Posted on by Jani

[Ratkaisu] FireHOL varoittaa RESERVED_IPS-tiedoston vanhentumisesta

Lähtökohta
Pakettienhallinnassa firehol on asennettuna.
Ongelma
Käynnistyksen yhteydessä FireHOL antaa seuraavanlaisen varoituksen:

WARNING
File '/etc/firehol/RESERVED_IPS' is more than 90 days old.
You should update it to ensure proper operation of your firewall.

Run the supplied get-iana.sh script to generate this file.

Get-iana.sh -komentojono on tallennettu /sbin/get-iana -tiedostoon, joten sen suorittaminen tapahtuu sudo get-iana -komennolla. Komennon suorittaminen antaa kuitenkin seuraavanlaisen virheilmoituksen:

Failed to find reserved IPs.
Possibly the file format has been changed, or I cannot fetch the URL.
Ongelman syy
FireHOLin asetustiedostoihin kuuluva RESERVED_IPS on vanhentunut, samoin kuin sen päivittämiseen käytettävä komentojonotiedosto.
Ratkaisu
Lataan tuoreen version komentojonotiedostosta, ja suoritan sen.

  1. Lataan get-iana.sh -tiedoston uusimman version suoraan FireHOLin versionhallintajärjestelmästä, ja tallennan sen kotihakemistooni.
  2. Korvaan järjestelmässäni olevan, vanhentuneen version komentojonotiedostosta sen uudella versiolla, seuraavalla komennolla:
    sudo cp ~/get-iana.sh /sbin/get-iana
  3. Suoritan komentojonotiedoston varattujen IP-osoitteiden listan päivittämiseksi:
    sudo get-iana

    Ladattuaan tarvitsemansa tiedot Internetistä komentojono esittää seuraavan kysymyksen:

    Would you like to save this list to /etc/firehol/RESERVED_IPS
so that FireHOL will automatically use it from now on?

yes or no >

    Vastaan myöntävästi kirjoittamalla yes ja painamalla sen jälkeen rivinvaihtonäppäintä.

Tämän jälkeen FireHOL ei enää käynnistyksen yhteydessä näytä varoitustaan, ennen kuin yhdeksänkymmentä päivää on kulunut, jonka jälkeen sudo get-iana -komento täytyy suorittaa jälleen.

Huomautus
Tuntuisi luontevalta määrätä get-iana suoritettavaksi automaattisesti vaikkapa kerran kuussa, mutta komentojonotiedostossa ei ole valitsinta, jota käyttämällä se kirjoittaisi muutokset asetustiedostoon kysymättä varmistusta. Olisi ilmeisesti varsin yksinkertaista muokata komentojonoa tältä osin, mutta aion toistaiseksi suorittaa komentojonon komentoriviltä aina 90 päivän välein.