Перейти к содержанию

Команды

Глобальные команды межсетевого экрана#

Команда Описание команды
system conntrack protocols sip Установка параметров подсистемы отслеживания состояний соединений для протокола SIP.
system conntrack expect-table-size <размер> Установка ожидаемого количества отслеживаемых подключений для сетевого фильтра.
system conntrack table-size <размер> Установка размера таблицы отслеживания подключений для сетевого фильтра.
system conntrack tcp-loose <состояние> Указание необходимости отслеживания ранее установленных подключений для фильтрации трафика с поддержкой состояния.

Команды межсетевого экрана IPv4. Команды для интерфейса#

Команда Описание команды
interfaces <интерфейс> policy <направление> firewall <имя_политики> Применение политики межсетевого экранирования IPv4 к определенному интерфейсу.

Команды межсетевого экрана IPv4. Системные настройки#

Команда Описание команды
system ip all-ping <состояние> Включение или выключение ответа на эхо-запрос IPv4 ICMP (ping).
system ip broadcast-ping <состояние> Включение или выключение ответа на широковещательные эхо-запросы IPv4 ICMP и запросы метки времени.
system ip log-martians <состояние> Регистрация пакетов с недопустимыми адресами.
system ip receive-redirects <состояние> Обработка сообщений IPv4 ICMP о перенаправлении (тип 5).
system ip send-redirects <состояние> Отправка сообщений IPv4 ICMP о перенаправлении (тип 5).
system ip source-route <состояние> Обработка пакетов с опциями IP гибкой маршрутизации от источника (Loose Source Route) или жесткой маршрутизации от источника (Strict Source Route)
system ip source-validation <состояние> Отправка сообщений IPv4 ICMP о перенаправлении (тип 5).
system ip syn-cookies <состояние> Определение политики для проверки отправителя на основе обратного пути, как определено в RFC 3704.

Команды межсетевого экрана IPv4. Группы фильтрации#

Команда Описание команды
groups Определение группы объектов для ссылки в правилах политики межсетевого экранирования.
groups address-group <имя_группы> Определение группы IP-адресов для ссылки в правилах политики межсетевого экранирования.
groups address-group <имя_группы> named-list <список> Указание именованного внешнего списка IP-адресов.
groups domain-group <имя_группы> Определение группы доменов для ссылки в правилах политики межсетевого экранирования.
groups domain-group <имя_группы> named-list <список> Указание именованного внешнего списка доменов.
groups network-group <имя_группы> Определение группы сетей для ссылки в правилах политики межсетевого экранирования.
groups port-group <имя_группы> Определение группы портов для ссылки в правилах политики межсетевого экранирования.
groups port-group <имя_группы> named-list <список> Указание именованного внешнего списка портов.
groups user-group <имя_группы> Определение группы пользователей для ссылки в правилах политики межсетевого экранирования.

Команды межсетевого экрана IPv4. Правила и наборы правил (политики межсетевого экранирования)#

Команда Описание команды
policy firewall <имя_политики> Определение политики межсетевого экранирования IPv4.
policy firewall <имя_политики> default-action <действие> Установка действия по умолчанию для политики межсетевого экранирования IPv4.
policy firewall <имя_политики> description <описание> Указание краткого описания для политики межсетевого экранирования IPv4.
policy firewall <имя_политики> enable-default-log Включение регистрации событий действия по умолчанию.
policy firewall <имя_политики> rule <номер_правила> Определение правила в политике межсетевого экранирования IPv4.
policy firewall <имя_политики> rule <номер_правила> action <действие> Указание действия, которое будет применяться к пакетам, для которых было установлено соответствие правилу.
policy firewall <имя_политики> rule <номер_правила> description <описание> Указание краткого описания для правила в политике межсетевого экранирования IPv4.
policy firewall <имя_политики> rule <номер_правила> log <состояние> Включение/выключение регистрации событий фильтрации трафика для указанного правила указанной политики.
policy firewall <имя_политики> rule <номер_правила> match filter <фильтр> Задание фильтра, который будет использоваться для выборки пакетов для указанного правила указанной политики.

Команды межсетевого экрана IPv4. Эксплуатационные команды#

Команда Описание команды
policy clear firewall <имя_политики> Очистка статистики для политики межсетевого экранирования.
policy clear firewall <имя_политики> rule <номер_правила> Очистка статистики для указанного правила политики межсетевого экранирования.
policy clear firewall <имя_политики> rule <номер_правила> filter Очистка статистики для фильтра, связанного с указанным правилом политики межсетевого экранирования IPv4-трафика.
policy clear firewall <имя_политики> rule <номер_правила> filter rule <номер_правила_фильтра> Очистка статистики для указанного правила фильтра, связанного с указанным правилом политики межсетевого экранирования IPv4-трафика.
policy show firewall <имя_политики> Вывод сведений и статистики для указанной политики межсетевого экранирования IPv4-трафика.
policy show firewall <имя_политики> rule <номер_правила> Вывод сведений и статистики для указанного правила политики межсетевого экранирования Ipv4-трафика.
policy show firewall <имя_политики> rule <номер_правила> filter Вывод сведений и статистики по фильтру для указанного правила политики межсетевого экранирования IPv4.
named-list <тип_списка> export <имя_списка> to <имя_файла> Экспорт именованных списков.
named-list <тип_списка> import <имя_списка> from <имя_файла> Импорт именованных списков.
named-list <тип_списка> remove <имя_списка> Удаление именованных списков.
named-list <тип_списка> show Отображение перечня именованных списков определенного типа, присутствующих в системе.

Команды межсетевого экрана IPv6. Команды для интерфейса#

Команда Описание команды
interfaces <интерфейс> policy <направление> firewall-ipv6 <имя_политики> Применение экземпляра межсетевого экрана IPv6 к определенному интерфейсу

Команды межсетевого экрана IPv6. Системные настройки#

Команда Описание команды
system ipv6 receive-redirects <состояние> Обработка сообщений IPv6 ICMP о перенаправлении.
system ipv6 source-route <состояние> Обработка пакетов IPv6 с расширенным заголовком маршрутизации.

Команды межсетевого экрана IPv6. Правила и наборы правил (политики межсетевого экранирования)#

Команда Описание команды
policy firewall-ipv6 <имя_политики> Определение политики межсетевого экранирования IPv6.
policy firewall-ipv6 <имя_политики> default-action <действие> Установка действия по умолчанию для политики межсетевого экранирования IPv6.
policy firewall-ipv6 <имя_политики> description <описание> Указание краткого описания для политики межсетевого экранирования IPv6.
policy firewall-ipv6 <имя_политики> enable-default-log Регистрация событий для действия по умолчанию указанной политики межсетевого экранирования
policy firewall-ipv6 <имя_политики> rule <номер_правила> Определение правила в политике межсетевого экранирования IPv6.
policy firewall-ipv6 <имя_политики> rule <номер_правила> action <действие> Указание действия, которое будет применяться к пакетам, для которых было установлено соответствие правилу.
policy firewall <имя_политики> rule <номер_правила> description <описание> Указание краткого описания для правила в политике межсетевого экранирования IPv6.
policy firewall-ipv6 <имя_политики> rule <номер_правила> log <состояние> Включение/выключение регистрации событий фильтрации трафика IPv6 для указанного правила указанной политики.
policy firewall-ipv6 <имя_политики> rule <номер_правила> match filter-ipv6 <фильтр> Задание фильтра IPv6, который будет использоваться для выборки пакетов для указанного правила указанной политики IPv6.

Команды межсетевого экрана IPv6. Эксплуатационные команды#

Команда Описание команды
policy clear firewall-ipv6 <имя_политики> Очистка статистики для политики межсетевого экранирования IPv6.
policy clear firewall-ipv6 <имя_политики> rule <номер_правила> Очистка статистики политики межсетевого экранирования IPv6-трафика.
policy clear firewall-ipv6 <имя_политики> rule <номер_правила> filter Очистка статистики для фильтра, связанного с указанным правилом политики межсетевого экранирования IPv6-трафика.
policy clear firewall-ipv6 <имя_политики> rule <номер_правила> filter rule <номер_правила_фильтра> Очистка статистики по указанному правилу фильтра, связанного с указанным правилом политики межсетевого экранирования IPv6-трафика.
policy show firewall-ipv6 <имя_политики> Вывод сведений и статистики для указанной политики межсетевого экранирования IPv6-трафика.
policy show firewall-ipv6 <имя_политики> rule <номер_правила> Вывод сведений и статистики для указанного правила политики межсетевого экранирования IPv6-трафика.
policy show firewall-ipv6 <имя_политики> rule <номер_правила> filter Вывод сведений и статистики по фильтру для указанного правила политики межсетевого экранирования IPv6.

system conntrack protocols sip#

Установка параметров подсистемы отслеживания состояний соединений для протокола SIP.

Синтаксис#
1
2
3
set system conntrack protocols sip [enable-indirect-media | enable-indirect-signalling | port <порт>]
delete system conntrack protocols sip [enable-indirect-media | enable-indirect-signalling | port]
show system conntrack protocols sip [port]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
system {
   conntrack {
      protocols {
         sip {
            enable-indirect-media
            enable-indirect-signalling
            port порт
         }
      }
   }
}
Параметры#

enable-indirect-media

Поддержка непрямых медийных потоков

enable-indirect-signalling

Поддержка непрямых сигнальных соединений

port

Задать номера порта, обрабатывающего трафик SIP. Требует ввода обязательного параметра порт.

