Firewall Stations-Objekte Liste sortieren

[Pauli]

Hallo,

ich habe diverse Firewall Stations-Objekte definiert, teilweise auch mit einigen definierten Stationen.

Leider ist die Liste unter Stationen nicht sortiert und dadurch total unübersichtig, wenn man etwas ergänzen, anpassen oder löschen will. Hat jemand eine Idee, wie man das besser hinbekommt oder wie man die Einträge z.B. exportieren und sortiert wieder importieren kann?

Sobald man etwas mehr mit einem Lancom macht wird es leider bei diesen vielen Möglichkeiten in der Einzelliste schnell unübersichtlich. Da würde ich mir schon ein bisschen mehr Orga-Merkmale und zumindest Anzeigesortierung im LANConfig wünschen ...

Danke für jeden Tipp, Pauli

[tstimper]

Hi Pauli,

Leider ist die Liste unter Stationen nicht sortiert und dadurch total unübersichtig, wenn man etwas ergänzen, anpassen oder löschen will. Hat jemand eine Idee, wie man das besser hinbekommt oder wie man die Einträge z.B. exportieren und sortiert wieder importieren kann?

Export als Script, im Script sortieren und wieder importieren könnte helfen

also in Lanconfig > Konfig als Script sichern > geeignet bearbeiten > aus Script wiederherstellen
Vorsicht: Script enthält nicht das root Password (das lcf File schon ...)

Mich nervt das auch immer , das Stationsobjekte im Firewall Regel Dialog nicht sortierbar sind.
Da habe ich bei einem Router grad 121 nicht sortierte Einträge ...

Ich muss mal nachdenken, vielleicht können wir das in unser eigenes Tool einbauen,
wir müssen nur die Zeit dazu finden ...
Dann kann ich berichten, wie es geht, wenn es denn geht ...

Viele Grüße

ts

[Pauli]

Das Problem ist, dass ich das gar nicht wie im LANConfig definiert exportiert bekomme oder wie machst Du das und ich finde nur die richtige Stelle nicht?

Pauli

[tstimper]

Das Problem ist, dass ich das gar nicht wie im LANConfig definiert exportiert bekomme oder wie machst Du das und ich finde nur die richtige Stelle nicht?

Exportieren kannst Du nur die gesamte Konfig.


Lanconfig > Rechte Maustaste auf den Router > Konfigurationsverwaltung > Als Script Datei sichern

Das dann z.b. in Notepad++ oder was Du als Texteditor nimmst bearbeiten.

irgendwo findest Du

Code: Alles auswählen

cd /
cd /Setup/IP-Router/Firewall/Objects 
del *
#    Name                              Description                                                     
#    ==================================----------------------------------------------------------------

Da siehst Du die ganzen Firewall Stationsobjekte, die Du definiert hast.
Die stehen da mehr oder weniger unsortiert, wie man sie eben nacheinander angelegt hat.

Das Ganze endet beim nächsten

Code: Alles auswählen

cd /

Erst kommen die Stationsobjekte, dann die Service Objekte, dann die Firewall Rules.
Diese Reihenfolge muss sicher eingehalten werden.
Aber innerhalb der drei Bereiche kannst Du z.b. alphabetisch sortieren.

Wenn Du dann das Script zurückspielst, , es reicht auch dieser Teilbereich (dann mit passendem Script Header und Footer)
ändert sich die Reihenfolge in der aktuellen Tabelle im Router.
Wenn Du dann in Lanconfig die Objekte auswählst, erscheinen die in der Reihenfolge wie soeben eingespielt.

Legst Du was neues an, ist das dann wieder durcheinander.

So die Theorie....

Teste es am besten erstmal an einem Test Router.

