Ferramenta for Windows para automatizar backup no pfSense

JackL

@JackL:

Link para o software: http://www.zomers.eu/knowledge/pfSense/Pages/How-to-automate-pfSense-backup.aspx

O tal aplicativo só funcionaria se você tivesse seu pfSense respondendo apenas por HTTP (o que é extremamente desaconselhável - sob praticamente qualquer cenário).

O colega marcelloc, postou outras alternativas de softwares do gênero - Porém, faz-se importante frisar que todos os scripts ou métodos citados implementam "pontos falhos" ao deixar armazenadas em arquivos textos informações extremamente importantes como: IP do servidor, porta de conexão e até mesmo login e senha.

É sempre bom prestar atenção nestes pontos antes de sair usando um aplicativo nestes moldes em produção.

"O seguro morreu de velho!"

Abraços!
Jack

marcelloc

@JackL:

O colega marcelloc, postou outras alternativas de softwares do gênero - Porém, faz-se importante frisar que todos os scripts ou métodos citados implementam "pontos falhos" ao deixar armazenadas em arquivos textos informações extremamente importantes como: IP do servidor, porta de conexão e até mesmo login e senha.

Criei o script em php para usar senha própria para o backup.

Nunca gostei da idéia de deixar a senha do admin gravada no script ou criar um certificado de ssl que libera ssh no servidor sem autenticação.

JackL

@marcelloc:

Criei o script em php para usar senha própria para o backup.
Nunca gostei da idéia de deixar a senha do admin gravada no script ou criar um certificado de ssl que libera ssh no servidor sem autenticação.

Desculpe se algo me passou desapercebido, mas é este script que você se refere marcelloc: http://forum.pfsense.org/index.php/topic,45449.msg237138.html#msg237138?

Pelo que notei, você usa variáveis de ambiente para armazenar as credenciais de acesso… ou não ???

USER=admin
PASS=pfsense

Abraços!
Jack

marcelloc

Este post:
solução PHP para automatizar backup no pfSense

pontos importantes

#verifica o ip do cliente que quer buscar a configuração
$zabix_ip='192.168.1.122';

#Senha especifica para este arquivo php
$password="some_password_to_secure_script";

#Mesmo acesso criptografado da gui
$url_pfsense="https://192.168.1.1:8443/zabix.php";

JackL

Boa marcelloc…

Realmente não tinha separado visualmente o teu "Opção1(Recomendado)" dos demais.

Show of ball! ;)

Abraços!
Jack

jaugusto_ap

@marcelloc:

tópico relacionado:
http://forum.pfsense.org/index.php/topic,44768.0.html

Este arquivo php fica publicado na pasta /usr/local/www do seu pfsense.
Você deve alterar o parâmetro $password e $zabix_ip para o ip do servidor que vai buscar a configuração e uma senha para garantir a segurança da transferência.
/usr/local/www/zabix.php

#zabix server ip
$zabix_ip='192.168.1.122';
$password="some_password_to_secure_script";
if ($_SERVER["REMOTE_ADDR"]==$zabix_ip && $_REQUEST['pass']== $password)
  print base64_encode(file_get_contents('/conf/config.xml'));

?>

No servidor/estação onde os backups ficarão armazenados, você tem duas formas de execução:

Opção1(Recomendado)
crie este script com o nome que voce quiser e altere os valores de $url_pfsense, $password e $dir.

#!/usr/bin/php
$url_pfsense="https://192.168.1.1:8443/zabix.php";
$password="some_password_to_secure_script";
$dir="/home/marcelloc/backup";

$config=file_get_contents("$url_pfsense?pass=$password");
$now= date('YmHis');
file_put_contents($dir."/config.".$now.".xml",base64_decode($config),LOCK_EX);

?>

Opção2
usando o fetch do freebsd ou wget do linux ou qualquer outro programa de linha de comando que busca url.

fetch https://ip_do_seu_pfsense/zabix.php?password="sua_senha" > arquivo_de_backup.base64.txt

