Shunze 學園 > 搜尋 > 搜尋結果 哈囉,還沒有註冊或者登入。請你[註冊|登入]

作者 文章
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2335

shunze 離線
《分享》XG LED前面板操作選單顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG LED前面板是可以做些簡單操作的。



ENTER 進入選單
ESC 退出選單
上鍵 往上移動
下鍵 往下移動

其完整操作選單如下

Firmware Version
SFOS XX.X.XX

├─System Menu
│ ├─1.Show Date
│ ├─2.Show Uptime
│ ├─3.Show CPU
│ ├─4.Show Memory
│ ├─5.Show LoadAvg
│ ├─6.Show Disk
│ │ ├─1.Total Usage
│ │ └─2.Detail Usage
│ │
│ └─7.Live Users

├─Network Menu
│ ├─1.Show Port1
│ ├─2.Show Port2
│ ├─3.Show Port3
│ ├─4.Show All
│ └─5.Show Memory

├─Firmware Menu
│ ├─1.Show Firmware
│ ├─2.Factory Reset
│ ├─3.Shutdown
│ └─4.Reoboot

└─HA Info


比較有用的是查看目前設定的IP、關機、重開機、回復到初始值與查看磁碟用量,
其中磁碟的詳細使用內容,還可以直接查看原本需進console才查的到的報表磁碟用量
算是選單功能中比較特別的部分。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-09-14, 14:58 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2335

shunze 離線
《分享》V17.5釋放隔離區郵件的環境需求顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在V17.5版之前,隔離區的郵件釋放並沒有什麼大問題,
只要XG能解析到郵件的domain name,
不論是外部IP或是內部私有IP,
都能在XG中將隔離郵件釋放回mail server。

但在V17.5之後,Sophos原廠做了很大的變更,
要能成功釋放隔離區郵件,郵件domain的MX record解析出來必需是內部私有IP才行。
若解析出來是外部IP,隔離郵件在釋放時就會被queue住,永遠無法成功釋放!



即便XG中可以直接建立DNS record,
但這DNS record只限A record與CNAME,並不支援MX record。

這讓升級到V17.5後的客戶很困擾,
有的客戶還因此又倒回V17.1版。


因此在V17.5之後,若要使用mail protection中的隔離區功能,
客戶端必需準備一台能解析出內部私有IP的DNS server,
有多個domain的話,這台DNS server就必需提供多個domain的解析,
否則在隔離郵件的使用上就會出問題。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-11-06, 12:06 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2335

shunze 離線
《分享》在開機時載入自訂服務顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

以Linux為底層的Sophos XG,有個開機時的startup script,
可以在此script中,寫入要載入的程式,來達到開機時載入自訂服務的功能。

編輯此script的流程如下。

  1. 以SSH軟體連線XG後,在主選單輸入5與3進入Advanced Shell。
    → 5.Device Management → 3.Advanced Shell

  2. 掛載根目錄為可讀寫權限。
    mount -o remount,rw /

  3. 編輯startup script customization_application_startup.sh
    vim /scripts/system/clientpref/customization_application_startup.sh

    把要載入或停止的服務加入此script中,
    例如我們要停用Web Proxy功能。
    service awarrenhttp:stop -ds nosync



  4. 存檔後,將根目錄掛載回唯讀狀態。
    mount -o remount,ro /

重開機後,會發現Web Proxy服務已自動被停用了。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-10-23, 17:06 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2335

shunze 離線
《分享》輸出Putty訊息到本機硬碟顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Putty是一個很棒的SSH軟體,
在 Session > Logging 中透過以下設定,就可以將往來訊息完整輸出到本機硬碟。



這在即時偵錯、查log時,很方便∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-10-22, 12:04 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2335

shunze 離線
《分享》Sophos XG無線AP管理工具顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG在WebUI中是沒有無線AP管理工具的,
若要管理、測試無線AP,基本上只能在advanced shell中透過awetool來進行。







第一次透過awetool連接到AP,會先要求啟用SSH的存取。





同意後,就能連到AP,並執行linux指令。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-10-20, 11:50 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2335

shunze 離線
《分享》API應用範例顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在防止“暴力猜測帳密”上,由於XG只是進行routing,將連線需求轉給後端的server,
所以XG本身並不知道每次連線所輸入的帳號/密碼是否正確?
自然也就無法辦到“輸入錯誤帳密幾次後,封鎖惡意IP”這樣的工作...

但假設後端主機可以主動擷取“輸入錯誤次數過多的IP資訊”,
那XG能否主動去封鎖這樣的惡意IP連線?