порт

Номер порта, обрабатывающего трафик SIP.

Значение по умолчанию#

Не установлено.

Указания по использованию#

Эта команда используется для работы с параметрами подсистемы отслеживания состояний соединений для протокола SIP.

Форма set этой команды используется для изменения параметров подсистемы отслеживания состояний соединений для протокола SIP.

Форма delete этой команды используется для восстановления значения, принятого по умолчанию.

Форма show этой команды используется для просмотра настройки.

system conntrack expect-table-size <размер>#

Установка количества ожидаемых связанных подключений для сетевого фильтра.

Синтаксис#
1
2
3
set system conntrack expect-table-size <размер>
delete system conntrack expect-table-size
show system conntrack expect-table-size
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
system {
   conntrack {
      expect-table-size размер
   }
}
Параметры#

размер

Ожидаемое количество отслеживаемых связанных (related) подключений. Диапазон значений от 1 до 50 000 000.

Значение по умолчанию#

Ожидаемое количество отслеживаемых связанных (related) соединений, установленное по умолчанию, зависит от размера оперативной памяти устройства и определяется по формуле <размер_оперативной_памяти_кб>/192.

Указания по использованию#

Эта команда используется для указания ожидаемого количества отслеживаемых связанных (related) подключений для сетевого фильтра.

Форма set этой команды используется для изменения ожидаемого количества отслеживаемых подключений.

Форма delete этой команды используется для восстановления значения, принятого по умолчанию.

Форма show этой команды используется для просмотра настройки.

system conntrack table-size <размер>#

Установка максимального количества отслеживаемых подключений для сетевого фильтра.

Синтаксис#
1
2
3
set system conntrack table-size <размер>
delete system conntrack table-size
show system conntrack table-size
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
system {
   conntrack {
      table-size размер
   }
}
Параметры#

размер

Максимальное количество отслеживаемых подключений. Диапазон значений от 1 до 50 000 000.

Значение по умолчанию#

Максимальное количество отслеживаемых соединений, установленное по умолчанию, зависит от размера оперативной памяти устройства и определяется по формуле <размер_оперативной_памяти_кб>/3.

Указания по использованию#

Эта команда используется для указания максимального количества отслеживаемых подключений для сетевого фильтра. Таблица отслеживания подключений для сетевого фильтра служит для отслеживания состояния сетевых подключений и потоков трафика, позволяя системе соотносить их для обеспечения фильтрации трафика с поддержкой состояния.

Форма set этой команды используется для изменения максимального количества отслеживаемых подключений.

Форма delete этой команды используется для восстановления значения, принятого по умолчанию.

Форма show этой команды используется для просмотра настройки.

system conntrack tcp-loose <состояние>#

Указание необходимости отслеживания ранее установленных подключений для фильтрации трафика с поддержкой состояния.

Синтаксис#
1
2
3
set system conntrack tcp-loose <состояние>
delete system conntrack tcp-loose
show system conntrack tcp-loose
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
system {
   conntrack {
      tcp-loose состояние
   }
}
Параметры#

cостояние

Указание режима обработки ранее установленных соединений. Допустимые значения:

  • enable: в системе разрешена обработка ранее установленных подключений;
  • disable: в системе не разрешена обработка ранее установленных подключений.
Значение по умолчанию#

Обработка ранее установленных подключений разрешена.

Указания по использованию#

Эта команда используется для указания необходимости применения глобального отслеживания TCP, которая позволяет использовать ранее установленные подключения в фильтрации трафика с поддержкой состояния. При фильтрации трафика с поддержкой состояния система запоминает состояние новых потоков данных, авторизованных из доверенной сети. Если включено глобальное отслеживание подключений TCP, система разрешает прохождение потоков трафика, установленных до отслеживания; если оно отключено, система отклоняет эти потоки.

Форма set этой команды используется для указания необходимости разрешения или отклонения ранее установленных подключений.

Форма delete этой команд используется для восстановления поведения по умолчанию.

Форма show этой команды используется для просмотра настройки глобального отслеживания TCP.

interfaces <интерфейс> policy <направление> firewall <имя_политики>#

Применение политики межсетевого экранирования к определенному интерфейсу.

Синтаксис#
1
2
3
set interfaces <интерфейс> policy <направление>  firewall <имя_политики>
delete interfaces <интерфейс> policy <направление>  firewall <имя_политики>
show interfaces <интерфейс> policy <направление>  firewall <имя_политики>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
interfaces интерфейс {
   policy {
      направление {
         firewall имя_политики
      }
   }
}
Параметры#

интерфейс

Обязательный. Тип интерфейса. Ключевые слова и аргументы, которые могут быть указаны, приведены в таблице ниже в разделе указания по использованию.

направление

Обязательный. Направление трафика, к которому применяется политика межсетевого экранирования. Допустимые значения указаны в таблице ниже:

Значение Описание
in Транзитный трафик, принимаемый на указанном интерфейсе
out Транзитный трафик, отправляемый с указанного интерфейса
local Трафик, принятый на интерфейсе, предназначенный для локальной системы.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет применить политику межсетевого экранирования к интерфейсу.

Фильтрация транзитного трафика или трафика, предназначенного для локальной системы, не осуществляется до тех пор, пока политика межсетевого экранирования не будет применена к интерфейсу (реальному или виртуальному) с использованием данной команды.

Для включения межсетевого экранирования следует определить политику с помощью команды policy firewall. Затем следует применить политику к интерфейсам и/или виртуальным интерфейсам, используя данную команду. После чего указанная политика межсетевого экранирования будет функционировать в качестве пакетного фильтра.

На каждом интерфейсе можно применить до трех политик межсетевого экранирования: одну как фильтр транзитного трафика, принимаемого на интерфейсе (in), одну – как фильтр транзитного трафика, покидающего интерфейс (out) и одну – как фильтр трафика, предназначенного для локальной системы (local).

В приведенной ниже таблице показаны типы поддерживаемых интерфейсов и cинтаксис.

Тип интерфейса Синтаксис
Агрегирование каналов bonding bondx
Виртуальный интерфейс агрегированных каналов bonding bondx vif идентификатор_vlan
Сетевой мост bridge brx
Ethernet ethernet ethx
Ethernet PPPoE ethernet ethx pppoe номер
Виртуальный интерфейс Ethernet ethernet ethx vif идентификатор_vlan
Ethernet Vif PPPoE ethernet ethx vif идентификатор_vlan pppoe номер
Интерфейс заглушки loopback lo
Многоканальная связь multilink mlx
OpenVPN openvpn vtunx
Псевдо-Ethernet pseudo-ethernet pethx
Последовательный интерфейс serial srx vif идентификатор_vlan
Туннель tunnel tunx

Форма set данной команды позволяет применить политику межсетевого экранирования к интерфейсу.

Форма delete данной команды позволяет удалить политику межсетевого экранирования для интерфейса.

Форма show данной команды используется для отображения конфигурации политики межсетевого экранирования на интерфейсе.

system ip all-ping <состояние>#

Включение или выключение обработки ответа на эхо-запросы IPv4 ICMP (ping).

Синтаксис#
1
2
3
set system ip all-ping <состояние>
delete system ip all-ping
show system ip all-ping
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
system ip {
   all-ping состояние
}
Параметры#

состояние

Параметр обработки ответов на эхо-запросы IPv4 ICMP. Допустимые значения:

  • enable: система будет обрабатывать эхо-запросы IPv4 ICMP;
  • disable: система не будет обрабатывать эхо-запросы IPv4 ICMP.
Значение по умолчанию#

По умолчанию разрешена обработка эхо-запросов IPv4 ICMP.

Указания по использованию#

Данная команда позволяет разрешить или запретить обработку эхо-запросов IPv4 ICMP (ping).

Действие распространяется на все типы таких сообщений: одноадресные, широковещательные или многоадресные. Эхо-запросы IPv4 ICMP позволяют проверить доступность устройства для локальной системы. Такие сообщения часто запрещают, так как они могут быть использованы для проведения атак отказа в обслуживании (Denial of Service (DoS) attacks).

Форма set данной команды используется для включения или отключения ответов на эхо-запросы IPv4 ICMP.

Форма delete данной команды используется для восстановления значения, принятого по умолчанию.

Форма show данной команды используется для отображения настройки обработки эхо-запросов IPv4 ICMP.

system ip broadcast-ping <состояние>#

Включение или выключение ответа на широковещательные эхо-запросы IPv4 ICMP и запросы метки времени.

Синтаксис#
1
2
3
set system ip broadcast-ping <состояние>
delete system ip broadcast-ping
show system ip broadcast-ping
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
system ip {
   broadcast-ping состояние
}
Параметры#

состояние

Параметр обработки ответов на широковещательные эхо-запросы IPv4 ICMP и запросы метки времени. Допустимые значения:

  • enable: система будет обрабатывать широковещательные эхо-запросы IPv4 ICMP и запросы метки времени;
  • disable: система не будет обрабатывать широковещательные эхо-запросы IPv4 ICMP и запросы метки времени.
Значение по умолчанию#

По умолчанию эхо-запросы IPv4 ICMP и запросы метки времени не обрабатываются.

Указания по использованию#

Данная команда позволяет разрешить или запретить обработку широковещательных эхо-запросов IPv4 ICMP и широковещательных запросов метки времени IPv4 ICMP.