Viele Grüße

ts

[Pauli]

Danke, das hat mich schon mal weitergebracht. Blöd ist nur, dass der Name eine ID bekommen hat und so die Sortierung nicht so ganz einfach zu machen ist. Außerdem sind pro Zeile in der Regel zwei Ziele definiert. Auch gibt es Verweise auf andere Objekte, die ich so gar nicht in der GUI sehe:

Code: Alles auswählen

cd /
cd /Setup/IP-Router/Firewall/Objects 
del *
#    Name                              Description                                                     
#    ==================================----------------------------------------------------------------
add  "ANYHOST"                        {Description}  "%A0.0.0.0 %M0.0.0.0"
add  "BLACKLIST-IP0"                  {Description}  "%A200.35.179.72 %M255.255.255.248 %A195.133.40.0 %M255.255.255.0"
add  "BLACKLIST-IP1"                  {Description}  "%A190.4.29.248 %M255.255.255.248 %A165.227.222.0 %M255.255.255.0"
add  "BLACKLIST-IP2"                  {Description}  "%A163.123.142.0 %M255.255.255.0 %A163.123.141.0 %M255.255.255.0"
add  "BLACKLIST-IP3"                  {Description}  "%A185.173.179.0 %M255.255.255.0 %A212.192.246.0 %M255.255.255.0"
...
add  "BLACKLIST-IP53"                 {Description}  "BLACKLIST-IP0 BLACKLIST-IP1 BLACKLIST-IP2 BLACKLIST-IP3"
add  "BLACKLIST-IP54"                 {Description}  "BLACKLIST-IP4 BLACKLIST-IP5 BLACKLIST-IP6 BLACKLIST-IP7"
add  "BLACKLIST-IP55"                 {Description}  "BLACKLIST-IP8 BLACKLIST-IP9 BLACKLIST-IP10 BLACKLIST-IP11"

Pauli

[hschnei]

Hallo,

es muss nicht die gesamte Konfiguration exportiert werden.
Siehe:

https://support.lancom-systems.com/know ... d=32985766


Grüße
Hans-Jürgen

[tstimper]

Ich hab im vRouter mal schnell was angelegt

Code: Alles auswählen

cd /Setup/IP-Router/Firewall/Objects 
del *
#    Name                              Description                                                     
#    ==================================----------------------------------------------------------------
add  "ANYHOST"                        {Description}  "%A0.0.0.0 %M0.0.0.0"
add  "LOCALNET"                       {Description}  "%L"
add  "A-OBJEKT"                       {Description}  "%A10.100.100.0 %M255.255.255.0"
add  "C-OBJEKT"                       {Description}  "%A10.100.250.0 %M255.255.255.0"
add  "B-OBJEKT"                       {Description}  "%A10.100.200.0 %M255.255.255.0"

Also erst A-Objekt, dann C-Objekt, dann B-Objekt.
Genauso in der Reihenfolge stehts im Export Script.

Die Verweise in Regeln sind auf diese Namen.
Wenn Du die Reihenfolge im Scipt änderst, die Namen aber beibehälst, ändert das nichts an der Funktion.
Script zurückspielen und bei der Auswahl der Objekte ist die Liste nun sortiert.

Viele Grüße

ts

[tstimper]

Hallo,

es muss nicht die gesamte Konfiguration exportiert werden.
Siehe:

https://support.lancom-systems.com/know ... d=32985766


Grüße
Hans-Jürgen

Stimmt, das ist noch einfacher...

Die Firewall Objekt Liste ist.

/Setup/IP-Router/Firewall/Objects

Export, umsortieren, import, fertig.

Viele Grüße

ts

[Pauli]

Ich habe auch nur den Teil exportiert, das passt schon. Allerdings, wie oben gezeigt, gibt es Einträge mit mehreren Werten pro Zeile (obwohl in der Gui nur ein Wert pro Eintrag vorhanden ist.

Außerdem wird der Name des Objektes in Export durchnummeriert, wenn das Objekt mehrere Einträge hat. Das muss man auch beachten, also nicht ganz so einfach und schnell gemacht ...

