Shunze 學園 > 搜尋 > 搜尋結果 哈囉,還沒有註冊或者登入。請你[註冊|登入]

作者 文章
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2340

shunze 離線
SD WAN Policy Route顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

順子在這篇文章一開始就提到自V18後“將原本單一firewall rule可以完成的工作,硬是分拆成三種規則來協力達成”,
現在有firewall rule,有NAT rule,那第三種規則是什麼?

第三種規則就是SD WAN Policy Route。

原本在V17中,可以直接在firewall rule堳定這條規則要透過哪一個WAN port連外,
這個功能在V18中也被剝奪了...

在V18版中,多WAN的情境下,要指定透過哪一個WAN連外,
現在只能透過SD WAN Policy Route來設定了...



另外,若您是由V17升版到V18,在這個SD WAN Policy Route頁面還可以看到舊設定被移轉過來的對外組態設定。



這個移轉過來的組態設定只提供修改與刪除的功能,
要建立新的對外端口設定,就只能透過新的SD WAN Policy Route來建立了。


我們姑且不論V18在firewall UI上不便的地方,
但規則一拆三,怎麼看都是化簡為繁,有違Sophos的初衷!

不過在V17就要在2021/11/30停止支援的情況下,
或許也該是時候,挑個適合的時間升級到V18了...



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:39 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2340

shunze 離線
Loopback規則 (SNAT+DNAT)顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

如上情境,假設DMZ區的其它主機也會透過XG上的外部IP來連到同為DMZ區的FTP Server,
那麼情境上有什麼不同呢?

這種同網段電腦,連到SFOS的外部IP後再導回同網段主機的內部服務的需求,
在Cyberoam系列上的防火牆都必需透過Loopback規則來達成。
Loopback詳細說明可參考 這篇

Loopback規則一個設定上的重點就是要做SNAT
而原本對外服務的規則已經做了DNAT,
所以這條loopback規則將同時進行SNAT與DNAT轉址
這是loopback規則設定上最特別的地方!



那其它內部zone去存取DMZ的外部服務時,也需要透過loopback來完成嗎?
其實要透過loopback來導向也不是不行,
但透過loopback導向後,因為做了SNAT,所以服務server看到的來源IP統一會變成XG的介面IP,
無法正確識別來源IP,安全性較低,不建議透過loopback規則來導通。

且以上述範例環境來說,LAN到DMZ的外部服務IP再導回DMZ,並沒有不對稱路由的問題,不需要做SNAT,
所以除了相同zone的存取以外,其它內部zone去存取外部服務,透過基本的DNAT就可以達成。

而在對外服務同時有DNAT與Loopback規則的情況下,
這兩條的優先順序該如何排列呢?


由於loopback規則的來源範圍較小,只鎖定在與服務主機所屬的網段;
而DNAT的來源範圍是Any,所以在套用時,應該是先loopback規則,然後才是DNAT規則。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:34 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2340

shunze 離線
目的地端NAT規則 (DNAT)顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在提供對外服務的目的地端DNAT規則上,
順子建議初次接手的工程師透過DNAT精靈來建立。
不過由DNAT精靈建立的規則不見得完全適用,可能需要修改其內容,
由我們可由這樣的範本規則來建立符合自己需求的firewall與DNAT rule。

假設SFOS上的配罝如下,
Port1 LAN 192.168.23.1/24
Port2 WAN 123.123.123.1/24
Port3 DMZ 172.18.10.254/24

我們要建一條DNAT規則,讓DMZ區的FTP server 172.18.10.1能夠提供對外服務,
那麼我們可以先建立一條如下firewall rule。



然後再建立如下對應的DNAT rule,將連接到XG介面的FTP服務轉到內部的172.18.10.1 FTP server。



基本上透過以上兩條規則的協力合作,就可以讓FTP Server透過XG上WAN IP提供對外服務了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:33 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2340

shunze 離線
來源端NAT規則 (SNAT)顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在內到外的來源端SNAT規則上,
SFOS已有一條內建的SNAT規則 - Default SNAT IPv4。
透過這條規則會把內部去到外部public IP的所有traffic,統一進行SFOS介面IP的MASQ轉址後,再連到外部,
讓內部到外部public IP能夠以SFOS的介面IP去訪問,而不是以內部虛擬IP去裸奔。
這條規則預設適用於所有內部IP,包含LAN、DMZ、Wifi、VPN等zone對外的流量。



不過若是自V17版升級到V18版,這條預設SNAT規則是被停用的,
可以在清整所有內對外的規則後,再啟用這條規則來取代。

我們若想設定不同來源IP所對應的SNAT對外規則時,可以參考這條預設規則來設定,
只要把來源端對應到想要套用的IP區段即可。

另外,若介面上有多個alias IP可用,對外想用不同的alias IP去連結,
則可以在MAQS IP這邊帶上你要的alias IP去取代。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:32 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2340

shunze 離線
《分享》V18版化簡為繁?顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos SFOS自V18版後做了重大變革,將原本單一firewall rule可以完成的工作,
硬是分拆成三種規則來協力達成。
對既有V17版的user來說造成了不小的衝擊,
也顛覆了Sophos以往的口號 Security made Simple



不過V17.5版眼看著就要在2021/11/30全面停止技術支援,
化簡為繁,升級到V18,似乎也是一個不得不面對的問題了...