Эхо-запросы IPv4 ICMP позволяют проверить доступность устройства для локальной системы. Эхо-запросы ICMP, особенно широковещательные, часто запрещают, так как они могут быть использованы для проведения атак отказа в обслуживании (Denial of Service (DoS) attacks). Запрос метки времени позволяет запросить текущую дату и время у другого устройства. Широковещательные запросы метки времени также часто запрещают, так как они могут использоваться для проведения атак отказа в обслуживании, а также из-за того, что они позволяют злоумышленнику узнать дату и время, установленное на устройстве.

Форма set данной команды позволяет указать, следует ли отвечать на широковещательные эхо-запросы ICMP IPv4 и запросы метки времени.

Форма delete данной команды используется для восстановления поведения по умолчанию для обработки таких сообщений.

Форма show данной команды используется для отображения настройки.

system ip log-martians <состояние>#

Регистрация пакетов с недопустимыми адресами.

Синтаксис#
1
2
3
set system ip log-martians <состояние>
delete system ip log-martians
show system ip log-martians
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
system ip {
   log-martians состояние
}
Параметры#

состояние

Параметр регистрации пакетов с недопустимыми адресами. Допустимые значения:

  • enable: система будет регистрировать пакеты с недопустимыми адресами;
  • disable: система не будет регистрировать пакеты с недопустимыми адресами.
Значение по умолчанию#

Регистрация сетевых пакетов с недопустимыми адресами включена.

Указания по использованию#

Данная команда позволяет включить или отключить регистрацию в журнале пакетов с недопустимыми адресами.

Форма set данной команды позволяет включить или выключить регистрацию пакетов с недопустимыми адресами.

Форма delete данной команды позволяет восстановить поведение по умолчанию для регистрации пакетов с недопустимыми адресами.

Форма show данной команды используется для отображения настройки.

system ip receive-redirects <состояние>#

Обработка полученных пакетов перенаправлений IPv4 ICMP (тип 5).

Синтаксис#
1
2
3
set system ip receive-redirects <состояние>
delete system ip receive-redirects
show system ip receive-redirects
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
system ip {
   receive-redirects состояние
}
Параметры#

состояние

Параметр обработки полученных пакетов перенаправлений IPv4 ICMP (тип 5). Допустимые значения:

  • enable: система будет обрабатывать полученные пакетов перенаправлений IPv4 ICMP (тип 5);
  • disable: система не будет обрабатывать полученные пакеты перенаправлений IPv4 ICMP (тип 5).
Значение по умолчанию#

По умолчанию обработка полученных пакетов перенаправлений IPv4 ICMP (тип 5) не производится.

Указания по использованию#

Данная команда позволяет разрешить или запретить прием сообщений IPv4 ICMP о перенаправлении (тип 5). Сообщения ICMP о перенаправлении могут позволить произвольному отправителю подделывать пакеты и изменять системную таблицу маршрутизации. Таким образом, система может быть уязвима по отношению к атаке "человек посередине".

Форма set позволяет разрешить или запретить прием сообщений IPv4 ICMP о перенаправлении.

Форма delete используется для удаления установленного значения.

Форма show данной команды используется для отображения установленного значения.

system ip send-redirects <состояние>#

Обработка исходящих пакетов IPv4 ICMP о перенаправлении (тип 5).

Синтаксис#
1
2
3
set system ip send-redirects <состояние>
delete system ip send-redirects
show system ip send-redirects
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
system ip {
   send-redirects состояние
}
Параметры#

состояние

Параметр обработки исходящих пакетов перенаправлений IPv4 ICMP. Допустимые значения:

  • enable: сстема будет посылать пакеты перенаправлений IPv4 ICMP (тип 5);
  • disable: система не будет посылать пакеты перенаправлений IPv4 ICMP (тип 5).
Значение по умолчанию#

По умолчанию отправка пакетов перенаправлений IPv4 ICMP (тип 5) разрешена.

Указания по использованию#

Данная команда позволяет разрешить или запретить отправку сообщений IPv4 ICMP о перенаправлении. Отправка сообщений redirect потенциально может изменить таблицу маршрутизации узла или маршрутизатора, которому предназначено сообщение.

Форма set данной команды позволяет разрешить или запретить отправку сообщений IPv4 ICMP о перенаправлении.

Форма delete данной команды позволяет удалить указанное значение.

Форма show позволяет отобразить указанное значение.

system ip source-route <состояние>#

Обработка пакетов с опциями IP гибкой маршрутизации от источника (Loose Source Route) или жесткой маршрутизации от источника (Strict Source Route).

Синтаксис#
1
2
3
set system ip source-route <состояние>
delete system ip source-route
show system ip source-route
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
system ip {
   source-route состояние
}
Параметры#

состояние

Параметр обработки пакетов с опциями IP маршрутизации от источника. Допустимые значения:

  • enable: система будет обрабатывать пакеты с установленными опциями IP маршрутизацией от источника;
  • disable: система не будет обрабатывать пакеты с установленными опциями IP маршрутизацией от источника.
Значение по умолчанию#

По умолчанию пакеты с установленными опциями IP маршрутизацией от источника не обрабатываются.

Указания по использованию#

Данная команда позволяет разрешить или запретить пакеты с установленными опциями гибкой или жесткой маршрутизации от источника.

Маршрутизация от источника разрешает приложениям указать один или несколько промежуточных адресов получателя для исходящих пакетов в обход таблицы маршрутизации. Данная возможность в некоторых случаях используется для выявления неисправностей, но делает сеть уязвимой к атакам, при которых сетевой трафик перенаправляется через централизованную точку записи трафика.

Форма set данной команды позволяет запретить или разрешить обработку опций IP маршрутизации от источника.

Форма delete данной команды используется для восстановления поведения по умолчанию для обработки опций маршрутизации от источника.

Форма show данной команды используется для отображения настройки.

system ip source-validation <состояние>#

Определение политики для проверки отправителя на основе обратного пути, как определено в RFC 3704.

Синтаксис#
1
2
3
set system ip source-validation <состояние>
delete system ip source-validation
show system ip source-validation
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
system ip {
   source-validation состояние
}
Параметры#

состояние

Параметр определения политики проверки пакетов отправителя на основе обратного пути. Допустимые значения представлены в таблице ниже.

Значение Описание
disable Проверка отправителя на основе обратного пути не производится.
loose Используется пересылка по гибкому обратному пути (Loose Reverse Path Forwarding), как определено в RFC3704.
strict Используется пересылка по жесткому обратному пути (Strict Reverse Path Forwarding), как определено в RFC3704.
Значение по умолчанию#

По умолчанию проверка отправителя на основе обратного пути не производится.

Указания по использованию#

Данная команда используется для определения политики для проверки отправителя на основе обратного пути, как определено в RFC3704.

Форма set данной команды используется для указания политики проверки отправителя на основе обратного пути, как указано в RFC3704.

Форма delete данной команды позволяет удалить установленное значение.

Форма show позволяет отобразить установленное значение.

system ip syn-cookies <состояние>#

Использование определенного способа формирования номера последовательности TCP SYN для предотвращения атак SYN-flood (одна из разновидностей сетевых атак отказа в обслуживании, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий период времени).

Синтаксис#
1
2
3
set system ip syn-cookies <состояние>
delete system ip syn-cookies
show system ip syn-cookies
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
system ip {
   syn-cookies состояние
}
Параметры#

состояние

Параметр использования определенного способа формирования номера последовательности TCP SYN. Допустимые значения:

  • enable: включение механизма предотвращения атак, на основе формирования определенного номера последовательности;
  • disable: отключение механизма предотвращения атак, на основе формирования определенного номера последовательности.
Значение по умолчанию#

По умолчанию механизм предотвращения атак, на основе формирования определенного номера последовательности включен.

Указания по использованию#

Данная команда позволяет включить или отключить механизм предотвращения атак, на основе формирования определенного номера последовательности. Включение данной опции позволит защитить систему от атак отказа в обслуживании, заключающихся в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в короткий срок. При установлении соединения TCP, отправитель посылает пакет SYN (синхронизация). Получатель возвращает пакет SYN ACK (подтверждение синхронизации). После чего отправитель посылает пакет ACK (подтверждение), и соединение считается установленным. Данная последовательность действий называется “тройным рукопожатием TCP”.

После того как получатель отправляет пакет SYN ACK, соединение добавляется в очередь для соединений, ожидающих окончания установления. Злоумышленник может заполнить очередь подключений поддельными пакетами TCP SYN, от различных IP-адресов. После того как очередь подключений будет полностью заполнена, произойдет отказ в обслуживании сервисов TCP.

При включении этой опции вместо добавления соединения в очередь для соединений, получатель отправляет пакет SYN ACK с номером последовательности, созданным по определенному алгоритму, использующему криптографическую хеш-функцию от IP-адреса отправителя, номера порта и других сведений. Пакет ACK, который присылает в ответ отправитель включает в себя этот номер последовательности, который затем проверяется получателем. Таким образом, получатель выделяет память только при получении третьего пакета «рукопожатия TCP», а не после первого, как происходит обычно. Однако, следует учесть, что используемая криптографическая хеш-функция требует выделения ресурсов системы, и в том случае если ожидается большое количество входящих подключений, следует использовать эту опцию с осторожностью.

Форма set данной команды позволяет включить или отключить механизма предотвращения атак, на основе формирования определенного номера последовательности.

Форма delete данной команды позволяет восстановить значение, принятое по умолчанию.

Форма show данной команды позволяет отобразить настройку.

groups#

Определение группы объектов для ссылки в правилах политики межсетевого экранирования.