[Pauli]

Also nicht ganz so einfach, damit man mehrere Einträge in ein Objekt bekommt, muss man ein solches Konstrukt bauen, was natrülich nach dem sortieren und umbauen nicht so simpel ist:

Code: Alles auswählen

add  "LOCKY-CC-SERVER0"               {Description}  "%A195.154.241.208 %A193.124.181.169 %A178.250.10.199"
add  "LOCKY-CC-SERVER1"               {Description}  "%A81.177.135.111 %A173.214.183.81 %A86.104.134.144 %A46.4.239.76"
add  "LOCKY-CC-SERVER2"               {Description}  "%A86.104.134.144 %A104.238.173.18 %A37.97.130.210 %A66.133.129.5"
add  "LOCKY-CC-SERVER3"               {Description}  "%A109.234.38.35 %A81.218.71.214 %A178.32.145.80 %A195.64.154.14"
add  "LOCKY-CC-SERVER4"               {Description}  "%A91.195.12.185 %A103.24.201.24 %A217.196.64.12 %A190.9.32.8"
add  "LOCKY-CC-SERVER5"               {Description}  "LOCKY-CC-SERVER0 LOCKY-CC-SERVER1 LOCKY-CC-SERVER2"
add  "LOCKY-CC-SERVER6"               {Description}  "LOCKY-CC-SERVER3 LOCKY-CC-SERVER4"
add  "LOCKY-CC-SERVER"                {Description}  "LOCKY-CC-SERVER5 LOCKY-CC-SERVER6"

Mit diesem Konstrukt erscheint dann in der GUI nur das Element 'LOCKY-CC-SERVER' mit allen IP's auf dem Stationen Tab.

Pauli

[tstimper]

Du meinst, wenn sowas drin ist, verkettete Einträge:

Code: Alles auswählen

cd /Setup/IP-Router/Firewall/Objects 
del *
#    Name                              Description                                                     
#    ==================================----------------------------------------------------------------
add  "ANYHOST"                        {Description}  "%A0.0.0.0 %M0.0.0.0"
add  "LOCALNET"                       {Description}  "%L"
add  "A-STATION"                      {Description}  "%A10.1.1.1"
add  "B-STATION"                      {Description}  "%A10.1.1.2"
add  "C-STATION"                      {Description}  "%A10.1.1.3"
add  "A-C-STATIONS"                   {Description}  "%DA-STATION %DB-STATION %DC-STATION"

Dann müsste man auch auch jede Zeile durchgehen und die %D Objekte in dieser Zeile alphabetisch sortieren.

Außerdem wird der Name des Objektes in Export durchnummeriert, wenn das Objekt mehrere Einträge hat. Das muss man auch beachten, also nicht ganz so einfach und schnell gemacht ...

Ja ich sehe es, bei einem komplexeren Regelwerk passiert das dann in den Firewal Regeln.
Die Stationsnamen an sich werden aber nicht "vervielfacht, nur die Regeln.
Und in den merhfachen (durchnummerierten) Regeln stehen immernoch die normalen Stationsnamen.

Also könnte man zwei Dinge tun:
- Im Bereich Stationsobjekte dies alpfabetisch sortieren
- in jeder einzelnen Firewall Regel Zeile die Stationsobjekte in alphabetischer Reihenfolge sortieren.

Also vielleicht ein halber Tag Aufwand, das zu programmieren und zu testen.
(wahrscheinlich eher ein Tag, weil bestimmt noch Sonderfälle auftreten ....)

Für große Regelwerke wäre das wirklich gut, das zu haben.
Ich mus nachdenken, ob wir das in unser Tool einbauen...
Mich nervt das auch schon ewig ...

Viele Grüße

ts

[Pauli]

Ja ist eine blöde Sache und die Anzeige in der GUI mal zu sortieren wäre mit Sicherheit die einfachste Lösung.

