RANCID

5/21/2018 Una guía para instalar FreeBSD y RANCID | Centro de operaciones de red
Acerca de NetworkOC
Centro de operaciones de red

NetworkOC - un blog sobre operaciones de red
Search Buscar
Una guía para instalar FreeBSD y RANCID
Contenido [hide]
1 documento
1.1 Propósito y audiencia
1.2 Descargo de responsabilidad
2 Instalación de FreeBSD
3 Hardware
3.1 Instalación de FreeBSD
3.2 Configurando IPFW
3.2.1 Registro del firewall
3.2.2 Recursos IPFW
3.3 Administración
4 RANCID
4.1 Introducción a RANCID
4.2 Instalación de RANCID
4.3 Directorios y archivos de particular interés
4.4 Comandos
4.5 Recursos RANCID
4.5.1 Comparte esto:
Documento
Propósito y audiencia
Esta publicación tiene como objetivo dar una introducción de alto nivel a la instalación y configuración de
FreeBSD y RANCID.
El tutorial está dirigido a principiantes en el mundo de FreeBSD / RANCID.
Renuncia
Soy bastante nuevo en FreeBSD, ya que el contenido de esta publicación reflejará.
Instalando FreeBSD
Hardware
https://translate.google.com/translate?hl=es-419&sl=en&u=http://www.networkoc.net/a-guide-to-installing-freebsd-and-rancid/&prev=search 1/11
Para mi instalación, he elegido una configuración muy mínima y parece funcionar bien. Si se supone que el
servidor realiza varias funciones además de RANCID, es posible que desee escalar en consecuencia.
Y sí, esta es una máquina virtual. =)
Disco: 10GB
RAM: 512 MB
CPU: Intel (R) Xeon (R) CPU X5650 a 2.67 GHz
Instalación de FreeBSD
Solo un consejo rápido antes de comenzar: al configurar nombres de usuario, nombres de host, nombres de
archivos y similares, use SOLO minúsculas. La razón de esto es que UNIX diferencia entre, por ejemplo,
"Nombre de archivo" y "nombre de archivo", mientras que Microsoft los considera el mismo archivo. Y al usar
solo casos más bajos, nunca se encuentra con tales problemas. =)
Ahora - en la instalación real:
Bastante sencillo. Yo mismo opté por instalar SSH y NTP para la administración remota y la sincronización de
tiempo.
Aunque una cosa a tener en cuenta es usar FQDN como nombre de host y configurar un servidor DNS.
RANCID usa sendmail para enviarle la diferencia de configuración de sus dispositivos y sendmail requiere DNS
para funcionar correctamente.
Configurando IPFW
Bloquear cualquier caja, especialmente los sistemas con los que no está familiarizado, puede valer la pena para
aumentar la seguridad general.
De los recursos que he usado, parece que la forma adecuada de configurar su conjunto de reglas ipfw es ejecutar
un script que se define en /etc/rc.conf .
Un consejo : antes de habilitar el firewall y jugar, asegúrese de que el archivo de configuración (/etc/ipfw.sh)
esté completo y de que tenga acceso físico al servidor en caso de que se cierre. =)
Crea el /etc/ipfw.sh. Usé un script de muestra y lo edité para mi propio propósito. Editaremos el archivo en
breve.
toque /etc/ipfw.sh
chmod 700 /etc/ipfw.sh
Edite rc.conf para habilitar el FW y para indicarle que ejecute el script
firewall_enable = "SÍ"
firewall_script = "/ etc / ipfw.sh"
Mi completo etc / rc.conf ahora se ve así:
nombrehost = "srv-rancid.mydomain.local"
keymap = "norwegian.iso.kbd"
ifconfig_em0 = "inet 172.32.10.10 netmask 255.255.255.0"
defaultrouter = "172.32.10.1"
sshd_enable = "SÍ"
ntpd_enable = "SÍ"
firewall_enable = "SÍ"
firewall_script = "/ etc / ipfw.sh"
# Establecer dumpdev a "AUTO" para habilitar volcados de emergencia, "NO" para deshabilitar
dumpdev = "NO"
root @ srv-rancid: / usr / home / rancid #
Edite el /etc/ipfw.sh-script con el conjunto de reglas apropiado. Edité la configuración de muestra para que se
vea así:
root @ srv-rancid: / usr / home / rancid # cat /etc/ipfw.sh

