Команды
Глобальные команды межсетевого экрана#
Команда | Описание команды |
---|---|
system conntrack protocols sip | Установка параметров подсистемы отслеживания состояний соединений для протокола SIP. |
system conntrack expect-table-size <размер> | Установка ожидаемого количества отслеживаемых подключений для сетевого фильтра. |
system conntrack table-size <размер> | Установка размера таблицы отслеживания подключений для сетевого фильтра. |
system conntrack tcp-loose <состояние> | Указание необходимости отслеживания ранее установленных подключений для фильтрации трафика с поддержкой состояния. |
Команды межсетевого экрана IPv4. Команды для интерфейса#
Команда | Описание команды |
---|---|
interfaces <интерфейс> policy <направление> firewall <имя_политики> | Применение политики межсетевого экранирования IPv4 к определенному интерфейсу. |
Команды межсетевого экрана IPv4. Системные настройки#
Команда | Описание команды |
---|---|
system firewall geoip db <база_geoip> | Указание используемой базы данных GeoIP. |
system ip all-ping <состояние> | Включение или выключение ответа на эхо-запрос IPv4 ICMP (ping). |
system ip broadcast-ping <состояние> | Включение или выключение ответа на широковещательные эхо-запросы IPv4 ICMP и запросы метки времени. |
system ip log-martians <состояние> | Регистрация пакетов с недопустимыми адресами. |
system ip receive-redirects <состояние> | Обработка сообщений IPv4 ICMP о перенаправлении (тип 5). |
system ip send-redirects <состояние> | Отправка сообщений IPv4 ICMP о перенаправлении (тип 5). |
system ip source-route <состояние> | Обработка пакетов с опциями IP гибкой маршрутизации от источника (Loose Source Route) или жесткой маршрутизации от источника (Strict Source Route) |
system ip source-validation <состояние> | Отправка сообщений IPv4 ICMP о перенаправлении (тип 5). |
system ip syn-cookies <состояние> | Определение политики для проверки отправителя на основе обратного пути, как определено в RFC 3704. |
Команды межсетевого экрана IPv4. Группы фильтрации#
Команда | Описание команды |
---|---|
groups | Определение группы объектов для ссылки в правилах политики межсетевого экранирования. |
groups address-group <имя_группы> | Определение группы IP-адресов для ссылки в правилах политики межсетевого экранирования. |
groups address-group <имя_группы> named-list <список> | Указание именованного внешнего списка IP-адресов. |
groups domain-group <имя_группы> | Определение группы доменов для ссылки в правилах политики межсетевого экранирования. |
groups domain-group <имя_группы> named-list <список> | Указание именованного внешнего списка доменов. |
groups network-group <имя_группы> | Определение группы сетей для ссылки в правилах политики межсетевого экранирования. |
groups port-group <имя_группы> | Определение группы портов для ссылки в правилах политики межсетевого экранирования. |
groups port-group <имя_группы> named-list <список> | Указание именованного внешнего списка портов. |
groups user-group <имя_группы> | Определение группы пользователей для ссылки в правилах политики межсетевого экранирования. |
Команды межсетевого экрана IPv4. Правила и наборы правил (политики межсетевого экранирования)#
Команда | Описание команды |
---|---|
policy firewall <имя_политики> | Определение политики межсетевого экранирования IPv4. |
policy firewall <имя_политики> default-action <действие> | Установка действия по умолчанию для политики межсетевого экранирования IPv4. |
policy firewall <имя_политики> description <описание> | Указание краткого описания для политики межсетевого экранирования IPv4. |
policy firewall <имя_политики> enable-default-log | Включение регистрации событий действия по умолчанию. |
policy firewall <имя_политики> rule <номер_правила> | Определение правила в политике межсетевого экранирования IPv4. |
policy firewall <имя_политики> rule <номер_правила> action <действие> | Указание действия, которое будет применяться к пакетам, для которых было установлено соответствие правилу. |
policy firewall <имя_политики> rule <номер_правила> description <описание> | Указание краткого описания для правила в политике межсетевого экранирования IPv4. |
policy firewall <имя_политики> rule <номер_правила> log <состояние> | Включение/выключение регистрации событий фильтрации трафика для указанного правила указанной политики. |
policy firewall <имя_политики> rule <номер_правила> match filter <фильтр> | Задание фильтра, который будет использоваться для выборки пакетов для указанного правила указанной политики. |
Команды межсетевого экрана IPv4. Эксплуатационные команды#
Команда | Описание команды |
---|---|
policy clear firewall <имя_политики> | Очистка статистики для политики межсетевого экранирования. |
policy clear firewall <имя_политики> rule <номер_правила> | Очистка статистики для указанного правила политики межсетевого экранирования. |
policy clear firewall <имя_политики> rule <номер_правила> filter | Очистка статистики для фильтра, связанного с указанным правилом политики межсетевого экранирования IPv4-трафика. |
