FireWall-1 (Nokia) いざという時に使うかも知れないコマンド

例えば、FireWall-1/Nokia の管理者が突然いなくなった (!) 等の困ったときにお世話になりそうなコマンド類をまとめておきます。

1. IPSO のパスワードリセット
Nokia をシングルユーザモードで起動して、/etc/overpw を実行します。 シングルユーザモードで起動するには、IPSO Boot Manager を使用する方法と IPSO の Boot プロンプトで指定をする方法があります。 起動時に例えば以下のように Boot Manager を起動するか IPSO を起動するかのプロンプトが表示されると思いますので、どちらかを選択します。

1   Bootmgr
2   IPSO
Default: 1

Boot Manager を選んだ場合の操作例を示します。

Starting bootmgr
Loading boot manager..
Loading boot manager..
Boot manager loaded.
Entering autoboot mode.
Type any character to enter command mode. (ここですかさず何かキーを押す)
BOOTMGR[1]> boot /image/current/kernel -s
Booting /dev/wd0f:/image/IPSO-x.x-*****/kernel

IPSO のプロンプトでの操作例を示します。"-s&quot を入力します。

>> IPSO boot
Usage: [[wd(0,f)]/kernel][-abcCdhrsv]
Boot:-s
Booting wd(0,f)/image/IPSO-x.x-*****/kernel

シングルユーザモードで起動後は /etc/overpw を実行し、Ctrl+D を押してマルチユーザモードへ移行します。

Enter pathname of shell or RETURN for sh: (Enter キーを入力)
# /etc/overpw
This program is used to set a temporary admin password when you have
lost the configured password.  You must have booted the machine into
single user mode to run it.  The configured password will be changed.
Please change the temporary password as soon as you log on to your
system through voyager.
Please enter password for user admin: (パスワードを入力)
Please re-enter password for confirmation: (パスワードを入力)
Continue? [n] y
Running fsck...
(略)
Admin password changed.  You may enter ^D to continue booting.
THIS IS A TEMPORARY PASSWORD CHANGE.
PLEASE USE VOYAGER TO CREATE A PERMENANT PASSWORD FOR THE USER ADMIN.
# (Ctrl+D を押す)

2. ライセンスファイルが無いとき
FireWall-1 は動いているものの、インストールしたライセンスファイルが無くなっていて、ライセンス情報のみバックアップしたい、というようなことがあるかも知れません。 このような時にはコマンドラインツール cplic print コマンドを使います。

以下の様に -x オプションでシグネチャつきで既存ライセンスを表示し、表示された情報を保管しておきます。

# cplic print -x
Host             Expiration  Signature                             Features
10.1.2.3         never       ************SIGNATURE***************  cp********* CK-*********

出力されたライセンス情報は cplic put を使って投入可能です。

# cplic put 10.1.2.3 never ************SIGNATURE************** cp********* CK-*********

3. Nokia に telnet や http でアクセスできないとき
Voyager (Nokia の GUI 管理ツール) で設定しようにもアクセスできない、というときはインストールされているファイアーウォールポリシーによりアクセスが拒否されているのかも知れません。 そのようなときは以下のコマンドを Nokia 上で実行することによりポリシーをアンインストールすることができます。

# fw unloadlocal

もちろん、実環境で稼動しているファイアーウォール上で実行してはまずいです。