#! / bin / sh
#
# vaciar reglas existentes
ipfw -q flush
# permitir conexiones establecidas
ipfw -q agrega 1 estado de comprobación
# permitir el tráfico de bucle invertido
ipfw -q add 2 permite todo desde cualquiera a cualquier vía lo0
# permitir conexiones TCP previamente establecidas
ipfw -q add 3 permite tcp de cualquiera a cualquier establecido
#
# entrada de servicios públicos: 22 / tcp (SSH)
ipfw -q add 100 set 1 allow tcp de any a 172.32.10.10 22 en configuración keep-state
#
# permite que salga todo el tráfico
ipfw -q add 200 set 1 permite udp desde 172.32.10.10 a cualquier estado de conservación
ipfw -q add 201 set 1 permite tcp desde 172.32.10.10 a cualquier configuración de salida keep-state
#
# permite entrar y salir tipos de ICMP comunes
ipfw -q add 400 set 1 allow icmp from 172.32.10.10 to any icmptypes 0,3,8,11,12,13,14
ipfw -q add 401 set 1 allow icmp de cualquiera a 172.32.10.10 icmptypes 0,3,8,11,12,13,14
#
# negar todo lo demás que entra
ipfw -q add 999 set 1 deny all de any a any
Handy commmands con respecto a IPFW
/etc/rc.d/ipfw restart # Reinicia el IPFW y carga el conjunto de reglas desde ipfw.sh

ipfw list # Lista el conjunto de reglas de IPFW.
Mi conjunto de reglas ipfw completo se ve así:
root @ srv-rancid: / usr / home / rancid # ipfw list

00001 cheque-estado
00002 permite la dirección IP de cualquiera a cualquier vía lo0
00003 permite tcp de cualquiera a cualquier establecido
00100 permiten tcp desde cualquiera a 172.32.10.10 dst-port 22 en configuración keep-state
00200 permite udp desde 172.32.10.10 a cualquier estado de conservación
00201 permite tcp desde 172.32.10.10 a cualquier configuración de salida keep-state
00400 permite icmp desde 172.32.10.10 a cualquier icmptypes 0,3,8,11,12,13,14
00401 permite icmp de cualquiera a 172.32.10.10 icmptypes 0,3,8,11,12,13,14
00999 denegar ip de cualquier a cualquier
65535 denegar ip de cualquier a cualquier
Aparentemente no se puede eliminar la entrada 65535 (no por el comando ipfw -q flush de todos modos), por lo
que la secuencia de comandos incluirá dos reglas que denieguen todo el tráfico distinto de aquellos permitidos.
Todavía me siento más seguro teniendo la regla de soltar en el archivo de secuencia de comandos, en lugar de
dejarla fuera.
Registro del firewall
El registro de Firewall es factible para muchas instalaciones, pero he decidido no registrar nada para conservar
los recursos de hardware.
Para habilitar el registro de firewall, /etc/rc.conf también necesita el siguiente parámetro
firewall_logging = "SÍ"
Las reglas de firewall con la palabra clave "log" se escribirán en syslog.

Para obtener más información sobre el tema, me remito al manual de FreeBSD:
http://www.freebsd.org/doc/handbook/firewalls-ipfw.html
Recursos IPFW
1) http://www.freebsd.org/doc/en/articles/linux-users/firewall.html
2) https://manage.rootbsd.net/knowledgebase/30/IPFW-sample-configuration.html
3) http://www.freebsd.org/doc/handbook/firewalls-ipfw.html
Mucha información para ti allí. =)
Administración
Webmin es una herramienta de administración basada en web para sistemas tipo Unix. Aunque no se trata aquí,
creo que vale la pena mencionarlo en caso de que quiera alguna interfaz gráfica.
Una rápida búsqueda en Google de freebsd webmin produjo varios tutoriales sobre el tema. =)
RANCIO
Introducción a RANCID
RANCID es una herramienta que ejecuta varios comandos en su equipo de red y realiza un seguimiento de los
cambios utilizando CVS.
Personalmente, considero que RANCID es muy limpio por dos razones;
1. Proporciona registros históricos de cambios en el equipo de red