SFOS在V18開始,把原本含在firewall rule中的NAT規則,分拆成一個獨立的頁面,
如果原本的firewall rule並不需要做來源或目的地的NAT,
例如LAN to DMZ或是VPN to LAN這樣的規則,
那麼並不需要去增加NAT規則來對應原本的firewall rule,由這條firewall rule即可獨立達成。

但反過來說,如果原本的firewall rule需要做NAT,
不論是內到外,將內部私有虛擬IP轉成XG介面IP再連外的來源端NAT (SNAT),
或是提供外部IP連到內部私有虛擬IP伺服器的目的地端NAT (DNAT),
那就需要NAT這個新頁面的規則。

以下我們就來看看SNAT與DNAT該如何設定。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-10-06, 15:31 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2340

shunze 離線
《分享》XG LED前面板操作選單顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG LED前面板是可以做些簡單操作的。



ENTER 進入選單
ESC 退出選單
上鍵 往上移動
下鍵 往下移動

其完整操作選單如下

Firmware Version
SFOS XX.X.XX

├─System Menu
│ ├─1.Show Date
│ ├─2.Show Uptime
│ ├─3.Show CPU
│ ├─4.Show Memory
│ ├─5.Show LoadAvg
│ ├─6.Show Disk
│ │ ├─1.Total Usage
│ │ └─2.Detail Usage
│ │
│ └─7.Live Users

├─Network Menu
│ ├─1.Show Port1
│ ├─2.Show Port2
│ ├─3.Show Port3
│ ├─4.Show All
│ └─5.Show Memory

├─Firmware Menu
│ ├─1.Show Firmware
│ ├─2.Factory Reset
│ ├─3.Shutdown
│ └─4.Reoboot

└─HA Info


比較有用的是查看目前設定的IP、關機、重開機、回復到初始值與查看磁碟用量,
其中磁碟的詳細使用內容,還可以直接查看原本需進console才查的到的報表磁碟用量
算是選單功能中比較特別的部分。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2021-09-14, 14:58 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2340

shunze 離線
《分享》V17.5釋放隔離區郵件的環境需求顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

在V17.5版之前,隔離區的郵件釋放並沒有什麼大問題,
只要XG能解析到郵件的domain name,
不論是外部IP或是內部私有IP,
都能在XG中將隔離郵件釋放回mail server。

但在V17.5之後,Sophos原廠做了很大的變更,
要能成功釋放隔離區郵件,郵件domain的MX record解析出來必需是內部私有IP才行。
若解析出來是外部IP,隔離郵件在釋放時就會被queue住,永遠無法成功釋放!



即便XG中可以直接建立DNS record,
但這DNS record只限A record與CNAME,並不支援MX record。

這讓升級到V17.5後的客戶很困擾,
有的客戶還因此又倒回V17.1版。


因此在V17.5之後,若要使用mail protection中的隔離區功能,
客戶端必需準備一台能解析出內部私有IP的DNS server,
有多個domain的話,這台DNS server就必需提供多個domain的解析,
否則在隔離郵件的使用上就會出問題。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-11-06, 12:06 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2340

shunze 離線
《分享》在開機時載入自訂服務顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

以Linux為底層的Sophos XG,有個開機時的startup script,
可以在此script中,寫入要載入的程式,來達到開機時載入自訂服務的功能。

編輯此script的流程如下。

  1. 以SSH軟體連線XG後,在主選單輸入5與3進入Advanced Shell。
    → 5.Device Management → 3.Advanced Shell

  2. 掛載根目錄為可讀寫權限。
    mount -o remount,rw /

  3. 編輯startup script customization_application_startup.sh
    vim /scripts/system/clientpref/customization_application_startup.sh

    把要載入或停止的服務加入此script中,
    例如我們要停用Web Proxy功能。
    service awarrenhttp:stop -ds nosync



  4. 存檔後,將根目錄掛載回唯讀狀態。
    mount -o remount,ro /

重開機後,會發現Web Proxy服務已自動被停用了。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-10-23, 17:06 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2340

shunze 離線
《分享》輸出Putty訊息到本機硬碟顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Putty是一個很棒的SSH軟體,
在 Session > Logging 中透過以下設定,就可以將往來訊息完整輸出到本機硬碟。



這在即時偵錯、查log時,很方便∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-10-22, 12:04 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2340

shunze 離線
《分享》Sophos XG無線AP管理工具顯示主題 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Sophos XG在WebUI中是沒有無線AP管理工具的,
若要管理、測試無線AP,基本上只能在advanced shell中透過awetool來進行。







第一次透過awetool連接到AP,會先要求啟用SSH的存取。





同意後,就能連到AP,並執行linux指令。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2020-10-20, 11:50 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
跳到:
顯示從 1 到 10 在所有的 2040 個結果中.  12345...»

Powered by: Burning Board 1.1.1 2001 WoltLab GbR