policy clear firewall <имя_политики> rule <номер_правила> filter rule <номер_правила_фильтра> | Очистка статистики для указанного правила фильтра, связанного с указанным правилом политики межсетевого экранирования IPv4-трафика. |
policy show firewall <имя_политики> | Вывод сведений и статистики для указанной политики межсетевого экранирования IPv4-трафика. |
policy show firewall <имя_политики> rule <номер_правила> | Вывод сведений и статистики для указанного правила политики межсетевого экранирования Ipv4-трафика. |
policy show firewall <имя_политики> rule <номер_правила> filter | Вывод сведений и статистики по фильтру для указанного правила политики межсетевого экранирования IPv4. |
named-list <тип_списка> export <имя_списка> to <имя_файла> | Экспорт именованных списков. |
named-list <тип_списка> import <имя_списка> from <имя_файла> | Импорт именованных списков. |
named-list <тип_списка> remove <имя_списка> | Удаление именованных списков. |
named-list <тип_списка> show | Отображение перечня именованных списков определенного типа, присутствующих в системе. |
geoip import | Импорт пользовательской базы данных GeoIP. |
geoip show <протокол_ip> <код_страны> | Отображение диапазонов ipv4/ipv6-адресов для выбранного региона. |
Команды межсетевого экрана IPv6. Команды для интерфейса#
Команда | Описание команды |
---|---|
interfaces <интерфейс> policy <направление> firewall-ipv6 <имя_политики> | Применение экземпляра межсетевого экрана IPv6 к определенному интерфейсу |
Команды межсетевого экрана IPv6. Системные настройки#
Команда | Описание команды |
---|---|
system firewall geoip db <база_geoip> | Указание используемой базы данных GeoIP. |
system ipv6 receive-redirects <состояние> | Обработка сообщений IPv6 ICMP о перенаправлении. |
system ipv6 source-route <состояние> | Обработка пакетов IPv6 с расширенным заголовком маршрутизации. |
Команды межсетевого экрана IPv6. Правила и наборы правил (политики межсетевого экранирования)#
Команда | Описание команды |
---|---|
policy firewall-ipv6 <имя_политики> | Определение политики межсетевого экранирования IPv6. |
policy firewall-ipv6 <имя_политики> default-action <действие> | Установка действия по умолчанию для политики межсетевого экранирования IPv6. |
policy firewall-ipv6 <имя_политики> description <описание> | Указание краткого описания для политики межсетевого экранирования IPv6. |
policy firewall-ipv6 <имя_политики> enable-default-log | Регистрация событий для действия по умолчанию указанной политики межсетевого экранирования |
policy firewall-ipv6 <имя_политики> rule <номер_правила> | Определение правила в политике межсетевого экранирования IPv6. |
policy firewall-ipv6 <имя_политики> rule <номер_правила> action <действие> | Указание действия, которое будет применяться к пакетам, для которых было установлено соответствие правилу. |
policy firewall <имя_политики> rule <номер_правила> description <описание> | Указание краткого описания для правила в политике межсетевого экранирования IPv6. |
policy firewall-ipv6 <имя_политики> rule <номер_правила> log <состояние> | Включение/выключение регистрации событий фильтрации трафика IPv6 для указанного правила указанной политики. |
policy firewall-ipv6 <имя_политики> rule <номер_правила> match filter-ipv6 <фильтр> | Задание фильтра IPv6, который будет использоваться для выборки пакетов для указанного правила указанной политики IPv6. |
Команды межсетевого экрана IPv6. Эксплуатационные команды#
Команда | Описание команды |
---|---|
policy clear firewall-ipv6 <имя_политики> | Очистка статистики для политики межсетевого экранирования IPv6. |
policy clear firewall-ipv6 <имя_политики> rule <номер_правила> | Очистка статистики политики межсетевого экранирования IPv6-трафика. |
policy clear firewall-ipv6 <имя_политики> rule <номер_правила> filter | Очистка статистики для фильтра, связанного с указанным правилом политики межсетевого экранирования IPv6-трафика. |
policy clear firewall-ipv6 <имя_политики> rule <номер_правила> filter rule <номер_правила_фильтра> | Очистка статистики по указанному правилу фильтра, связанного с указанным правилом политики межсетевого экранирования IPv6-трафика. |
policy show firewall-ipv6 <имя_политики> | Вывод сведений и статистики для указанной политики межсетевого экранирования IPv6-трафика. |
policy show firewall-ipv6 <имя_политики> rule <номер_правила> | Вывод сведений и статистики для указанного правила политики межсетевого экранирования IPv6-трафика. |
policy show firewall-ipv6 <имя_политики> rule <номер_правила> filter | Вывод сведений и статистики по фильтру для указанного правила политики межсетевого экранирования IPv6. |
geoip import | Импорт пользовательской базы данных GeoIP. |
geoip show <протокол_ip> <код_страны> | Отображение диапазонов ipv4/ipv6-адресов для выбранного региона. |
system conntrack protocols sip#
Установка параметров подсистемы отслеживания состояний соединений для протокола SIP.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
enable-indirect-media
Поддержка непрямых медийных потоков
enable-indirect-signalling
Поддержка непрямых сигнальных соединений
port
Задать номера порта, обрабатывающего трафик SIP. Требует ввода обязательного параметра порт.