2. Mantiene una configuración actualizada de su equipo de red. Y no solo eso, sino que también elimina
información sobre versiones de software, información de hardware (números de serie, módulos, etc.),
vlans y más.
Instalando RANCID
La instalación de RANCID fue, para ser honesto, absolutamente simple cuando seguí una guía que encontré en
línea (ver recursos más abajo) y dado que los pasos de los autores funcionaron bastante bien, los repetiré más o
menos aquí.
Y repetiré la sugerencia que mencioné anteriormente: al configurar nombres de usuario, nombres de host,
nombres de archivos y similares, use SOLAMENTE minúsculas. La razón de esto es que UNIX diferencia entre
"Nombre de archivo" y "nombre de archivo", mientras que Microsoft los considera el mismo archivo. Y al usar
solo casos más bajos, nunca se encuentra con tales problemas. =)
¡Adelante a los pasos!
1. Agregue un nuevo usuario llamado rancio y agréguelo al grupo de ruedas. Una membresía en el grupo de
ruedas le permite ejecutar el comando "su" y obtener privilegios de root.
Emita el comando y siga las instrucciones en pantalla
# agregar usuario
2. Actualice su colección de puertos, que esencialmente son los archivos make para diversas aplicaciones.
# portsnap fetch update
3. Instale RANCID a partir de las colecciones de puertos antes mencionadas
# cd / usr / ports / net-mgmt / rancid /

hacer la instalación limpia
La instalación tomó bastante tiempo para mí, ya que necesitaba descargar una carga de camiones de diferentes
archivos.
Durante la instalación de los diferentes paquetes dejé todas las opciones por defecto.
4. Copie /usr/local/etc/rancid/rancid.conf.sample en /usr/local/etc/rancid/rancid.conf.
# cp /usr/local/etc/rancid/rancid.conf.sample /usr/local/etc/rancid/rancid.conf
5. Edita rancid.conf. Cambia y descomenta la siguiente línea.
LIST_OF_GROUPS = "CiscoDevices"
Puede elegir un enfoque más granular si tiene muchos dispositivos. Por ejemplo, CiscoDevicesHQ y
CiscoDevicesSateliteoffices.
Pero usaré un grupo para todos mis dispositivos.
6. Inicie sesión como usuario "rancio" y cree el archivo de contraseñas de los dispositivos
$ touch /home/rancid/.cloginrc
P: ¿Voy a almacenar nombres de usuario y contraseñas en un archivo de texto sin formato?

A: Sí. Tome las medidas adecuadas para asegurarse de que la caja esté bloqueada lo más apretada posible. =)
7. Edite su .cloginrc: este archivo incluirá nombres de usuario, contraseñas y métodos de inicio de sesión para su
equipo. Trataré de explicar cómo funciona esto usando mi propio archivo como ejemplo.
$ vi /home/rancid/.cloginrc
agregar usuario 172.10.1.8 admin

agregar usuario 172.20.1.5 admin
agregar la contraseña 172.10.1.8 MyAdminPASSWORD MyEnablePASSWORD
agregar contraseña 172.20.1.5 MyAdminPASSWORD MyEnablePASSWORD
agregar contraseña * MyTelnetPassword MyEnablePassword
agregar el método 172.10.1.8 ssh

agregar el método 172.20.1.5 ssh
agregar método * telnet
Tengo una mezcla de dispositivos donde necesito SSH-login para algunos y telnet para otros. En este ejemplo,
notará lo siguiente:
He agregado un nombre de usuario para dos dispositivos específicos.