Синтаксис#
1
2
3
set groups
delete groups
show groups
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
groups {
}
Параметры#

Отсутствуют.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет определить группу объектов, на основе которой будет производиться фильтрация пакетов. Группы фильтрации позволяют группировать различные сетевые объекты, и устанавливать соответствие для сетевого пакета при совпадении с любым элементом группы, что позволяет не указывать элементы по отдельности. Могут быть созданы группы адресов, сетей или интерфейсов.

Форма set данной команды используется для создания настройки группы фильтрации.

Форма delete данной команды используется для удаления группы фильтрации.

Форма show данной команды используется для отображения настройки группы фильтрации.

groups address-group <имя_группы>#

Определение группы IP-адресов для ссылки в правилах политики межсетевого экранирования.

Синтаксис#
1
2
3
set groups address-group <имя_группы> [address <адрес> | description описание]
delete groups address-group <имя_группы> [address [<адрес>] | description]
show groups address-group <имя_группы> [address | description]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
groups {
   address-group имя_группы {
      address адрес
      description описание                        
   }
}
Параметры#

имя_группы

Обязательный. Имя группы адресов.

адрес

IPv4-адрес. Добавление указанного IPv4-адреса, диапазона IPv4-адресов или сетей IPv4 в указанную группу. Формат указания адресов в составе address-group представлен в таблице ниже:

Значение Описание
<x.x.x.x> Адрес IPv4
<x.x.x.x>-<x.x.x.x> Диапазон адресов IPv4
<x.x.x.x/x> Сеть IPv4

описание

Позволяет указать краткое описание для группы адресов.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания группы адресов. Группа адресов представляет собой набор IP-адресов, диапазонов IP-адресов или сетей IPv4 на которую можно указать ссылку в правиле политики межсетевого экранирования. Соответствие группе адресов устанавливается в том случае, если адрес пакета совпадает с любым адресом или диапазоном адресов, входящих в группу.

Форма set данной команды используется для указания группы адресов.

Форма delete данной команды используется для удаления группы адресов или элемента группы.

Форма show данной команды используется для отображения настройки группы адресов.

Примечание

Для любой группы адреса задаются либо указанием отдельного адреса, диапазона адресов или сетей данной командой, либо указанием списка адресов командой groups address-group <имя_группы> named-list <список>. Параллельное использование обоих механизмов не допускается.

groups address-group <имя_группы> named-list <список>#

Указание именованного внешнего списка адресов.

Синтаксис#
1
2
3
set groups address-group <имя_группы> named-list <список>
delete groups address-group <имя_группы> named-list [<список>]
show groups address-group <имя_группы> named-list
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
groups {
   address-group имя_группы {
      named-list список                       
   }
}
Параметры#

имя_группы

Обязательный. Имя группы адресов.

список

Имя списка адресов. Для работы с внешними списками адресов используются команды эксплуатационного режима named-list address.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания списка адресов.

Форма set данной команды используется для указания именованного списка адресов.

Форма delete данной команды используется для удаления именованного списка адресов.

Форма show данной команды используется для отображения настройки именованного списка адресов.

Примечание

Для любой группы адреса задаются либо указанием списка адресов данной командой, либо указанием отдельного адреса (диапазона адресов или сетей) командой groups address-group <имя_группы>. Параллельное использование обоих механизмов не допускается.

groups domain-group <имя_группы>#

Определение группы доменов для ссылки в правилах политики межсетевого экранирования.

Синтаксис#
1
2
3
set groups domain-group <имя_группы> [domain <домен> | description <описание>]
delete groups domain-group <имя_группы> [domain [<домен>] | description]
show groups domain-group <имя_группы> [domain | description]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
groups {
   domain-group имя_группы {
      domain домен
      description описание                        
   }
}
Параметры#

имя_группы

Обязательный. Имя группы доменов.

домен

Добавление указанного доменного имени в группу. Используется текстовый формат.

описание

Позволяет указать краткое описание для группы доменов.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания группы доменов.

Соответствие группе доменов устанавливается в том случае, если адрес пакета совпадает с любым адресом или диапазоном адресов, входящих в группу.

Форма set данной команды используется для указания группы доменов.

Форма delete данной команды используется для удаления группы доменов или элемента группы.

Форма show данной команды используется для отображения настройки группы доменов.

Примечание

Для любой группы домены задаются либо указанием отдельного домена данной командой, либо указанием списка доменов командой groups domain-group <имя_группы> named-list <список>. Параллельное использование обоих механизмов не допускается.

groups domain-group <имя_группы> named-list <список>#

Указание именованного внешнего списка доменов.

Синтаксис#
1
2
3
set groups domain-group <имя_группы> named-list <список>
delete groups domain-group <имя_группы> named-list [<список>]
show groups domain-group <имя_группы> named-list
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
groups {
   domain-group имя_группы {
      named-list список                       
   }
}
Параметры#

имя_группы

Обязательный. Имя группы доменов.

список

Имя списка доменов. Для работы с внешними списками доменов используются команды эксплуатационного режима named-list domain.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания именованного списка доменов.

Форма set данной команды используется для указания именованного списка доменов.

Форма delete данной команды используется для удаления именованного списка доменов.

Форма show данной команды используется для отображения настройки именованного списка доменов.

Примечание

Для любой группы домены задаются либо список доменов командой groups domain-group <имя_группы>, либо именованный список. Параллельное использование обоих механизмов не допускается.

groups network-group <имя_группы>#

Данный узел команд присутствует в системе для обеспечения обратной совместимости со старыми версиями оборудования. Вместо него следует использовать функционал groups address-group <имя_группы>. Данный узел может быть удален с дальнейшими обновлениями.

groups port-group <имя_группы>#

Определение группы портов для ссылки в фильтрах сетевого трафика.

Синтаксис#
1
2
3
set groups port-group <имя_группы> [port <порт> | description <описание>]
delete groups port-group <имя_группы> [port [<порт>] | description]
show groups port-group <имя_группы> [port | description]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
groups {
   port-group имя_группы {
      description описание 
      port порт                        
   }
}
Параметры#

имя_группы

Обязательный. Имя группы портов.

порт

Добавление номера порта в указанную группу портов. Формат указания портов в составе port-group представлен в таблице ниже:

Значение Описание
<text> Имя порта (любое из файла /etc/services)
<0-65535> Номер порта
<start>-<end> Диапазон портов

описание

Позволяет указать краткое описание для группы портов.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания группы портов. Группа портов представляет собой набор имен портов, номеров портов и диапазонов портов, что позволяет после определения группы указать одну ссылку на все ее элементы в правиле политики межсетевого экранирования.

Соответствие группе портов устанавливается в том случае, если порт сетевого пакета совпадает с любым именем или номером сетевого порта, входящего в группу.

Форма set данной команды используется для указания группы портов.

Форма delete данной команды используется для удаления группы портов или ее элементов.

Форма show данной команды используется для отображения настройки группы портов.

Примечание

Для любой группы портов задаются либо перечень портов данной командой, либо именованный список командой groups port-group <имя_группы> named-list <список>. Параллельное использование обоих механизмов не допускается.

groups port-group <имя_группы> named-list <список>#

Определение группы портов для ссылки в правилах фильтров сетевого трафика.

Синтаксис#
1
2
3
set groups port-group <имя_группы> named-list <список>
delete groups port-group <имя_группы> named-list [<список>]
show groups port-group <имя_группы> named-list
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
groups {
   port-group имя_группы {
      named-list список                        
   }
}
Параметры#

имя_группы

Обязательный. Имя группы портов.

список

Имя списка группы портов. Для работы с внешними списками доменов используются команды эксплуатационного режима named-list port.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания именованного списка группы портов.

Форма set данной команды используется для указания именованного списка сетей.

Форма delete данной команды используется для удаления именованного списка сетей.

Форма show данной команды используется для отображения настройки именованного списка сетей.

Примечание

Для любой группы портов задаются либо перечень портов командой groups port-group <имя_группы>, либо именованный список портов данной командой. Параллельное использование обоих механизмов не допускается.

groups user-group <имя_группы>#

Определение группы пользователей для ссылки в фильтрах сетевого трафика.

Синтаксис#
1
2
3
set groups user-group <имя_группы> [user <имя_пользователя> | ttl <время>]
delete groups user-group <имя_группы> [user [<имя_пользователя>] | ttl]
show groups user-group <имя_группы> [user | ttl]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
groups {
   user-group имя_группы {
      ttl время 
      user имя_пользователя                        
   }
}
Параметры#

имя_группы

Обязательный. Имя группы пользователей.

user

Добавление имени пользователя в указанную группу пользователей. Для указания имени пользователя используется текстовый формат.

время

Указывает период времени после успешной авторизации, в течение которого IPv4 адрес считается соответствующим указанному пользователю. Диапазон допустимых значений cоставляет от 1 до 86400 секунд.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания группы пользователей. Группа пользователей представляет собой набор имен пользователей, что позволяет после определения группы указать одну ссылку на все ее элементы в правиле политики межсетевого экранирования.

Соответствие группе пользователей устанавливается в том случае, если пользователь, успешно прошедший авторизацию, входит в группу.

Форма set данной команды используется для указания группы пользователей.

Форма delete данной команды используется для удаления группы пользователей или ее элементов.

Форма show данной команды используется для отображения настройки группы пользователей.

policy firewall <имя_политики>#

Определение политики межсетевого экранирования.

