","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb\/161473","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media?parent=161473"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/kb_kategorie?post=161473"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}