Ei parceiro, não consegui fazer esse procedimento aqui, a principio o script chega a salvar um arquivo com o nome definido, porém, o arquivo é salvo com 0 bytes, como pode ver na imagem abaixo. Já tentei até essa dica, mas sem sucesso também: http://www.vivaolinux.com.br/dica/Automoatizar-backup-no-pfSense/

Segue meus scripts:
zabix.php

#server ip
$ip='172.16.10.1';
$password="senha";
if ($_SERVER["REMOTE_ADDR"]==$ip && $_REQUEST['pass']== $password)
  print base64_encode(file_get_contents('/conf/config.xml'));

?>

bkp_pfsense.sh

#!/usr/bin/php
$url_pfsense="https://172.16.10.1/zabix.php";
$password="senha";
$dir="/mnt/arquivos/ti/Backup-Firewall";

$config=file_get_contents("$url_pfsense?pass=$password");
$now= date('YmdHis');
file_put_contents($dir."/config-firewall.coren-".$now.".xml",base64_decode($config),LOCK_EX);

?>

marcelloc

jaugusto_ap,

Bem vindo ao fórum! :)

Acredito que o único passo errado é este:

#server ip
$ip='172.16.10.1';

Você configurou o ip  do pfsense no lugar de configurar o ip do servidor que vai puxar o backup.

a segurança do script é baseada no ip do servidor que guarda os backups e uma senha.

if ($_SERVER["REMOTE_ADDR"]==$zabix_ip && $_REQUEST['pass']== $password)

att,
Marcello Coutinho

jaugusto_ap

@marcelloc:

jaugusto_ap,

Bem vindo ao fórum! :)

Acredito que o único passo errado é este:

#server ip
$ip='172.16.10.1';

Você configurou o ip  do pfsense no lugar de configurar o ip do servidor que vai puxar o backup.

a segurança do script é baseada no ip do servidor que guarda os backups e uma senha.

if ($_SERVER["REMOTE_ADDR"]==$zabix_ip && $_REQUEST['pass']== $password)

att,
Marcello Coutinho

Muito obrigado pelas boas vindas!

Quanto ao script, não tinha prestado atenção nesse detalhe do remote_addr.

Agora sim tá funcionando, e ainda agendado no crontab do Debian.

kelsen

O tal aplicativo só funcionaria se você tivesse seu pfSense respondendo apenas por HTTP (o que é extremamente desaconselhável - sob praticamente qualquer cenário).

O aplicativo funciona tb para https, basta adicionar a opcao -usessl, testado e aprovado.
Agora gostaria de saber se não tem algum código malicioso no programa, alguém pode descobrir isso pra gente?

marcelloc

@kelsen:

Agora gostaria de saber se não tem algum código malicioso no programa.

Veja o comportamento da maquina que roda ele na internet, bloqueie todas as portas de saida e logue o que a maquina tentar.

Veja a possibilidade de usar um dos scripts php deste topico, o códico é aberto e pelo menos o que eu fiz, está livre de código malicioso :)

att,
Marcello Coutinho

kelsen

@marcelloc:

Veja o comportamento da maquina que roda ele na internet, bloqueie todas as portas de saida e logue o que a maquina tentar.

Acho que nessa maquina onde instalei não da pra fechar as portas de saida.

Veja a possibilidade de usar um dos scripts php deste topico, o códico é aberto e pelo menos o que eu fiz, está livre de código malicioso :)

Pelo que entendi, preciso do zabbix instalado? além do mais a maquina é windows, como posso executar esse php nele?
Não tem como alguém ver o fonte do programa pra ver se há algo suspeito?

Grato!

marcelloc

@kelsen:

Pelo que entendi, preciso do zabbix instalado?

Não

@kelsen:

além do mais a maquina é windows, como posso executar esse php nele?

Só instalar o php ou php cli no seu windows

@kelsen:

Não tem como alguém ver o fonte do programa pra ver se há algo suspeito?

Isso foge do contexto do fórum…

kelsen

devo ter confundido por conta do nome Zabix no script.

cristianonix

Usa o Cobian Backup, faça backup do arquivo xml.

/cf/conf/config.xml