Синтаксис#
1
2
3
set policy firewall <имя_политики>
delete policy firewall [<имя_политики>]
show policy firewall [<имя_политики>]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
policy {
   firewall {
      имя_политики {
      }
   }
}
Параметры#

имя_политики

Множественный узел. Текст. Имя политики межсетевого экранирования. Можно определить несколько политик межсетевого экранирования IPv4, создав соответствующее количество узлов конфигурации.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет определить политику межсетевого экранирования IPv4. Политика может включать в себя до 65535 правил.

Форма set данной команды используется для создания и изменения политики межсетевого экранирования.

Форма delete данной команды используется для удаления политики межсетевого экранирования.

Форма show данной команды используется для отображения конфигурации политики межсетевого экранирования.

policy firewall <имя_политики> default-action <действие>#

Установка действия по умолчанию для набора правил IPv4.

Синтаксис#
1
2
3
set policy firewall <имя_политики> default-action <действие>
delete policy firewall <имя_политики> default-action
show policy firewall <имя_политики> default-action
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
policy {
   firewall {
      имя_политики {
         default-action действие
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

действие

Действие по умолчанию, которое осуществляется в том случае, если для политики не было установлено ни одного соответствия. Допустимые значения представлены в таблице ниже.

Значение Описание
accept Принять пакет
drop Отбросить пакет без уведомления
reject Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет
Значение по умолчанию#

В том случае если действие по умолчанию явно не указано, если для пакета не было установлено ни одного соответствия правилам политики, пакет отбрасывается без уведомления.

Указания по использованию#

Данная команда позволяет указать действие по умолчанию, которое будет выполняться в том случае, если для пакета не было установлено ни одного соответствия правилам политики.

В том случае если для пакета не было установлено соответствие ни одному правилу в политике, к нему применяется действие, принятое по умолчанию. По умолчанию, пакет отбрасывается без отправки сообщения ICMP с уведомлением о том, что адресат недоступен.

Форма set данной команды позволяет установить действие по умолчанию для политики межсетевого экранирования.

Форма delete данной команды используется для восстановления поведения по умолчанию для пакетов, для которых не было установлено ни одного соответствия критериям правила.

Форма show данной команды используется для отображения настройки политики по умолчанию.

policy firewall <имя_политики> description <описание>#

Указание краткого описания для политики межсетевого экранирования IPv4.

Синтаксис#
1
2
3
set policy firewall <имя_политики> description <описание>
delete policy firewall <имя_политики> description
show policy firewall <имя_политики> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
policy {
   firewall {
      имя_политики {
         description описание
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

описание

Описание политики межсетевого экранирования. В том случае если описание содержит пробелы, его необходимо заключить в двойные кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать описание для политики межсетевого экранирования.

Форма set данной команды используется для создания и изменения описания.

Форма delete используется для удаления описания.

Форма show используется для отображения настройки описания.

policy firewall <имя_политики> enable-default-log#

Указание краткого описания для политики межсетевого экранирования IPv4.

Синтаксис#
1
2
3
set policy firewall <имя_политики> enable-default-log
delete policy firewall <имя_политики> enable-default-log
show policy firewall <имя_политики>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
policy {
   firewall {
      имя_политики {
         enable-default-log
      }
   }
}
Параметры#

Отсутствуют.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет включить регистрацию событий для действия по умолчанию указанной политики межсетевого экранирования.

Форма set данной команды используется для включения регистрации событий для действия по умолчанию указанной политики межсетевого экранирования.

Форма delete используется для отключения регистрации событий для действия по умолчанию указанной политики межсетевого экранирования.

Форма show используется для отображения настройки.

policy firewall <имя_политики> rule <номер_правила>#

Определение правила в политике межсетевого экранирования IPv4.

Синтаксис#
1
2
3
set policy firewall <имя_политики> rule <номер_правила>
delete policy firewall <имя_политики> rule [<номер_правила>]
show policy firewall <имя_политики> rule [<номер_правила>]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
policy {
   firewall {
      имя_политики {
         rule номер_правила {
         }
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет определить правило в политике межсетевого экранирования. Политика может включать в себя до 65535 настраиваемых правил.

Правила политики исполняются в порядке следования их номеров, от наименьшего к наибольшему. Напрямую изменить номер правила нельзя, так как он является идентификатором узла конфигурации; однако, можно изменять номера правил при помощи команды rename.

Для того чтобы не прибегать к изменению номеров правил, хорошей практикой является указание номеров с шагом 10. Это позволяет оставить пространство, куда можно будет впоследствии добавить новые правила.

Форма set данной команды используется для создания или изменения правила в политике межсетевого экранирования.

Форма delete данной команды используется для удаления правила из политики межсетевого экранирования.

Форма show данной команды используется для отображения настройки правила политики межсетевого экранирования.

policy firewall <имя_политики> rule <номер_правила> action <действие>#

Указание действия, которое будет применяться к пакетам, для которых было установлено соответствие правилу.

Синтаксис#
1
2
3
set policy firewall <имя_политики> rule <номер_правила> action <действие>
delete policy firewall <имя_политики> rule <номер_правила> action
show policy firewall <имя_политики> rule <номер_правила> action
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
policy {
   firewall {
      имя_политики {
         rule номер_правила {
            action действие
         }
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

действие

Действие, которое будет выполнено, в том случае если пакет удовлетворяет критериям, указанным в правиле. Допустимые значения представлены в таблице ниже.

Значение Описание
accept Принять пакет
delude В ответ на сообщение с установленным флагом SYN будет отправлено сообщение с флагами SYN-ACK, но в остальных случаях отправляется сообщение с флагом RST. Таким образом создается видимость того, что порт открыт и принимает подключения.
drop Отбросить пакет без уведомления
inspect Пересылка пакета, для которого было установлено соответствие системе предотвращения вторжений (IPS). Система предотвращения вторжений при этом должна быть включена. (При наличии сервиса idps)
reject Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет
tarpit При указании этого действия, в случае получения запроса на соединение, оно будет установлено, после чего размер окна будет установлен равным нулю, что вынудит систему, отправившую запрос на соединение, прекратить передачу данных. Любые попытки закрыть соединение игнорируются, таким образом соединение остается открытым, пока не истечет срок таймаута, что повлечет расходование локальных ресурсов системы, инициировавшей подключение, но не ресурсов Numa Edge (за исключением ресурсов системы отслеживания соединений, если она используется в МЭ).
Значение по умолчанию#

Пакеты отбрасываются.

Указания по использованию#

Данная команда позволяет указать действие, которое будет применено к пакетам, для которых было установлено соответствие критериям, указанным в правиле. В правиле может быть указано только одно действие.

Форма set данной команды используется для указания действия, которое будет применяться к пакетам, для которых установлено соответствие критериям правила.

Форма delete данной команды позволяет восстановить действие, принятое по умолчанию.

Форма show данной команды используется для отображения настройки действия для правила политики межсетевого экранирования.

policy firewall <имя_политики> rule <номер_правила> description <описание>#

Указание краткого описания для политики межсетевого экранирования IPv4.

Синтаксис#
1
2
3
set policy firewall <имя_политики> rule <номер_правила> description <описание>
delete policy firewall <имя_политики> rule <номер_правила> description
show policy firewall <имя_политики> rule <номер_правила> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
policy {
   firewall {
      имя_политики {
         rule номер_правила {
            description описание
         }
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

описание

Описание правила в политике межсетевого экранирования. В том случае если описание содержит пробелы, его необходимо заключить в двойные кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать описание правила в политике межсетевого экранирования.

Форма set данной команды используется для создания и изменения описания.

Форма delete используется для удаления описания.

Форма show используется для отображения настройки описания.

policy firewall <имя_политики> rule <номер_правила> log <состояние>#

Включение/выключение регистрации событий фильтрации трафика для указанного правила указанной политики.

Синтаксис#
1
2
3
set policy firewall <имя_политики> rule <номер_правила> log <состояние>
delete policy firewall <имя_политики> rule <номер_правила> log
show policy firewall <имя_политики> rule <номер_правила> log
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
policy {
   firewall {
      имя_политики {
         rule номер_правила {
            log состояние
         }
      }
   }
}
Параметры#

имя_политики

Имя определённой политики фильтрации трафика.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

состояние

Указывает режим регистрации событий для правил политики. Допустимые значения:

  • enable: включение регистрации событий фильтрации для правила политики;
  • disable: отключение регистрации событий фильтрации для правила политики.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Включает или отключает журналирование событий для правила политики.

В том случае, если задействовано журналирование для правила политики, в системный лог (журнал) будут выводиться сообщения для всех пакетов, подпадающих под правило.

Для каждого сообщения формируется префикс в квадратных скобках вида [f-<имя_политики>-<номер правила>-<действие>].

Имя политики может быть записано в журнале не полностью в связи с системным ограничением общей длины префикса в 29 символов. Действия правил фильтрации в файле журнала кодируются следующими аббревиатурами:

Значение Описание
AC accept: Принять пакет
DE delude: В ответ на сообщение с установленным флагом SYN будет отправлено сообщение с флагами SYN-ACK, но в остальных случаях отправляется сообщение с флагом RST. Таким образом создается видимость того, что порт открыт и принимает подключения.
DR drop: Отбросить пакет без уведомления
IN inspect: Пересылка пакета, для которого было установлено соответствие системе предотвращения вторжений (IPS). Система предотвращения вторжений при этом должна быть включена. (При наличии сервиса idps)
RE reject: Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет
TA tarpit: При указании этого действия, в случае получения запроса на соединение, оно будет установлено, после чего размер окна будет установлен равным нулю, что вынудит систему, отправившую запрос на соединение, прекратить передачу данных. Любые попытки закрыть соединение игнорируются, таким образом соединение остается открытым, пока не истечет срок таймаута, что повлечет расходование локальных ресурсов системы, инициировавшей подключение, но не ресурсов Numa Edge (за исключением ресурсов системы отслеживания соединений, если она используется в МЭ).

