Un post algo más técnico para inaugurar el miércoles técnico (MT) que últimamente está esto muy filosófico (que tampoco está mal pero en la diversidad está la virtud).

Los cortafuegos Palo Alto (muy de moda últimamente, no entremos si mejores o peores, bla bla bla) permiten realizar pruebas sobre las reglas desde la línea de comando entrando por ssh. Esto permite probar sin necesidad de tener que generar tráfico real, lo cual viene muy bien para comprobar reglas, solventar incidencias, etc.

Sin embargo, es un poco coñazo por varias razones:

  • Tienes que escribir un chorizo directamente en la línea de comando cada vez
  • Si quieres repetir más adelante (por ejemplo, después de un commit) tienes que volver a escbirilo
  • Si quieres probar varias reglas, tienes que ir una a una

Lo ideal sería poder tener un fichero con las pruebas que quieres hacer, lanzarlo de golpe, ver los resultados, hacer cambios, añadir pruebas o lo que sea, y poder volver a lanzarlo. Y cuando se realicen cambios, poder comprobar como afectan a estas pruebas.

Para eso, os incluyo aquí este pequeño script en expect que permite tener en un fichero las pruebas a realizar, se conecta por ssh y automáticamente lanza las pruebas que haya definidas. Si tenéis clave ssh, mejor. Si no, podéis descomentar las líneas para introducir la contraseña.

Instrucciones sobre cómo usarlo las podéis ver en el propio script.

Espero que os sirva para algo a los que tengáis cortafuegos Palo Alto.

Happy testing!