2019-11-03 22:23 (Ultima actualización: 2023-04-11 09:04)
Palo Alto NGN Firewalls - Configuración inicial por comandos
En el último post relacionado con los cortafuegos PA NGN hicimos un recorrido por los pasos iniciales para conseguir conectividad con nuestro dispositivo. Asumimos que nos conectamos al cortafuegos usando el puerto MGMT y accedimos a su dirección IP por defecto usando el navegador web.
Esto no estaría completo si no pasamos a la CLI. Puro, sólo texto, para badasses. Así que veamos cómo configurarlo usándolo. Por supuesto asumiremos que ya tenemos nuestro firewall encendido, estamos conectados usando el puerto de consola fuera de banda y el enlace está establecido -recuerda 9600-N-1.
Los pasos que se muestran a continuación son exactamente los mismos, con el pequeño detalle de que estoy configurando una VM de Palo Alto Firewall ejecutándose en la plataforma QEMU. Así que olvídate del mensaje promt y ve al grano, es decir, a los comandos.
Después de iniciar sesión con las credenciales por defecto, vamos a disparar un comando show para obtener la configuración actual del puerto MGMT.
show interface management
Nos devuelve:
Podemos ver que una dirección IP ya está configurada. En este caso mi VM está conectada a una VLAN que tiene un ámbito DHCP y el firewall obtuvo una dirección IP de él. En caso de que no haya DHCP disponible, mostrará la dirección IP por defecto que vimos en el último post 192.168.1.1.
Si queremos cambiarla, y ajustar nuestro firewall para que sea alcanzable en nuestra red, tenemos que disparar los siguientes comandos:
configure
Para entrar en modo de configuración:
Y luego primero especificar que vamos a utilizar una configuración estática. Esto es importante, si no introducimos esto, el cambio no tendrá ningún efecto después de la confirmación, así que por favor preste atención aquí y recordar lo importante que es:
set deviceconfig system type static
Ahora podemos establecer nuestros parámetros:
set deviceconfig system ip-address [mgmt ip address] netmask [mgmt network mask]
set deviceconfig system default-gateway [default gateway]
set deviceconfig system dns-settings servers primary [DNS server 1] secondary [DNS server 2]
Y commit :
Ahora, una vez más olvídate de ese mensaje que dice que hay un conflicto. Eso es en mi entorno y no debería importar en el tuyo, así que puedes supervisarlo.
Veamos si se aplicaron los cambios:
Ya tenemos nuestro cortafuegos de Palo Alto listo para conectarse a la subred de gestión y acceder a la WebGUI para continuar con la configuración.