Форма set этой команды используется для задания настройки регистрации событий фильтрации для указанного правила указанной политики.

Форма delete этой команды используется для удаления настройки регистрации событий фильтрации.

Форма show этой команды используется для отображения настройки регистрации событий фильтрации.

policy firewall <имя_политики> rule <номер_правила> match filter <фильтр>#

Задание фильтра, который будет использоваться для выборки пакетов для указанного правила указанной политики.

Синтаксис#
1
2
3
set policy firewall <имя_политики> rule <номер_правила> match filter <фильтр>
delete policy firewall <имя_политики> rule <номер_правила> match filter
show policy firewall <имя_политики> rule <номер_правила> match filter
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
policy {
   firewall {
      имя_политики {
         rule номер_правила {
            match {
               filter фильтр
            } 
         }
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

фильтр

Пакетный фильтр, который будет использоваться указанным правилом данной политики межсетевого экранирования.

Значение по умолчанию#

Не установлено.

Указания по использованию#

Данная команда позволяет указать фильтр, который будет использоваться данным правилом указанной политики межсетевого экранирования. В правиле может быть указан только один фильтр, то есть новое указанное значение фильтра заменит предыдущее (при его наличии).

Форма set данной команды используется для указания фильтра, который будет использоваться данным правилом указанной политики межсетевого экранирования.

Форма delete данной команды позволяет удалить связь правила с каким-либо фильтром.

Форма show данной команды используется для отображения связанного с указанным правилом указанной политики межсетевого экранирования фильтра.

policy clear firewall <имя_политики>#

Очистка статистики политики межсетевого экранирования IPv4-трафика.

Синтаксис#
policy clear firewall <имя_политики>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv4-трафика.

Значение по умолчанию#

Отсутствует.

policy clear firewall <имя_политики> rule <номер_правила>#

Очистка статистики правила политики межсетевого экранирования IPv4-трафика.

Синтаксис#
policy clear firewall <имя_политики> rule <номер_правила>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv4-трафика.

номер_правила

Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер.

Значение по умолчанию#

Отсутствует.

policy clear firewall <имя_политики> rule <номер_правила> filter#

Очистка статистики фильтра, связанного с указанным правилом политики межсетевого экранирования IPv4-трафика.

Синтаксис#
policy clear firewall <имя_политики> rule <номер_правила> filter
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv4-трафика.

номер_правила

Численный идентификатор правила.

Значение по умолчанию#

Отсутствует.

policy clear firewall <имя_политики> rule <номер_правила> filter rule <номер_правила_фильтра>#

Очистка статистики по указанному правилу фильтра, связанного с указанным правилом политики межсетевого экранирования IPv4-трафика.

Синтаксис#
policy clear firewall <имя_политики> rule <номер_правила> filter rule <номер_правила_фильтра>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv4-трафика.

номер_правила

Численный идентификатор правила.

номер_правила_фильтра

Численный идентификатор правила фильтра.

Значение по умолчанию#

Отсутствует.

policy show firewall <имя_политики>#

Вывод сведений и статистики для указанной политики межсетевого экранирования IPv4-трафика.

Синтаксис#
policy show firewall <имя_политики>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv4-трафика.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для отображения сведений о выбранной настроенной политике межсетевого экранирования IPv4-трафика.

policy show firewall <имя_политики> rule <номер_правила>#

Вывод конфигурации правила политики межсетевого экранирования IPv4-трафика.

Синтаксис#
policy show firewall <имя_политики> rule <номер_правила>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv4-трафика.

номер_правила

Численный идентификатор правила.

Значение по умолчанию#

Отсутствует.

policy show firewall <имя_политики> rule <номер_правила> filter#

Вывод сведений и статистики по фильтру для указанного правила политики межсетевого экранирования IPv4.

Синтаксис#
policy show firewall <имя_политики> rule <номер_правила> filter [detail | rule <номер_правила_фильтра>]
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv4-трафика.

номер_правила

Численный идентификатор правила.

detail

Вывод подробных сведений и статистики по фильтру для указанного правила политики межсетевого экранирования.

номер_правила фильтра

Вывод сведений и статистики по указанному правилу фильтра для указанного правила политики межсетевого экранирования.

Значение по умолчанию#

Отсутствует.

named-list <тип_списка> export <имя_списка> to <имя_файла>#

Экспорт именованных списков.

Синтаксис#
named-list <тип_списка> export <имя_списка> to <имя_файла>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

тип_списка

Тип экспортируемого именованного списка. Допустимые значения указаны в таблице ниже.

Значение Описание
address Именованный список адресов
domain Именованный список доменов
port Именованный список портов

имя_списка

Имя списка.

имя_файла

Путь до экспортируемого файла. Способы экспорта именованных списков представлены в таблице ниже.

Местоположение Способ указания
Путь в локальной системе Может быть указан абсолютный или относительный путь в локальной системе. Используется стандартный способ указания файла в UNIX.
Сервер FTP Используется следующий синтаксис для параметра имя_файла: ftp://пользователь@узел/файл, где: пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера FTP, файл – это название файла.
Сервер SCP Используется следующий синтаксис для имя_файла: scp://пользователь@узел/файл, где: пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера SCP, файл – это название файла.
Сервер TFTP Используется следующий синтаксис для параметра имя_файла: tftp://узел/файл, где: узел – это имя узла или IP-адрес сервера TFTP, файл – это название архива.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для экспорта именованных списков – списков адресов, доменных имен, подсетей или портов.

Производится экспорт именованного списка в файл по указанному адресу, который может быть локальным или находиться на сервере TFTP, FTP или SCP.

named-list <тип_списка> import <имя_списка> from <имя_файла>#

Импорт именованных списков.

Синтаксис#
named-list <тип_списка> import  <имя_списка> from <имя_файла>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

тип_списка

Тип экспортируемого именованного списка. Допустимые значения указаны в таблице ниже.

Значение Описание
address Именованный список адресов
domain Именованный список доменов
port Именованный список портов

имя_списка

Имя списка.

имя_файла

Путь до импортируемого файла. Способы импорта именованных списков представлены в таблице ниже.

Местоположение Способ указания
Путь в локальной системе Может быть указан абсолютный или относительный путь в локальной системе. Используется стандартный способ указания файла в UNIX.
Сервер FTP Используется следующий синтаксис для параметра имя_файла: ftp://пользователь@узел/файл, где: пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера FTP, файл – это название файла. Если пользователь не указан, будет выдан запрос на его ввод.
Сервер SCP Используется следующий синтаксис для имя_файла: scp://пользователь@узел/файл, где: пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера SCP, файл – это название файла. Если пользователь и пароль не указаны, будет выдан запрос на их ввод.
Сервер TFTP Используется следующий синтаксис для параметра имя_файла: tftp://узел/файл, где: узел – это имя узла или IP-адрес сервера TFTP, файл – это название файла.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для импорта именованных списков – списков адресов, доменных имен, подсетей или портов. Формат именованных списков: текстовый файл со значениями, разделенными между собой переносом строки.

При указании параметра from производится импорт из файла архива или текстового файла по указанному адресу, который может быть локальным или находиться на сервере TFTP, FTP или SCP.

named-list <тип_списка> remove <имя_списка>#

Удаление именованного списка.

Синтаксис#
named-list <тип_списка> remove <имя_списка>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

тип_списка

Тип экспортируемого именованного списка. Допустимые значения указаны в таблице ниже.

Значение Описание
address Именованный список адресов
domain Именованный список доменов
port Именованный список портов

имя_списка

Имя списка.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для удаления именнованного списка.

named-list <тип_списка> show#

Отображение перечня именованных списков определенного типа, присутствующих в системе.

Синтаксис#
named-list <тип_списка> show [<имя_списка>]
Режим интерфейса#

Эксплуатационный режим.

Параметры#

тип_списка

Тип экспортируемого именованного списка. Допустимые значения указаны в таблице ниже.

Значение Описание
address Именованный список адресов
domain Именованный список доменов
port Именованный список портов

имя_списка

Имя списка. При задании имени списка выводится содержимое конкретного списка.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для отображения перечня именованных списков определенного типа, присутствующих в системе.

interfaces <интерфейс> policy <направление> firewall-ipv6 <имя_политики>#

Применение экземпляра межсетевого экрана IPv6 к определенному интерфейсу.

Синтаксис#
1
2
3
set interfaces <интерфейс> policy <направление> firewall-ipv6 <имя_политики>
delete interfaces <интерфейс> policy <направление> firewall-ipv6 <имя_политики>
show interfaces <интерфейс> policy <направление> firewall-ipv6 <имя_политики>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
interfaces интерфейс {
   policy {
      направление {
         firewall-ipv6 имя_политики
      }
   }
}
Параметры#

интерфейс

Обязательный. Тип интерфейса. Ключевые слова и аргументы, которые могут быть указаны, приведены в таблице ниже в разделе указания по использованию.

направление

Обязательный. Направление трафика, к которому применяется политика межсетевого экранирования. Допустимые значения указаны в таблице ниже:

Значение Описание
in Транзитный трафик IPv6, принимаемый на указанном интерфейсе
out Транзитный трафик IPv6, отправляемый с указанного интерфейса
local Трафик IPv6, принятый на интерфейсе, предназначенный для локальной системы.

