Añadir una dirección a un grupo existente

[dramos]

Hola, me gustaría poder añadir un dirección ip nueva a un grupo existente con varias direcciones ip. ¿Es necesario poner todas las direcciones ip que pertenecen a ese grupo más la nueva que quiero añadir? En caso de no hacer eso, me sobreescribe las direcciones existentes y deja el grupo formado por la nueva ip, eliminando el resto.

config firewall addrgrp
edit "testGrp"
set member "10.0.204.50"
next
end


Gracias.

[gabyrossi]

hola, porque no lo haces via web ?

creas el objeto adresss con la direccion IP y luego los agregas al grupo con las demas.

saludos

[dramos]

Porque mi objetivo es crear un script para automatizar su uso, sin necesidad de tener que añadir manualmente cada entrada. De tal forma que si quiero añadir una nueva IP mediante el uso de comandos se añada automáticamente.

[Felipe]

Buenas,

siempre que simplemente añadas un miembro al grupo de IPs debería de funcionar. Si el grupo está creado sólo tienes que añadir la nueva IP. Pero vamos lo más sencillo es que realices una prueba.

Saludos.

[dramos]

Hola, si añado la nueva IP mediante comandos, el grupo se actualiza dejando únicamente esta nueva IP y eliminando el resto de direcciones que contenía. Ya he probado todo lo que se me ocurre pero no consigo hacer que se comporte como yo espero. Mi objetivo sigue siendo crear una política que por defecto permita todo el tráfico y que mediante el uso de una lista negra, se puedan añadir nuevas direcciones a bloquear. Todo ello implementando un script, por lo que no es posible que lo haga vía web.

Quizás hay otra solución para que el FW se comporte así. pero no consigo encontrarla.

Gracias, saludos.

[Felipe]

Buenas Dramos,

Tienes razón, utilizando esos comandos sobreescribe todas las IPs del grupo. Pero dispones del siguiente comando:

append member

que utilizado en lugar de set lo añade a las IPs del grupo.

Espero que te sirva de ayuda. Saludos.

[dramos]

Hola Felipe,

El comando que me comentas (append member) no se encuentra disponible en mi FW, no sé si hay que activarlo de alguna forma o simplemente no está disponible en mi dispositivo.

Gracias.

[Felipe]

Buenas,

¿Cuál es el modelo y que versión del firmware tienes? Googleando un poco parece que hay problemas con la versión 5.09 con el tema de los grupos de direcciones.

En mi caso disponemos de un equipo con la 5.4 y otro con la 5.0 y el comando está disponible en ambos, aunque son modelos de gama media alta.

Saludos.

[dramos]

El modelo es un Fortigate 300A y la versión de firmware es v4.0,build0303,101214 (MR2 Patch 3). No tengo licencia puesto que es un dispositivo algo antiguo.

Gracias.

[dramos]

Finalmente lo he solucionado de otra forma.

He creado políticas cuyo id sea la IP quitándole los puntos y en caso de superar el máximo de ID de política recursivamente le restaba ese máximo hasta que fuera menor del máximo.
Tras crear la política la movía para que fuera anterior a la política que acepta todo, que en mi caso tenía el id 1. Y así me hace lo que quería.

Gracias por vuestra ayuda. Un saludo.