Recevoir un mail lorsque qu'un gateway est a nouveau UP
-
bonjour,
PFSENSE envoie automatiquement un email lorsqu'un Gateway est déclaré comme "DOWN" mais il n'envoie rien lors du retour a la normale… Y-a-t-il un paramètre qui le permet ou bien dois-je développer un script bash?merci
-
Je vous déconseille fortement d'ajouter un quelconque script à Pfsense.
-
pourquoi tant de haine vis a vis de ma capacité a programmer! ;)
sérieusement, pourquoi avez cet avis? par expérience? par déontologie? -
Par expérience. Il est extrêmement difficile d'écrire un logiciel sûr. Il suffit de voir le nombre d'avis de sécurité publiés chez les éditeurs. Ajouter un script à Pfsense peut avoir des conséquences dramatiques sur la sécurité de la plateforme. Certains éléments peuvent paraitre totalement innocents et sans conséquence. Regardez par exemple comment les fichiers exemples d'Apache ont permis de réaliser certaines attaquent menant à la compromission du serveur. Vous aller devoir choisir entre la sécurité et votre susceptibilité.
-
OK argumentation acceptée…. et si on revient a mon problème: comment être prévenu du retour a la normale d'un Gateway? une idée?
-
Une solution de supervision ne ferait pas l'affaire ? Ce besoin est une problématique de supervision à mon sens.
-
Il me parait bien plus intéressant de confier à un outil de supervision prévu pour, la surveillance de tout type d'évènement de votre infra.
Par exemple, Zabbix, Nagios, ou autre fera les tests nécessaires et avertira selon la gravité, l'heure, ou autres critères.
Ces systèmes sont prévus pour, et exigent nécessairement la compréhension de leur mode de fonctionnement; mais ils sont alors capables de faire bien plus que la simple chute ou remontée d'un lien …Il est clair que la sécurité d'un firewall est dépendante de ce qu'on y met : je banierai tous scripts, crontab;
J'investiguerai sinon la supervision de syslog (prévu de base dans pfSense). -
J'aurai envie de te dire que tout dépend d'où tu places ton firewall… Si il est à une place primordiale (entrée / sortie d'un réseau , coeur palpable d'un réseau, accès à Internet ...)
Après de mon simple avis (et c'est certainement le moins expérimenté d'entre tous malheureusement) et dans des cas bien particuliers, tu pourrais envisager l'écriture d'un script.
Bref, c'est à prendre avec des pincettes brulantes. Dis nous en plus sur ce routeur.
Aussi, une solution de supervision, c'est super, c'est prévu pour, ça marche, c'est secure la plupart du temps... mais j'espère qu'elle ne servira pas qu'à ça vu ce que ça demande comme boulot pour l'installation. Si c'est simplement pour l'envoi d'un mail lorsque c'est up.... c'est un peu dommage.
-
Aussi, une solution de supervision, c'est super, c'est prévu pour, ça marche, c'est secure la plupart du temps… mais j'espère qu'elle ne servira pas qu'à ça vu ce que ça demande comme boulot pour l'installation. Si c'est simplement pour l'envoi d'un mail lorsque c'est up.... c'est un peu dommage.
un monitoring par exemple en snmp (qui n'est pas aussi sécurisé que ça, surtout en V1 ;D) est effectivement une bonne solution mais je suis d'accord que, plus que "dommage", c'est une machine supplémentaire à gérer, ce qui n'est pas forcément souhaitable selon les environnements et surtout finalement assez lourd si il y a peu de machines à surveiller. Dans ce cas, c'est d'autant plus frustrant que pfSense embarque son propre lot de graphes en tous genres.
un script, par exemple en perl, pour analyser syslog fonctionne également mais c'est malgré tout, si l'option "script local" n'est pas acceptable, une machine supplémentaire pour mettre en oeuvre rsyslog.
Sur le principe, il est effectivement surprenant d'avoir une notification de changement d'état lorsque la gateway est "down" mais de ne pas en avoir lorsqu'elle passe "up".