имя_политики

Имя политики межсетевого экранирования.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет применить политику межсетевого экранирования IPv6 к интерфейсу.

Фильтрация транзитного трафика или трафика, предназначенного для локальной системы, не осуществляется до тех пор, пока политика межсетевого экранирования не будет применена к интерфейсу (реальному или виртуальному) с использованием данной команды.

Для включения межсетевого экранирования следует определить политику с помощью команды policy firewall-ipv6. Затем следует применить политику к интерфейсам и/или виртуальным интерфейсам, используя данную команду. После чего указанная политика межсетевого экранирования будет функционировать в качестве пакетного фильтра.

На каждом интерфейсе можно применить до трех политик межсетевого экранирования: одну как фильтр транзитного трафика, принимаемого на интерфейсе (in), одну – как фильтр транзитного трафика, покидающего интерфейс (out) и одну – как фильтр трафика, предназначенного для локальной системы (local).

В приведенной ниже таблице показаны типы поддерживаемых интерфейсов и cинтаксис.

Тип интерфейса Синтаксис
Агрегирование каналов bonding bondx
Виртуальный интерфейс агрегированных каналов bonding bondx vif идентификатор_vlan
Сетевой мост bridge brx
Ethernet ethernet ethx
Ethernet PPPoE ethernet ethx pppoe номер
Виртуальный интерфейс Ethernet ethernet ethx vif идентификатор_vlan
Ethernet Vif PPPoE ethernet ethx vif идентификатор_vlan pppoe номер
Интерфейс заглушки loopback lo
Многоканальная связь multilink mlx
OpenVPN openvpn vtunx
Псевдо-Ethernet pseudo-ethernet pethx
Последовательный интерфейс serial srx vif идентификатор_vlan
Туннель tunnel tunx

Форма set данной команды позволяет применить политику межсетевого экранирования IPv6 к интерфейсу.

Форма delete данной команды позволяет удалить политику межсетевого экранирования IPv6 для интерфейса.

Форма show данной команды используется для отображения конфигурации политики межсетевого экранирования IPv6 на интерфейсе.

system ipv6 receive-redirects <состояние>#

Обработка сообщений IPv6 ICMP о перенаправлении (тип 5).

Синтаксис#
1
2
3
set system ipv6 receive-redirects <состояние>
delete system ipv6 receive-redirects
show system ipv6 receive-redirects
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
system ipv6 {
   receive-redirects состояние
}
Параметры#

состояние

Параметр обработки полученных пакетов перенаправлений IPv6 ICMP (тип 5). Допустимые значения:

  • enable: система будет обрабатывать полученные пакетов перенаправлений IPv6 ICMP (тип 5);
  • disable: система не будет обрабатывать полученные пакеты перенаправлений IPv6 ICMP (тип 5).
Значение по умолчанию#

По умолчанию отправка пакетов перенаправлений IPv6 ICMP (тип 5) запрещена.

Указания по использованию#

Данная команда позволяет разрешить или запретить отправку сообщений IPv6 ICMP о перенаправлении. Отправка сообщений redirect потенциально может изменить таблицу маршрутизации узла или маршрутизатора, которому предназначено сообщение.

Форма set данной команды позволяет разрешить или запретить отправку сообщений IPv6 ICMP о перенаправлении.

Форма delete данной команды позволяет удалить указанное значение.

Форма show позволяет отобразить указанное значение.

system ipv6 source-route <состояние>#

Обработка пакетов IPv6 с расширенным заголовком маршрутизации.

Синтаксис#
1
2
3
set system ipv6 source-route <состояние>
delete system ipv6 source-route
show system ipv6 source-route
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
system ipv6 {
   source-route состояние
}
Параметры#

состояние

Параметр обработки пакетов IPv6 с расширенным заголовком маршрутизации. Допустимые значения:

  • enable: система будет обрабатывать пакеты IPv6 с расширенным заголовком маршрутизации;
  • disable: система не будет обрабатывать пакеты IPv6 с расширенным заголовком маршрутизации.
Значение по умолчанию#

По умолчанию пакеты IPv6 с расширенным заголовком маршрутизации не обрабатываются.

Указания по использованию#

Маршрутизация от источника разрешает приложениям указать один или несколько промежуточных адресов получателя для исходящих пакетов в обход таблицы маршрутизации. Данная возможность в некоторых случаях используется для выявления неисправностей, но делает сеть уязвимой к атакам, при которых сетевой трафик перенаправляется через централизованную точку записи трафика.

Данная команда позволяет разрешить или запретить обработку пакетов IPv6 с расширенным заголовком маршрутизации.

Форма set данной команды позволяет разрешить или запретить обработку пакетов IPv6 с расширенным заголовком маршрутизации.

Форма delete данной команды позволяет удалить указанное значение.

Форма show позволяет отобразить указанное значение.

policy firewall-ipv6 <имя_политики>#

Определение набора правил IPv6 межсетевого экрана.

Синтаксис#
1
2
3
set policy firewall-ipv6 <имя_политики>
delete policy firewall-ipv6 [<имя_политики>]
show policy firewall-ipv6 [<имя_политики>]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
policy {
   firewall-ipv6 {
      имя_политики {
      }
   }
}
Параметры#

имя_политики

Множественный узел. Текст. Имя политики межсетевого экранирования. Можно определить несколько политик межсетевого экранирования IPv6, создав соответствующее количество узлов конфигурации.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет определить политику межсетевого экранирования IPv6. Политика межсетевого экранирования может включать в себя до 65535 правил.

Форма set данной команды используется для создания и изменения политики межсетевого экранирования IPv6.

Форма delete данной команды используется для удаления политики межсетевого экранирования IPv6.

Форма show данной команды используется для отображения настройки политики межсетевого экранирования IPv6.

policy firewall-ipv6 <имя_политики> default-action <действие>#

Установка действия по умолчанию для набора правил IPv6.

Синтаксис#
1
2
3
set policy firewall-ipv6 <имя_политики> default-action <действие>
delete policy firewall-ipv6 <имя_политики> default-action
show policy firewall-ipv6 <имя_политики> default-action
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
policy {
   firewall-ipv6 {
      имя_политики {
         default-action действие
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

действие

Действие по умолчанию, которое осуществляется в том случае, если для политики не было установлено ни одного соответствия. Допустимые значения представлены в таблице ниже.

Значение Описание
accept Принять пакет
drop Отбросить пакет без уведомления
reject Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет
Значение по умолчанию#

В том случае если действие по умолчанию явно не указано, в том случае если для пакета не было установлено ни одного соответствия в наборе правил, пакет отбрасывается без уведомления.

Указания по использованию#

Данная команда позволяет указать действие по умолчанию, которое будет выполняться в том случае, если для пакета не было установлено ни одного соответствия правилам политики межсетевого экранирования IPv6.

В том случае если для пакета не было установлено соответствие ни одному правилу в наборе, к нему применяется политика, принятая по умолчанию. По умолчанию, пакет отбрасывается без отправки сообщения ICMP с уведомлением о том, что адресат недоступен .

Форма set данной команды позволяет установить действие по умолчанию для набора правил IPv6.

Форма delete данной команды используется для восстановления поведения по умолчанию для пакетов, для которых не было установлено ни одного соответствия критериям правила.

Форма show данной команды используется для отображения настройки политики по умолчанию.

policy firewall-ipv6 <имя_политики> description <описание>#

Указание краткого описания для политики межсетевого экранирования IPv6.

Синтаксис#
1
2
3
set policy firewall-ipv6 <имя_политики> description <описание>
delete policy firewall-ipv6 <имя_политики> description
show policy firewall-ipv6 <имя_политики> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
policy {
   firewall-ipv6 {
      имя_политики {
         description описание
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

описание

Описание политики межсетевого экранирования. В том случае если описание содержит пробелы, его необходимо заключить в двойные кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать описание для политики межсетевого экранирования IPv6.

Форма set данной команды используется для создания и изменения описания.

Форма delete используется для удаления описания.

Форма show используется для отображения настройки описания.

policy firewall-ipv6 <имя_политики> enable-default-log#

Регистрация событий для действия по умолчанию указанной политики межсетевого экранирования

Синтаксис#
1
2
3
set policy firewall-ipv6 <имя_политики> enable-default-log
delete policy firewall-ipv6 <имя_политики> enable-default-log
show policy firewall-ipv6 <имя_политики>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
policy {
   firewall-ipv6 {
      имя_политики {
         enable-default-log
      }
   }
}
Параметры#

Отсутствуют.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет включить регистрацию событий для действия по умолчанию указанной политики межсетевого экранирования IPv6.

Форма set данной команды используется для включения регистрации событий для действия по умолчанию указанной политики межсетевого экранирования IPv6.

Форма delete используется для отключения регистрации событий для действия по умолчанию указанной политики межсетевого экранирования IPv6.

Форма show используется для отображения настройки.

policy firewall-ipv6 <имя_политики> rule <номер_правила>#

Определение правила в наборе правил межсетевого экрана IPv6.

Синтаксис#
1
2
3
set policy firewall-ipv6 <имя_политики> rule <номер_правила>
delete policy firewall-ipv6 <имя_политики> rule [<номер_правила>]
show policy firewall-ipv6 <имя_политики> rule [<номер_правила>]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
policy {
   firewall-ipv6 {
      имя_политики {
         rule номер_правила {
         }
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет определить правило в политике межсетевого экранирования IPv6. Политика может включать в себя до 65535 настраиваемых правил.