Dein Beispiel passt nicht ganz:

Code: Alles auswählen

add  "LOCKY-CC-SERVER0"               {Description}  "%A195.154.241.208 %A193.124.181.169 %A178.250.10.199"
add  "LOCKY-CC-SERVER1"               {Description}  "%A81.177.135.111 %A173.214.183.81 %A86.104.134.144 %A46.4.239.76"
add  "LOCKY-CC-SERVER2"               {Description}  "%A86.104.134.144 %A104.238.173.18 %A37.97.130.210 %A66.133.129.5"
add  "LOCKY-CC-SERVER3"               {Description}  "%A109.234.38.35 %A81.218.71.214 %A178.32.145.80 %A195.64.154.14"
add  "LOCKY-CC-SERVER4"               {Description}  "%A91.195.12.185 %A103.24.201.24 %A217.196.64.12 %A190.9.32.8"
add  "LOCKY-CC-SERVER5"               {Description}  "LOCKY-CC-SERVER0 LOCKY-CC-SERVER1 LOCKY-CC-SERVER2"
add  "LOCKY-CC-SERVER6"               {Description}  "LOCKY-CC-SERVER3 LOCKY-CC-SERVER4"
add  "LOCKY-CC-SERVER"                {Description}  "LOCKY-CC-SERVER5 LOCKY-CC-SERVER6"

Gibt in der GUI dann nur einen Eintrag unter den Stations-Objekten was so heißt wie der letzte Eintrag ohne ID 'LOCKY-CC-SERVER'. Auf den wird dann auch in der FW verwiesen:

Screen_20220123-130557.png

Warum in der GUI dann die Sortierung so zu dem Export aussieht wie im Screenshot ist zwar verwunderlich, aber so ist es.

Klar kann man das Scripten, aber ist nicht eben mal in einer Stunde erledigt ...

Gruß, Pauli

[plumpsack]

@Pauli
Was spricht gegen Routing?
--> KISS

Code: Alles auswählen

https://en.wikipedia.org/wiki/KISS_principle

keep it simple, stupid
KISS, an acronym for keep it simple, stupid

Was ist der Trick Object-Tables anzulegen?

Routings gegen 0.0.0.0

Code: Alles auswählen

block GT Navega.com S.A. 200.35.176.0/20
block CZ Reliable Communications s.r.o. 195.133.0.0/18
block GT Navega.com S.A. 190.4.0.0/19
block US DigitalOcean, LLC 165.227.0.0/16
block US Serverion LLC 163.123.140.0/22
block RU GalaxyStar LLC 185.173.176.0/22
block CZ Reliable Communications s.r.o. 212.192.240.0/20
block FR ONLINE S.A.S. 195.154.0.0/16
block RU Network Management Ltd 193.124.176.0/20
block DE Profihost AG 178.250.8.0/21
block RU JSC RTComm.RU 81.177.128.0/19
block US KVCHOSTING.COM LLC 173.214.176.0/20
block US NL 86.104.134.0/24 Legaco Networks B.V.
block DE Hetzner Online GmbH 46.4.0.0/16 *
* aufpassen wen man da blockiert!
block US Choopa, LLC 104.238.128.0/18
block NL Transip B.V. 37.97.128.0/17
block US Frontier Communications of America, Inc. 66.133.128.0/18
block RU Hosting technology LTD 109.234.36.0/22
block IL BEZEQ-INTERNATIONAL-LTD 81.218.0.0/16
block FR OVH SAS 178.32.0.0/15
block UA Ukrainian Internet Names Center LTD 195.64.154.0/23
block PL Host4Biz sp. z o.o. 91.195.12.0/23
block IN IBEE Software Solutions Pvt. Ltd. 103.24.200.0/22
block AT Wireless Internet Access - funknetz.at 217.196.64.0/20
block US PA Cloud Holding International 190.9.32.0/20

machen doch das was sie sollen.


PS GT - Guatemala und AT - Austria hatte ich noch gar nicht auf dem Schirm ...