Esempio di script heartbeat<\/a><\/a><\/li><\/ul><\/nav><\/div>\n\nPerch\u00e9 eseguire uno script su Sophos Firewall?<\/h2>\n\n
In alcune situazioni, potrebbe essere necessario eseguire uno script personalizzato sul Sophos Firewall.\nQuesto pu\u00f2 essere utilizzato, ad esempio, per personalizzare le impostazioni di rete, per inviare regolarmente segnali heartbeat ai servizi di monitoraggio o per modificare le regole del firewall.\nSpesso queste funzionalit\u00e0 devono essere mantenute anche dopo un riavvio del firewall, il che significa che la configurazione predefinita di Sophos Firewall deve essere modificata. <\/p>\n\n
Attiva i permessi di scrittura per il file system<\/h2>\n\n
Per impostazione predefinita, il file system di Sophos Firewall \u00e8 protetto dalla scrittura.\nPer apportare modifiche agli script, \u00e8 necessario montarlo con i permessi di scrittura: <\/p>\n\n
mount -no remount,rw \/<\/code><\/pre>\n\nCrea o modifica uno script<\/h2>\n\n
Successivamente, puoi creare uno script o modificare uno script esistente.\nIn questo esempio, viene creato uno script definito dall’utente che imposta alcune regole di rete: <\/p>\n\n
vi \/scripts\/system\/clientpref\/customization_application_startup.sh<\/code><\/pre>\n\nAggiungi il seguente contenuto:<\/p>\n\n
#!\/bin\/sh
iptables -t mangle -D POSTROUTING -d 172.19.0.0\/16 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 900
exit 0;<\/code><\/pre>\n\nQuesto comando rimuove una regola esistente e ne imposta una nuova per impostare la dimensione massima del segmento (MSS) per le connessioni TCP a 900 byte.<\/p>\n\n
#!\/usr\/bin\/expect -f\nspawn ssh <Sophos Firewall IP> -l admin\nexpect \"password:\"\nsend \"<Admin Password>\\r\"\nexpect \"Select Menu Number \\\\\\[0-7\\\\\\]:\"\nsend \"7\\r\"\nexpect \"Shutdown(S\/s) or Reboot(R\/r) Device (S\/s\/R\/r): No (Enter) >\"\nsend \"r\\r\"\nexpect eof\nexit<\/code><\/pre>\n\nQuesto comando assicura che Sophos Firewall si riavvii ogni notte.<\/p>\n\n
Salva le modifiche e proteggi nuovamente il file system dalla scrittura<\/h2>\n\n
Dopo aver modificato lo script, \u00e8 necessario salvare le modifiche e riattivare la protezione in scrittura del file system:<\/p>\n\n
mount -no remount,ro \/<\/code><\/pre>\n\nPer garantire che lo script venga eseguito anche dopo un riavvio del firewall, \u00e8 necessario integrarlo nella procedura di avvio del firewall.\nLo script precedentemente modificato (customisation_application_startup.sh) viene eseguito ogni volta che il firewall viene avviato e garantisce l’applicazione delle impostazioni desiderate. <\/p>\n\n
Esempio di script heartbeat<\/h2>\n\n
Se \u00e8 necessario inviare un battito cardiaco a un servizio di monitoraggio come Uptimerobot, puoi utilizzare il seguente esempio:<\/p>\n\n
1. crea un nuovo script:<\/p>\n\n
touch \/var\/script.sh<\/code><\/pre>\n\n2. modifica lo script:<\/p>\n\n
vi \/var\/script.sh<\/code><\/pre>\n\n3. aggiungi il tuo contenuto, ecco un esempio:<\/p>\n\n
#!\/bin\/sh\nwhile [ 1 ];\ndo\ncurl --insecure https:\/\/heartbeat.uptimerobot.com\/xxxxxxx-20cf67c87a3c0a318820d201f19483e06c99c9f7 >\/dev\/null 2>&1\nsleep 60 ;\ndone<\/code><\/pre>\n\n4. rendere lo script eseguibile:<\/p>\n\n
chmod 755 \/var\/script.sh<\/code><\/pre>\n\n5. esegui lo script:<\/p>\n\n
\/var\/script.sh >> \/dev\/null 2>&1 &<\/code><\/pre>\n\n6. per eseguire lo script automaticamente anche dopo un riavvio, aggiungi la seguente riga al file customisation_application_startup.sh:<\/p>\n\n
\/var\/script.sh >> \/dev\/null 2>&1 &<\/code><\/pre>\n\nNote importanti<\/strong><\/p>\n\n\n- Cluster ad alta disponibilit\u00e0 (HA)<\/strong>: quando si utilizza un cluster HA, lo script deve essere applicato a entrambi i nodi.<\/li>\n\n\n\n
- Persistenza attraverso i riavvii<\/strong>: se lo script deve essere eseguito ogni volta che il firewall viene riavviato, \u00e8 necessario eseguire i passaggi descritti per l’integrazione nella procedura di avvio.<\/li>\n\n\n\n
- Rischi<\/strong>: \u00c8 necessario prestare attenzione quando si apportano modifiche agli script di avvio del firewall, in quanto impostazioni errate possono compromettere la funzionalit\u00e0 del firewall.<\/li>\n<\/ul>\n","protected":false},"author":1,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[409],"class_list":["post-161474","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb\/161474","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/users\/1"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/media?parent=161474"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb_kategorie?post=161474"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}