He agregado contraseñas para dos dispositivos específicos.
He agregado contraseñas para todos los dispositivos (asterisco).
He agregado SSH como método de inicio de sesión para dos dispositivos específicos.
He agregado telnet como método de inicio de sesión para todos los dispositivos (asterisco).
Esto significa que RANCID iniciará sesión en 172.20.1.8 y 172.20.1.5 utilizando SSH con el nombre de usuario
admin y MyAdminPASSWORD, luego pasará al modo de habilitación con la contraseña
MyEnablePASSWORD.
También significa que se iniciarán sesión en todos los demás dispositivos utilizando telnet con la contraseña de
Telnet MyTelnetPassword y luego se pasará al modo de activación mediante la contraseña MyEnablePassword.
Tips'n'tricks
El asterisco funciona como comodín, lo que significa que también podría escribir " agregar método
172.10.1. * Ssh " si quisiera SSH como método de inicio de sesión para todos los conmutadores de esta
red en particular.
También puede usar nombres de host en lugar de direcciones IP. Esto requiere que su equipo de red esté
presente en DNS o configurado manualmente en sus servidores RANCID "/ etc / hosts" -file
Espero que esto sea comprensible. =)
8. Haga que el archivo .cloginrc sea editable solo por su usuario rancio
$ chmod 600 /home/rancid/.cloginrc
9. La instalación puede haber creado el directorio / usr / local / var / rancid /. Queremos eliminar eso y volver a
crearlo con el usuario rancio.
Para permitir que nuestro usuario rancio cree el directorio, tendremos que cambiar los permisos de directorio
también
$ su
Contraseña:
# rm -r / usr / local / var / rancid
# chmod 775 / usr / local / var
# salida
$ mkdir / usr / local / var / rancid
10. Ahora creará la estructura de directorios inicial y luego los directorios de datos
$ / usr / local / bin / rancid-run

$ / usr / local / bin / rancid-cvs
11. La estructura debe estar en su lugar con el nombre del grupo que configuró en el paso 5.
$ cd / usr / local / var / rancid / CiscoDevices
12. En este directorio, debe encontrar un archivo llamado router.db - edite este archivo e ingrese sus dispositivos
de red.
Como puede comprender, el primer parámetro es el dispositivo IP / nombre de host, el segundo es de qué tipo de
dispositivo estamos hablando y el tercer parámetro define si el dispositivo está activo o inactivo y debe
escanearse.
vi router.db
172.10.1.5:cisco:up
172.10.1.6:cisco:up
172.10.1.8:cisco:up
172.10.1.10:cisco: up
172.10.1.11:cisco:up
172.10.1.12:cisco:up
172.10.1.13:cisco:up
172.20.1.5:cisco:up
172.20.1.6:cisco: up
172.20.1.7:cisco: up
13. Ahora configuraremos algunos parámetros con respecto al correo electrónico, es decir, si desea que se le
envíen los cambios de configuración y / o su correo electrónico de la red informática.
Edite / etc / aliases y agregue su correo electrónico
$ su
Contraseña:
# vi / etc / aliases
rancio-CiscoDevices: gos@networkoc.net
rancid-admin-CiscoDevices: gos@networkoc.net
Si usó un nombre de grupo diferente (o varios para ese asunto), necesita agregarlos al archivo.
14. Asumiendo que está ejecutando FreeBSD por defecto y, por lo tanto, usando sendmail, ahora emite el
siguiente comando que mueve / convierte / hace algo con / etc / aliases.
# newaliases
15. Ejecutar rancio de nuevo - como el usuario rancio. No ejecute rancio como root
# salida
$ / usr / local / bin / rancid-run
Si todo está bien, debería recibir un correo electrónico en breve con los cambios de configuración (que es la
configuración completa, ya que será la configuración inicial).
Nota: Debido a que su servidor rancio actuará como un servidor SMTP, una entrada para su servidor debe estar
presente en su servidor DNS. Traté de engañar editando / etc / hosts, y así sucesivamente, pero aterrizó
directamente en el uso de DNS en lugar de un hack.
16. Como todo transcurrió sin problemas y recibió un correo electrónico y los directorios se rellenaron con
archivos de configuración, es probable que desee que RANCID se ejecute automáticamente. Cron te ayudará con
esto.
Configurar cron con el usuario rancio
$ crontab -e
1 * * * * / usr / local / bin / rancid-run
$ crontab -l
# La configuración de ejecución difiere cada hora
1 * * * * / usr / local / bin / rancid-run
Ejecuto RANCID por hora (tenga en cuenta que 1 significa un minuto después de cada hora 22:01, 23:01) - solo
recibirá un correo electrónico si hay un cambio en la configuración, por lo tanto, su bandeja de entrada no se
saturará con RANCID. =)
Directorios y archivos de particular interés

