読者です 読者をやめる 読者になる 読者になる

labunix's blog

labunixのラボUnix

WatchGuard XTM-2シリーズを触ってみた。

■WatchGuard XTM-2シリーズを触ってみた。
 使う前に色々と面倒なUTM製品だけど、
 UTMアプライアンスとして初めて世に出した会社がWatchGuardらしい。
 日本語マニュアルを読めば大体困ることは無いし、
 サポートも基本的に英語だが、契約によっては日本語での対応もしてくれる様子。

$ echo "graph { flow: south; } \
        [Create or Login WatchGuard Support Account] --> \
        [Activate Product] --> \
        [Get Feature Key] --> \
        [Add Feature Key To Device] --> \
        [Option (Change the IP address)] --> \
        [Quick Setup Wizard] --> \
        [Upgrade FirmWare]
    " | graph-easy --dot | \
    dot -T png -o XTM.png

f:id:labunix:20160920005005p:plain

■システム情報からXTM25であることが分かる。
 RS-232C接続は速度「115200」に注意。
 初期IPアドレスは予め変えても大丈夫そう。
 初期管理者はadmin/readwrite、ユーザはstatus/readonly。
 「Trusted」に割り当てられている「eth1」にLANをつなげて、
 初期IPアドレス「10.0.1.1/24」で設定。

$ sudo screen /dev/ttyS0 115200

WatchGuard-XTM login:status
Password:
WG>show interface 
--
-- Interface Properties
-- Type:  TR = trusted, EX = external, OP = optional, CS = custom, VL = vlan, BR = bridge, CL = cluster,LA = <link aggregation, NA = not apply
--
physical interface count : 5
licensed interface count : 5
--
-- Interface Address & Status
--
Enabled If-#  Name                    Address    Type/MTU  Status IP-Assignment IP-Node-Type  
 yes    0    External                0.0.0.0/0  EX/1500   down   DHCP          IPv4 Only     
 yes    1    Trusted                10.0.1.1/24 TR/1500   down   Static        IPv4 Only     
 yes    2    Optional-1             10.0.2.1/24 OP/1500   down   Static        IPv4 Only     
 yes    3    Optional-2             10.0.3.1/24 OP/1500   down   Static        IPv4 Only     
 yes    4    Optional-3             10.0.4.1/24 OP/1500   down   Static        IPv4 Only     

■随所にLinuxベースらしきメッセージが出るが、
 シェルもなければ「grep」というか、パイプのような気の利いた
 コマンドも用意されていない。
 JavaベースのWindowsアプリ(WSM)で設定が出来るようになっている。
 WebUIもあるがGatewayAntiVirusのプロキシ設定等、
 WSMでないと出来ない設定が多い。

$ echo "show sysinfo" | \
    ssh -p 4118 status@172.31.31.100 | \
    grep -v serial
Pseudo-terminal will not be allocated because stdin is not a terminal.
Password: 
--
-- WatchGuard Fireware OS Version 11.11.2.B508770
-- Support: https://www.watchguard.com/support/supportLogin.asp
-- Copyright (C) 1996-2016 WatchGuard Technologies Inc.
--
--
-- System Information
--
system name         : XTM_2_Series
system model        : XTM25
contact             : (null)
location            : (null)
system time         : 00:30:25JST 09/20/2016
up time             : 0 days 0 hours 14 minutes 28 seconds
version             : 11.11.2.B508770
cpu utilization     : 18%(1 min)  9%(5 min)  14%(15 min)
memory usage        : 490440 kB(total)  170196 kB(free)  320244 kB(used)
time zone           : GMT+9:00 Osaka; Sapporo; Tokyo

■「機能キー=feature key」は有効になっている。
 ギリギリの時間で更新する/しないで迷うことは無いはずだが、
 PST=-8なのでライセンス有効期限の時間には注意。

$ echo "show features" | \
    ssh -p 4118 status@172.31.31.100 | \
    grep -v -i "never\|signature\|serial"
Pseudo-terminal will not be allocated because stdin is not a terminal.
Password: 
--
-- WatchGuard Fireware OS Version 11.11.2.B508770
-- Support: https://www.watchguard.com/support/supportLogin.asp
-- Copyright (C) 1996-2016 WatchGuard Technologies Inc.
--
--
-- Summary
--
Model: XTM25               
Software Edition: Fireware XTM Pro    

--
-- Total 28 Feature(s)
--
Feature                  Capacity  Status    Expiration               
APP_CONTROL              0         Enabled   00:00:00PST 10/04/2021   
AV                       0         Enabled   00:00:00PST 10/04/2021   
IPS                      0         Enabled   00:00:00PST 10/04/2021   
LIVESECURITY             0         Enabled   00:00:00PST 10/04/2021   
RED                      0         Enabled   00:00:00PST 10/04/2021   
SPAMBLOCKER              0         Enabled   00:00:00PST 10/04/2021   
WEBBLOCKER               0         Enabled   00:00:00PST 10/04/2021 

■ドロップインモードで構成。
 デフォルトはミックスルーティングモード。

$ echo "show network-mode" | \
    ssh -p 4118 status@172.31.31.100 | \
    grep -v -i "never\|signature\|serial"
Pseudo-terminal will not be allocated because stdin is not a terminal.
Password: 
--
-- WatchGuard Fireware OS Version 11.11.2.B508770
-- Support: https://www.watchguard.com/support/supportLogin.asp
-- Copyright (C) 1996-2016 WatchGuard Technologies Inc.
--
--
-- System Mode Properties
--
mode: drop-in
address: 172.31.31.100
netmask: 255.0.0.0
gateway: 172.31.31.252
interface-name              auto-host-mapping   
External                    enable              
Trusted                     enable              
Trusted-L3                  enable              
DMZ-L3                      enable              
Optional-3                  enable              
DHCP service                  : disable
--
-- Total 2 Related Host(s)
--
          if-num    ip-address     
          eth0      172.31.31.252  
          eth3      172.16.16.88