答案是可以的!
XG提供API功能,讓後端主機可以透過XML格式,將要阻擋的IP物件直接在XG中建立。
我們只要在防火牆規則中,預先建好阻擋規則,
再由後端主機去維謢這個block IP清單或群組,就可以實現這樣的需求。


使用API功能時,請先確認執行的管理員帳號是否具有物件的寫入權限。



然後再於API Configuration中放行後端主機的使用權限,



這樣就後端主機就可以使用管理員權限帳號來執行API功能了∼


首先,我們可以透過以下指令來查看IP物件清單與格式。

https://XG_IP/webconsole/APIController?reqxml=<Request><Login><Username>admin_account</Username><Password>P@ssw0rd</Password></Login><Get><IPHost><Name></Name><IPFamily></IPFamily><HostType></HostType><IPAddress></IPAddress></IPHost></Get></Request>


若我們要取得Block_IP這個IP List物件的內容,可透過以下指令。
https://XG_IP/webconsole/APIController?reqxml=<Request><Login><Username>admin_account</Username><Password>P@ssw0rd</Password></Login><Get><IPHost><Filter><key name="Name" criteria="like">Block_IP</key></Filter></IPHost></Get></Request>


若Block_IP這個IP List物件不存在,我們可以透過以下指令來建立。
https://XG_IP/webconsole/APIController?reqxml=<Request><Login><Username>admin_account</Username><Password>P@ssw0rd</Password></Login><Set operation="add"><IPHost><Name>Block_IP</Name><IPFamily>IPv4</IPFamily><HostType>IPList</HostType><ListOfIPAddresses>199.199.199.199</ListOfIPAddresses></IPHost></Set></Request>


若Block_IP這個IP List物件已存在,我們可以透過以下指令去更新它的IP內容。
https://XG_IP/webconsole/APIController?reqxml=<Request><Login><Username>admin_account</Username><Password>P@ssw0rd</Password></Login><Set operation="update"><IPHost><Name>Block_IP</Name><IPFamily>IPv4</IPFamily><HostType>IPList</HostType><ListOfIPAddresses>199.199.199.199</ListOfIPAddresses></IPHost></Set></Request>


要刪除Block_IP這個特定IP List物件,則可透過以下指令。
https://XG_IP/webconsole/APIController?reqxml=<Request><Login><Username>admin_account</Username><Password>P@ssw0rd</Password></Login><Remove><IPHost><Name>Block_IP</Name><IPFamily>IPv4</IPFamily><HostType>IPList</HostType></IPHost></Remove></Request>


若我們不想用IP List物件來管理,想要透過IP群組的方式來管理,
將要被封鎖的IP物件直接加到Block_IP_Group群組中,可以透過以下指令來建立隸屬於群組的IP物件。
https://XG_IP/webconsole/APIController?reqxml=<Request><Login><Username>admin_account</Username><Password>P@ssw0rd</Password></Login><Set operation="add"><IPHost><Name>Test_IP</Name><IPFamily>IPv4</IPFamily><HostType>IP</HostType><HostGroupList><HostGroup>Block_IP_Group</HostGroup></HostGroupList><IPAddress>199.199.199.199</IPAddress></IPHost></Set></Request>



有了以上幾個sample指令後,
在後端主機上,我們就可以透過curl(linux主機)或powershell(Windows主機)於XG上直接建立封鎖物件了∼


參考資料
How to use the API



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-09-11, 12:11 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2335

shunze 離線
《分享》更新補充顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

上文範例為LAN to DMZ的UDP flood設定,
如果是要防護來自WAN to DMZ的TCP flood又該如何設定呢?

由於來自WAN端的外部IP是無法直接連到位在XG內部的Server,
這類連線需求必需透過XG的business application rule進行DNAT轉址後才能辦到,
因此設定WAN to DMZ的flood防護時,雖然最終目的是內部Server的虛擬IP,
但在設定時,還是要把目標IP設定為XG上mapping給內部Server的外部IP。

例如XG上的WAN配置了一個外部IP 123.123.123.1,
並把這個IP的TCP 8080 port導向內部web server 172.16.16.1。
那我們要對這台web server進行TCP flood防護時,
就該進行如下的配置。

system dos-config add dos-policy policy-name SYN-Flood_over_200 SYN-Flood 200 pps per-src
system dos-config add dos-rule rule-name W2D_TCP_8080 src-zone WAN dstip 123.123.123.1 netmask 255.255.255.255 protocol tcp dport 8080 dos-policy SYN-Flood_over_200


以上指令在參照上述的說明後,目標IP的選擇沒有太大問題,
比較有問題的會是,為什麼我們要擋的明明就是TCP的flood,但在dos-policy中的設定卻是SYN-Flood?