Правила политики исполняются в порядке следования их номеров, от наименьшего к наибольшему. Напрямую изменить номер правила нельзя, так как он является идентификатором узла конфигурации; однако, можно изменять номера правил при помощи команды rename.

Для того чтобы не прибегать к изменению номеров правил, хорошей практикой является указание номеров с шагом 10. Это позволяет оставить пространство, куда можно будет впоследствии добавить новые правила.

Форма set данной команды используется для создания или изменения правила в политике межсетевого экранирования IPv6.

Форма delete данной команды используется для удаления правила из политики межсетевого экранирования IPv6.

Форма show данной команды используется для отображения настройки правила политики межсетевого экранирования IPv6.

policy firewall-ipv6 <имя_политики> rule <номер_правила> action <действие>#

Указание действия, которое будет применяться к пакетам, для которых было установлено соответствие правилу.

Синтаксис#
1
2
3
set policy firewall-ipv6 <имя_политики> rule <номер_правила> action <действие>
delete policy firewall-ipv6 <имя_политики> rule <номер_правила> action
show policy firewall-ipv6 <имя_политики> rule <номер_правила> action
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
policy {
   firewall-ipv6 {
      имя_политики {
         rule номер_правила {
            action действие
         }
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

действие

Действие, которое будет выполнено, в том случае если пакет удовлетворяет критериям, указанным в правиле. Допустимые значения представлены в таблице ниже.

Значение Описание
accept Принять пакет
drop Отбросить пакет без уведомления
inspect Пересылка пакета, для которого было установлено соответствие системе предотвращения вторжений (IPS). Система предотвращения вторжений при этом должна быть включена. (При наличии сервиса idps)
reject Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет
Значение по умолчанию#

Пакеты отбрасываются.

Указания по использованию#

Данная команда позволяет указать действие, которое будет применено к пакетам, для которых было установлено соответствие критериям, указанным в правиле. В правиле может быть указано только одно действие.

Форма set данной команды используется для указания действия, которое будет применяться к пакетам, для которых установлено соответствие критериям правила.

Форма delete данной команды позволяет восстановить действие, принятое по умолчанию.

Форма show данной команды используется для отображения настройки действия для правила политики межсетевого экранирования IPv6.

policy firewall <имя_политики> rule <номер_правила> description <описание>#

Указание краткого описания для политики межсетевого экранирования IPv6.

Синтаксис#
1
2
3
set policy firewall <имя_политики> rule <номер_правила> description <описание>
delete policy firewall <имя_политики> rule <номер_правила> description
show policy firewall <имя_политики> rule <номер_правила> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
policy {
   firewall {
      имя_политики {
         rule номер_правила {
            description описание
         }
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

описание

Описание правила в политике межсетевого экранирования. В том случае если описание содержит пробелы, его необходимо заключить в двойные кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать описание правила в политике межсетевого экранирования.

Форма set данной команды используется для создания и изменения описания.

Форма delete используется для удаления описания.

Форма show используется для отображения настройки описания.

policy firewall-ipv6 <имя_политики> rule <номер_правила> log <состояние>#

Включение/выключение регистрации событий фильтрации трафика IPv6 для указанного правила указанной политики.

Синтаксис#
1
2
3
set policy firewall-ipv6 <имя_политики> rule <номер_правила> log <состояние>
delete policy firewall-ipv6 <имя_политики> rule <номер_правила> log
show policy firewall-ipv6 <имя_политики> rule <номер_правила> log
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
policy {
   firewall-ipv6 {
      имя_политики {
         rule номер_правила {
            log состояние
         }
      }
   }
}
Параметры#

имя_политики

Имя определённой политики фильтрации трафика.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

состояние

Указывает режим регистрации событий для правил политики. Допустимые значения:

  • enable: включение регистрации событий фильтрации для правила политики;
  • disable: отключение регистрации событий фильтрации для правила политики.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Включает или отключает журналирование событий для правила политики.

В том случае, если задействовано журналирование для правила политики, в системный лог (журнал) будут выводиться сообщения для всех пакетов IPv6, подпадающих под правило.

Для каждого сообщения формируется префикс в квадратных скобках вида [f6-<имя_политики>-<номер правила>-<действие>]

Имя политики может быть записано в журнале не полностью в связи с системным ограничением общей длины префикса в 29 символов. Действия правил фильтрации в файле журнала кодируются следующими аббревиатурами:

Значение Описание
AC accept: Принять пакет
DR drop: Отбросить пакет без уведомления
IN inspect: Пересылка пакета, для которого было установлено соответствие системе предотвращения вторжений (IPS). Система предотвращения вторжений при этом должна быть включена. (При наличии сервиса idps)
RE reject: Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет

Форма set этой команды используется для задания настройки регистрации событий фильтрации для указанного правила указанной политики IPv6.

Форма delete этой команды используется для удаления настройки регистрации событий фильтрации.

Форма show этой команды используется для отображения настройки регистрации событий фильтрации.

policy firewall-ipv6 <имя_политики> rule <номер_правила> match filter-ipv6 <фильтр>#

Задание фильтра, который будет использоваться для выборки пакетов для указанного правила указанной политики IPv6.

Синтаксис#
1
2
3
set policy firewall-ipv6 <имя_политики> rule <номер_правила> match filter-ipv6 <фильтр>
delete policy firewall-ipv6 <имя_политики> rule <номер_правила> match filter-ipv6
show policy firewall-ipv6 <имя_политики> rule <номер_правила> match filter-ipv6
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
policy {
   firewall-ipv6 {
      имя_политики {
         rule номер_правила {
            match {
               filter-ipv6 фильтр
            } 
         }
      }
   }
}
Параметры#

имя_политики

Имя политики межсетевого экранирования.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

фильтр

Пакетный фильтр, который будет использоваться указанным правилом данной политики межсетевого экранирования IPv6.

Значение по умолчанию#

Не установлено.

Указания по использованию#

Данная команда позволяет указать фильтр, который будет использоваться данным правилом указанной политики межсетевого экранирования IPv6. В правиле может быть указан только один фильтр, то есть новое указанное значение фильтра заменит предыдущее (при его наличии).

Форма set данной команды используется для указания фильтра, который будет использоваться данным правилом указанной политики межсетевого экранирования IPv6.

Форма delete данной команды позволяет удалить связь правила с каким-либо фильтром.

Форма show данной команды используется для отображения связанного с указанным правилом указанной политики межсетевого экранирования фильтра.

policy clear firewall-ipv6 <имя_политики>#

Очистка статистики политики межсетевого экранирования IPv6-трафика.

Синтаксис#
policy clear firewall-ipv6 <имя_политики>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv6-трафика.

Значение по умолчанию#

Отсутствует.

policy clear firewall-ipv6 <имя_политики> rule <номер_правила>#

Очистка статистики правила политики межсетевого экранирования IPv6-трафика.

Синтаксис#
policy clear firewall-ipv6 <имя_политики> rule <номер_правила>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv6-трафика.

номер_правила

Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер.

Значение по умолчанию#

Отсутствует.

policy clear firewall-ipv6 <имя_политики> rule <номер_правила> filter#

Очистка статистики для фильтра, связанного с указанным правилом политики межсетевого экранирования IPv6-трафика.

Синтаксис#
policy clear firewall-ipv6 <имя_политики> rule <номер_правила> filter
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv6-трафика.

номер_правила

Численный идентификатор правила.

Значение по умолчанию#

Отсутствует.

policy clear firewall-ipv6 <имя_политики> rule <номер_правила> filter rule <номер_правила_фильтра>#

Очистка статистики по указанному правилу фильтра, связанного с указанным правилом политики межсетевого экранирования IPv6-трафика.

Синтаксис#
policy clear firewall-ipv6 <имя_политики> rule <номер_правила> filter rule <номер_правила_фильтра>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv6-трафика.

номер_правила

Численный идентификатор правила.

номер_правила_фильтра

Численный идентификатор правила фильтра.

Значение по умолчанию#

Отсутствует.

policy show firewall-ipv6 <имя_политики>#

Вывод сведений и статистики для указанной политики межсетевого экранирования IPv6-трафика.

Синтаксис#
policy show firewall <имя_политики>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv6-трафика.

Указания по использованию#

Эта команда используется для отображения сведений о выбранной настроенной политике межсетевого экранирования IPv6-трафика.

policy show firewall-ipv6 <имя_политики> rule <номер_правила>#

Вывод конфигурации правила политики межсетевого экранирования IPv6-трафика.

Синтаксис#
policy show firewall-ipv6 <имя_политики> rule <номер_правила>
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv6-трафика.

номер_правила

Численный идентификатор правила.

Значение по умолчанию#

Отсутствует.

policy show firewall-ipv6 <имя_политики> rule <номер_правила> filter#

Вывод сведений и статистики по фильтру для указанного правила политики межсетевого экранирования IPv6.

Синтаксис#
policy show firewall <имя_политики> rule <номер_правила> filter [detail | rule <номер_правила_фильтра>]
Режим интерфейса#

Эксплуатационный режим.

Параметры#

имя_политики

Имя политики межсетевого экранирования IPv6-трафика.

номер_правила

Численный идентификатор правила.

detail

Вывод подробных сведений и статистики по фильтру для указанного правила политики межсетевого экранирования IPv6.

rule номер_правила фильтра

Вывод сведений и статистики по указанному правилу фильтра для указанного правила политики межсетевого экранированияIPv6.

Значение по умолчанию#

Отсутствует.