■WatchGuard XTM-2シリーズのバージョンアップ
WatchGuard XTM-2シリーズを触ってみた。
http://labunix.hateblo.jp/entry/20160920/1474300370
■まずはRS-232Cで接続してログイン
初期ログインユーザ :root / status
初期パスワード :readwrite / readonly
$ sudo screen /dev/ttyS0 115200
WatchGuard-XTM login: admin
Password:
■XTM25のバージョンは「11.9.5.B473275」
WG#show sysinfo
--
-- System Information
--
system name : WatchGuard-XTM
system model : XTM25
contact : system contact
location : system location
system time : 13:31:53GMT 10/18/2016
up time : 0 days 1 hours 14 minutes 22 seconds
serial number : XXXXXXXXXXXXX
version : 11.9.5.B473275
cpu utilization : 1%(1 min) 2%(5 min) 1%(15 min)
memory usage : 497304 kB(total) 216944 kB(free) 280360 kB(used)
time zone : GMT+0:00 Greenwich Mean Time
■タイムゾーンの変更
WG(config)#system timezone 45
WG(config)#show sysinfo
...
time zone : GMT+9:00 Osaka; Sapporo; Tokyo
■TrustedのIPアドレスを変更してWebUIで接続
普通にIPアドレスを割り当てようとするとDHCPが。。。で失敗するので、
セカンダリIPを割り当てる。
WG#show interface
Enabled If-# Name Address Type/MTU Status IP-Assignment IP-Node-Type
yes 0 External 0.0.0.0/0 EX/1500 down DHCP IPv4 Only
yes 1 Trusted 10.0.1.1/24 TR/1500 down Static IPv4 Only
yes 2 Optional-1 10.0.2.1/24 OP/1500 down Static IPv4 Only
yes 3 Optional-2 10.0.3.1/24 OP/1500 down Static IPv4 Only
yes 4 Optional-3 10.0.4.1/24 OP/1500 down Static IPv4 Only
WG#configure
WG(config)#interface fastEthernet 1
WG(config/if-fe1)#ip address 172.31.31.249/24
Error: "The DHCP address pool 10.0.1.2-10.0.1.254 don't have available server address."
WG(config/if-fe1)#secondary 172.31.31.249/24
■WebUIの管理画面にログイン
同じアカウントで二重にログイン出来ないので、コンソールはログオフしておく。
初期セットアップウイザードで機能キーを有効にする。
https://172.31.31.249:8080/
WatchGuard-XTM login: status
Password:
WG>show feature-key
--
-- Total 1 Feature-Key(s)
--
Feature-Key ID Feature-Key Name Expiration Date
XXXXXXXXXXXXX XX-XX-20XX_07:07 never
■一つ前の「Fireware v11.11.2」か最新版の「Fireware v11.11.4 Update 1」がアップグレード先。
WebUIからアップグレードするためのZIPファイルをサポートサイトから入手。
リリースノート(英語)で「Fireware XTM v11.9 or higher」の前提条件を満たしていることを確認、
WebUIの「システム」->「OS のアップグレード」でアップグレードする。
「Technical Search」で「Known Issue」を確認する限り、どちらでも良さそうなので、
とりあえず「11.11.2」を適用する。
Fireware 11.11.2 Sysa-dl for OS updates from the Web UI
Fireware 11.11.4 Update 1 Sysa-dl for OS updates from the Web UI
$ openssl sha1 < xtm_xtm2a6_11_11_2.zip
(stdin)= 5d9e14f83c203b2880554c05aebcd68c4a5ae8d1
$ unzip xtm_xtm2a6_11_11_2.zip
Archive: xtm_xtm2a6_11_11_2.zip
■アップグレード、再起動後の確認
WatchGuard-XTM login: status
Password:
WG>show sysinfo
...
version : 11.11.2.B508770
...
WG>show upgrade
--
-- Total Upgrade History 3 Line(s)
--
Time Action Version Build Status Comment
9/27/2014:00:00:00 Install 11.9.5 473275 Success Install completed
10/18/2016:14:45:12 Upgrade 11.11.2 508770 Success SYSA | Upgrade completed
■Windowsで管理するためのFirmWareとWSMをダウンロード、インストール
WSMで接続、GatewayAntiVirusのポリシーを1つ、「Any -> Any」で作って問題なければ良しとする。
Fireware 11.11.2
WatchGuard System Manager 11.11.2
WG>show rule DNS-proxy
--
-- Policy Rule <DNS-proxy>
--
rule position : 5
name : DNS-proxy
enable : Yes
schedule : Always On
--
-- Traffic Specifications...
--
from alias list : [Any]
to alias list : [Any]
service : DNS-proxy
ips : enable
--
-- Actions...
--
static-nat : None
connections are : Allowed
proxy action : DNS-Outgoing
Connection rate : 0 per second
forward traffic mgmt : disabled
reverse traffic mgmt : disabled
policy routing : disabled
Send log message : Enabled
Send log message for reports : Disabled
Send SNMP Trap : Disabled
Send notification : Disabled
icmp handling : use global settings
idle timeout : 0 second(s)
Auto blocked : Disabled
global 1to1 nat : not use
global dnat : not use
dnat all-traffic in policy : not use
QoS marking type : No Marking
QoS marking method : Preserve
Prioritize Traffic Based On : QoS Marking
Value : 0 (Normal)
Application Blocking : None
Time and bandwidth quotas : Disabled
Mobile Security Management : Disabled
Drop connections from non-compliant managed mobile devices: Disabled
■NTPサーバの設定変更
WatchGuard-XTM login: admin
Password:
WG
WG(config)
--
-- NTP Properties
--
Synchronize time using NTP: enable
Device as an NTP server : disable
number of server(s) : 3
--
-- NTP Server(s)
--
0.pool.ntp.org
1.pool.ntp.org
2.pool.ntp.org
WG(config)
WG(config)
WG(config)
Error: "You must configure at least one NTP server."
WG(config)
WG(config)
WG(config)
--
-- NTP Properties
--
Synchronize time using NTP: enable
Device as an NTP server : disable
number of server(s) : 1
--
-- NTP Server(s)
--
172.31.31.252
WG(config)
--
-- System Clock
--
Wed Oct 19 00:13:37 JST 2016
--
■プロキシの設定
WG(config)
WG(config)
WG(config)
WG(config)
WG(config)
--
-- Signature Update Configuration
--
server URL : https://services.watchguard.com
automatic update interval : 1(hour(s))
automatic IPS signature update : disabled
automatic GAV signature update : disabled
automatic DLP signature update : disabled
automatic Botnet signature update : enabled
--
-- Proxy Server Configuration
--
proxy server address : 172.31.31.60
proxy server port : 8080
server authentication : NoAuth
■DNSの設定
WG(config)
WG(config)
WG(config)
--
-- DNS Properties
--
Domain name :
DNS forwarding: Enabled
Number of server(s): 1
--
-- DNS Server(s)
--
172.31.31.251
WG(config)
WG
Address: [64.94.120.2]
■ネットワークモードの確認
gatewayがどのモードでもeth0(External)に紐付く点に注意。
WG
--
-- System Mode Properties
--
mode: drop-in
address: 172.31.31.249
netmask: 255.255.255.0
gateway: 172.31.31.252
interface-name auto-host-mapping
External enable
Optional-1 enable
Optional-2 enable
Optional-3 enable
Trusted enable
DHCP service : disable
--
-- Total 1 Related Host(s)
--
if-num ip-address
eth0 172.31.31.252
■その他CLI操作のヘルプ
http://www.watchguard.com/help/docs/fireware/11/en-US/CLI/index.html