"CiscoDevices" es un parámetro durante la instalación, por lo que si utiliza un nombre de grupo diferente al
configurar RANCID, el directorio también cambiará en consecuencia.
# El archivo plano donde ingresa la IP / nombre de host del equipo de red del que desea hacer una
copia de seguridad
/usr/local/var/rancid/CiscoDevices/router.db
# La configuración inicial de sus equipos de red y los cambios posteriores

/ usr / local / var / rancid / CVS / CiscoDevices / configs /
# Configuración actual de su equipo de red

/ usr / local / var / rancid / CiscoDevices / configs /
# Archivos de registro RANCID

/ usr / local / var / rancid / logs /
# Archivo de registro - sendmail

/ var / log / maillog
# Archivo de registro - cron

/ var / log / cron
Comandos
# Manualmente ejecute RANCID
/ usr / local / bin / rancid-run
Recursos RANCID
Guía para instalar y configurar RANCID por Bruco: http://uberbruco.wordpress.com/2009/07/09/rancid-on-
freebsd/
Página de inicio de RANCID: http://www.shrubbery.net/rancid/
Espero que esta guía lo ayude a comenzar con su instalación de RANCID.
Compartir este:
 Facebook  Google  Gorjeo  Más
0.00 avg. calificación ( 0 % de puntuación) - 0 votos

15 de octubre de 2013
4 comentarios
Categorías: Sistemas de gestión de red
Etiquetas: configuración de copia de seguridad , freebsd , rancio |
Enlace permanente
Autor: Gos
He estado trabajando en el negocio de TI desde 2003 y he tenido la red y la seguridad como campo de atención
desde 2008.
4 respuestas a una guía para instalar FreeBSD y RANCID

Texto original en
inglés:
1.
Download as PDF
Respuesta
gines 24
Proponer unade junio demejor
traducción 2016 a las 12:25
Hola, estaba buscando información para la configuración de enviar un correo electrónico al día, leí tu
archivo de configuración pero no entiendo cómo se efectuó esta configuración, dices que creas el archivo
pero le indicas a Rancid que ejecute este archivo y no el predefinido para enviar correos electrónicos.
Saludos y gracias
Respuesta
Gos 24 de junio de 2016 a las 14:40
Hola,
Para enviar un correo electrónico todos los días, en lugar de cada hora, puede editar el cronjob para
ejecutar "rancio ejecutar" una vez al día.
El trabajo de correo se desencadena dentro de ejecución ranciada.
El siguiente trabajo cron se ejecuta a las 1600 todos los días.

$ crontab -l
# La configuración de ejecución difiere diariamente
0 16 * * * / usr / local / bin / rancid-run
ps
Espero haber podido responder tu pregunta. =)
-Gos
2.
Respuesta
TAN 30 de mayo de 2017 a las 12:46
Hola Gos
Este ha sido realmente un gran artículo. Gracias por compartir. Me las arreglé para confiugre RANCID y
también pude iniciar sesión en el enrutador con éxito. El propósito de configurarlo fue utilizar rancid.lg
para configurar el espejo. Puedo ejecutar con éxito el script CGIform, pero cuando intento hacer ping, me
da error
[Citar]
Error de espejo:
Debe al menos elegir una consulta y un enrutador. Intenta comprar una pista.
[Unquote]
¿Puedes ayudarme? Estoy tratando de configurar el espejo para los enrutadores Nokia (antiguo Alcatel
Lucent).
Gracias por ayudar
BR
Respuesta
Gos 9 de agosto de 2017 a las 14:29
Hola,
Lo siento por la respuesta tardía. ¿Has logrado resolver este problema?
-Gos
Deja un comentario
Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados *
Comentario
Nombre *
Correo electrónico *
Sitio web
publicar comentario
Notifíqueme de comentarios consecuentes por email.
Notifícame de nuevas entradas por e-mail.
Acerca de NOC
Un blog sobre diversos aspectos de las operaciones de red, principalmente enfocado en la tecnología de Cisco y
Check Point.
Lee mas
Sigue a NetworkOC
Suscríbete al blog por correo electrónico
Ingrese su dirección de correo electrónico para suscribirse a este blog y recibir notificaciones de nuevas
publicaciones por correo electrónico.
Únete a otros 18 suscriptores
Dirección de correo electrónico

