Eine generelle Zugriffsmöglichkeit via SSH (Konsolenzugriff) ist per Default als Schutz vor dem eigenen Ausperren aktiviert, kann aber per Konfiguration (s.u.) deaktiviert werden. Gleiches gilt für ICMP (aka "Ping") für eine schnelle Überprüfung der grundsätzlichen Erreichbarkeit im LAN.
Die Kommunikation der CCU nach außen (Senden von Mails, Push-Nachrichten, Download von Firmware-Updates etc.pp.) ist ohne weiteres Zutun gewährleistet.
Die folgende Anleitung ist für das aktuelle Paket CCU-Protect v4.71 gültig.
Installation
Das Paket wird, wie nachfolgend beschrieben, zunächst auf die CCU3 kopiert und erst dort entpackt.
- Das Paket nicht unter Windows entpacken, hierbei würden die (Linux-)Dateirechte verloren gehen.
- Die Verwendung des Pfades /usr/local/addons/ccu-protect/ ist im Rahmen dieser Anleitung obligatorisch.
- Das Paket nach /usr/local/addons/ kopieren.
Code: Alles auswählen
cd /usr/local/addons/
Code: Alles auswählen
tar xvfz ccu-protect-4.71.tar.gz
Update von CCU-Protect v4.xx auf CCU-Protect v4.71
Mittels nachfolgend beschriebener Vorgehensweise wird lediglich das mitgelieferte Skript installiert. Die im Installationsverzeichnis vorhandene Konfigurationsdatei (ccu-protect.conf) bleibt unberührt.
Für den nachfolgenden Punkt 1 kann z.B. WinSCP, für die Punkte 2 und 3 kann z.B. PuTTY verwendet werden.
- Das Paket nach /usr/local/addons/ kopieren.
Code: Alles auswählen
cd /usr/local/addons/
Code: Alles auswählen
tar xvfz ccu-protect-4.71.tar.gz ccu-protect/ccu-protect.sh
Upgrade von CCU-Protect v.2xx und v3.xx auf CCU-Protect v4.xx
Die Übernahme der Konfiguration von alten CCU-Protect-Installationen (v.2xx und v3.xx: firewall.conf) in die neue Konfigurationsdatei (ccu-protect.conf) ist problemlos möglich. Es ist jedoch darauf zu achten, dass die getätigten Einstellungen nun zwingend in einfachen (halben) Anführungszeichen einzufassen sind. Siehe hierzu das Beispiel im nachfolgenden Beitrag (Abschnitt "CCU-Protect Config").
Eventuell vorhandene WebUI-Programme und (HM-)Skripte, welche ältere Versionen von CCU-Protect mittels firewall_enable.sh und firewall_disable.sh aktiviert bzw. deaktiviert haben, müssen gemäß der folgenden Abschnitte "CCU-Protect aktivieren" und "CCU-Protect deaktivieren" entsprechend angepasst werden.
Die aktuelle Version von CCU-Protect (v4.xx) besteht lediglich aus den Dateien ccu-protect.sh und ccu-protect.conf. Nach dem Upgrade können eventuell noch vorhandene Dateien von alten CCU-Protect-Versionen (v.2xx und v3.xx), aus dem Installationsverzeichnis /usr/local/addons/ccu-protect/ entfernt werden.
Konfiguration
Vorbereitend bitte nachfolgende Punkte beachten und erledigen:
- In der CCU ist eine Systemvariable namens Firewall (Zeichenkette) anzulegen.
- Geräte, die Zugriff auf die CCU erhalten, sollten eine feste IP-Adresse erhalten (Reservierung per DHCP).
- Alternativ können (zusätzlich oder ausschließlich) auch die MAC-Adressen der Geräte verwendet werden.
- Die Datei /usr/local/addons/ccu-protect/ccu-protect.conf editieren.
- Die Konfigurationsdatei ist gut kommentiert und sollte somit selbsterklärend sein.
- Im Zweifelsfall bitte vor der Aktivierung von CCU-Protect hier im Thread nachfragen.
CCU-Protect aktivieren
CCU-Protect wird durch Ausführung des nachfolgenden HM-Skripts aktiviert. Ein zugehöriges WebUI-Programm kann beispielsweise mittels virtuellem Taster oder automatisch nach CCU-Start erfolgen.
Code: Alles auswählen
! CCU-Protect aktivieren
!-----------------------------------------------------------------------------------------------------------------------
system.Exec("/usr/local/addons/ccu-protect/ccu-protect.sh --enable &");
CCU-Protect deaktivieren
CCU-Protect wird durch Ausführung des nachfolgenden HM-Skripts deaktiviert, gleichzeitig wird die original CCU-Firewall wieder aktiviert.
Code: Alles auswählen
! CCU-Protect deaktivieren
!-----------------------------------------------------------------------------------------------------------------------
system.Exec("/usr/local/addons/ccu-protect/ccu-protect.sh --disable &");
Backup
CCU-Protect und dessen Konfiguration sind ohne weiteres Zutun Bestandteil des System-Backups der CCU.
Verteiler
Falls das kostenlos erhältliche Paket für jemanden von Interesse sein sollte, einfach eine PN an mich richten:
- Bitte in jedem Fall angeben welche Zentrale verwendet wird und welche Firmware-Version installiert ist.
- Die Antwort-PN bitte innerhalb von 24 Stunden abholen.
Ich hoffe, dass die Leute, die das Thema CCU-Protect angehen möchten, mit den Hinweisen zur Installation und Konfiguration zurechtkommen. Netzwerkkenntnisse und eine bedachte, saubere Konfiguration sind erforderlich. Jegliche Haftung ist ausgeschlossen!