這是XG上比較吊詭的地方...
在 dos-config 中的flood參數只有SYN-Flood,沒有TCP-Flood;
而在 dos-rule 卻反過來,protocol的參數只有tcp,沒有syn!?
所以在TCP flood的防護上,只能使用這樣的配搭配設定了...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-09-11, 12:07 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2335

shunze 離線
《分享》重設admin密碼顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在韌體版本17.5之前,
要重設admin密碼只能用console線接著,然後在開機時按下Enter鍵,選擇進入SFLoader來達成。









在韌體版本17.5之後,原廠增加了一個新的方式,
一樣用console線接著,然後在輸入admin密碼時,直接輸入RESET進入功能選單。

17.5後,會多出了 4 的功能選項,重設admin帳號密碼,
重設後的admin帳號密碼為admin
請登入WebUI後再去變更為所要的密碼。



17.5之前,就只有三個選項,沒有重設admin密碼的新功能。




參考資料
How to reset the admin password



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-02-12, 10:55 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2335

shunze 離線
《分享》透過IPsec VPN將分公司流量全部導向總公司,怪怪的?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

客戶有需要,要將分公司流量透過IPsec VPN全部導向總公司,
然後統一在總公司做網頁控管。

IPsec VPN串好了,但分公司user對外卻有些怪怪的?
有些網站打不開、Line只能通話,無法傳送接收訊息?
這是怎麼回事?



原來這是一個和TCP設定封包所帶的資料上限MSS (maximum segment size)有關的問題。
MSS的預設大小是1460,在這樣全導向總公司的環境中,
封包在分公司經過IPsec再次封裝後,就有可能超過1460的允許大小,而導致部分網站與應用軟體無法正常開啟。

原廠建議修改的大小為1300
我記得在之前的某些版本XG,可以直接在WAN的interface設定中去修改MSS的大小。



但在這個最新的17.5.9 MR-9版韌體中,
修改這個設定是無效的,狀況無法排除!
必需在分公司的XG中,於advanced shell中以iptables指令來設定MSS的大小為1300。

iptables -t mangle -I POSTROUTING -s 192.168.2.0/24 -d 0.0.0.0/0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300;
iptables -t mangle -I POSTROUTING -s 0.0.0.0/0 -d 192.168.2.0/24 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300;


查詢iptables指令設定結果如下。
iptables -L -t mangle | grep TCPMSS


不過這個指令不是永久性的,重開機後就失效了。
為了讓它永久性的的生效,可以把它寫在 customization_application_startup.sh 中,
流程如下。
mount -o remount,rw /
vi /scripts/system/clientpref/customization_application_startup.sh
mount -o remount,ro /


完成後的 customization_application_startup.sh 應該有如下的內容。
#!/bin/sh
iptables -t mangle -I POSTROUTING -s 192.168.2.0/24 -d 0.0.0.0/0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300;
iptables -t mangle -I POSTROUTING -s 0.0.0.0/0 -d 192.168.2.0/24 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1300;
exit 0;


經過以上的調整後,分公司透過總公司連外的奇怪問題總算是一舉排除了∼



參考資料
How to set the MSS value for remote network(s)
IPSec VPN - Path MTU
TCP maximum segment size 是什麼以及是如何決定的



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-01-03, 13:55 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2335

shunze 離線
《分享》Bridge Mode下所有網頁都打不開?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

同事在使用bridge mode做PoC時遇到了一個奇怪的問題,
當啟用Web Filter時,所有網頁都打不開,
即便是選擇Allow All也一樣!

但改為none時,所有網頁卻都可以正常開啟了!
這是怎麼回事?


原來有沒有啟用web filter在封包的處理上有很大的不同,
當選擇為none時,XG不進行過濾,封包直接經由橋接配對送到另外一端。

但選擇其它web filter時,XG會以proxy的架構來處理封包,
封包會先停留在XG上,然後由XG比對pattern,判定這個封包該擋,還是放?

這時若XG本身無法更新pattern,那麼在檢查時就會出了問題,無法判斷該擋還是該放?
然後就造成了啟用web filter後,所有網頁無法開啟的狀況!

同事的這個案例,是因為環境中有兩個routing設備-既有防火牆與Core Switch,而XG就夾在兩個設備之間。
在這個案例中,XG的gateway指向既有防火牆與Core Switch都可以連外,所以也沒有想到會是gateway的問題。

直到後來發現雖然gateway指向既有防火牆可以通,
但XG的license sync與pattern update都會失敗,才發現是這個問題。
在將gateway改指向Core Switch後,問題總算順利排除。

至於環境中的gateway究竟是要指向既有防火牆還是Core Switch?
這要看環境架構而定。
不過一個簡單的測試方法就是去試license sync與pattern update,
成功了,就是對的;錯了,就改成另一個吧∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2019-12-25, 15:35 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
跳到:
顯示從 1 到 10 在所有的 2035 個結果中.  12345...»

Powered by: Burning Board 1.1.1 2001 WoltLab GbR