Email Address
Suscribir
Categorías
Linux
Sistemas de gestión de red
Enrutamiento
Seguridad
Traspuesta
Herramientas
Sin categoría
Inalámbrico
Nube de etiquetas
acl anti-bot backup configuración cdp certificado punto de verificación cisco Cisco ASA cli
conversión a disco ligero sistema de archivo de expansión FortiGate Fortimanager Fortinet freebsd hardware gaia ia linux controladores de
almacenamiento masivo memoria de memoria consumo Microsoft NAT NAT regla lista nic paquete captura paquete tracer pki prime infraestructura
rancid scripting security power sic splat ssh tcp timeout consejos y trucos upgrade_export vpn cliente win8.1 wireless wlc
WPMU DEV Copyright © 2018 Network Operation Center Volver arriba ↑

RANCID

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

RANCID

Cargado por

Copyright:

Formatos disponibles

5/21/2018 Una guía para instalar FreeBSD y RANCID | Centro de operaciones de red

Centro de operaciones de red

Una guía para instalar FreeBSD y RANCID

Ahora - en la instalación real:

Edite rc.conf para habilitar el FW y para indicarle que ejecute el script

Mi completo etc / rc.conf ahora se ve así:

root @ srv-rancid: / usr / home / rancid # cat /etc/ipfw.sh

Handy commmands con respecto a IPFW

/etc/rc.d/ipfw restart # Reinicia el IPFW y carga el conjunto de reglas desde ipfw.sh

Mi conjunto de reglas ipfw completo se ve así:

root @ srv-rancid: / usr / home / rancid # ipfw list

Registro del firewall

Las reglas de firewall con la palabra clave "log" se escribirán en syslog.

1. Proporciona registros históricos de cambios en el equipo de red

¡Adelante a los pasos!

# portsnap fetch update

3. Instale RANCID a partir de las colecciones de puertos antes mencionadas

# cd / usr / ports / net-mgmt / rancid /

4. Copie /usr/local/etc/rancid/rancid.conf.sample en /usr/local/etc/rancid/rancid.conf.

5. Edita rancid.conf. Cambia y descomenta la siguiente línea.

P: ¿Voy a almacenar nombres de usuario y contraseñas en un archivo de texto sin formato?

agregar usuario 172.10.1.8 admin

agregar el método 172.10.1.8 ssh

He agregado un nombre de usuario para dos dispositivos específicos.

Espero que esto sea comprensible. =)

$ chmod 600 /home/rancid/.cloginrc

$ / usr / local / bin / rancid-run

$ cd / usr / local / var / rancid / CiscoDevices

1 * * * * / usr / local / bin / rancid-run

Directorios y archivos de particular interés

# La configuración inicial de sus equipos de red y los cambios posteriores

# Configuración actual de su equipo de red

# Archivos de registro RANCID

# Archivo de registro - sendmail

# Archivo de registro - cron

Espero que esta guía lo ayude a comenzar con su instalación de RANCID.

 Facebook  Google  Gorjeo  Más

0.00 avg. calificación ( 0 % de puntuación) - 0 votos

4 respuestas a una guía para instalar FreeBSD y RANCID

El siguiente trabajo cron se ejecuta a las 1600 todos los días.

Espero haber podido responder tu pregunta. =)

Gracias por ayudar

Lo siento por la respuesta tardía. ¿Has logrado resolver este problema?

Notifíqueme de comentarios consecuentes por email.

Notifícame de nuevas entradas por e-mail.

Suscríbete al blog por correo electrónico

Únete a otros 18 suscriptores

Dirección de correo electrónico

También podría gustarte