порт
Номер порта, обрабатывающего трафик SIP.
Значение по умолчанию#
Не установлено.
Указания по использованию#
Эта команда используется для работы с параметрами подсистемы отслеживания состояний соединений для протокола SIP.
Форма set
этой команды используется для изменения параметров подсистемы отслеживания состояний соединений для протокола SIP.
Форма delete
этой команды используется для восстановления значения, принятого по умолчанию.
Форма show
этой команды используется для просмотра настройки.
system conntrack expect-table-size <размер>#
Установка количества ожидаемых связанных подключений для сетевого фильтра.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
размер
Ожидаемое количество отслеживаемых связанных (related) подключений. Диапазон значений от 1 до 50 000 000.
Значение по умолчанию#
Ожидаемое количество отслеживаемых связанных (related) соединений, установленное по умолчанию, зависит от размера оперативной памяти устройства и определяется по формуле <размер_оперативной_памяти_кб>/192.
Указания по использованию#
Эта команда используется для указания ожидаемого количества отслеживаемых связанных (related) подключений для сетевого фильтра.
Форма set
этой команды используется для изменения ожидаемого количества отслеживаемых подключений.
Форма delete
этой команды используется для восстановления значения, принятого по умолчанию.
Форма show
этой команды используется для просмотра настройки.
system conntrack table-size <размер>#
Установка максимального количества отслеживаемых подключений для сетевого фильтра.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
размер
Максимальное количество отслеживаемых подключений. Диапазон значений от 1 до 50 000 000.
Значение по умолчанию#
Максимальное количество отслеживаемых соединений, установленное по умолчанию, зависит от размера оперативной памяти устройства и определяется по формуле <размер_оперативной_памяти_кб>/3.
Указания по использованию#
Эта команда используется для указания максимального количества отслеживаемых подключений для сетевого фильтра. Таблица отслеживания подключений для сетевого фильтра служит для отслеживания состояния сетевых подключений и потоков трафика, позволяя системе соотносить их для обеспечения фильтрации трафика с поддержкой состояния.
Форма set
этой команды используется для изменения максимального количества отслеживаемых подключений.
Форма delete
этой команды используется для восстановления значения, принятого по умолчанию.
Форма show
этой команды используется для просмотра настройки.
system conntrack tcp-loose <состояние>#
Указание необходимости отслеживания ранее установленных подключений для фильтрации трафика с поддержкой состояния.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
cостояние
Указание режима обработки ранее установленных соединений. Допустимые значения:
- enable: в системе разрешена обработка ранее установленных подключений;
- disable: в системе не разрешена обработка ранее установленных подключений.
Значение по умолчанию#
Обработка ранее установленных подключений разрешена.
Указания по использованию#
Эта команда используется для указания необходимости применения глобального отслеживания TCP, которая позволяет использовать ранее установленные подключения в фильтрации трафика с поддержкой состояния. При фильтрации трафика с поддержкой состояния система запоминает состояние новых потоков данных, авторизованных из доверенной сети. Если включено глобальное отслеживание подключений TCP, система разрешает прохождение потоков трафика, установленных до отслеживания; если оно отключено, система отклоняет эти потоки.
Форма set
этой команды используется для указания необходимости разрешения или отклонения ранее установленных подключений.
Форма delete
этой команд используется для восстановления поведения по умолчанию.
Форма show
этой команды используется для просмотра настройки глобального отслеживания TCP.
interfaces <интерфейс> policy <направление> firewall <имя_политики>#
Применение политики межсетевого экранирования к определенному интерфейсу.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
интерфейс
Обязательный. Тип интерфейса. Ключевые слова и аргументы, которые могут быть указаны, приведены в таблице ниже в разделе указания по использованию.
направление
Обязательный. Направление трафика, к которому применяется политика межсетевого экранирования. Допустимые значения указаны в таблице ниже:
Значение | Описание |
---|---|
in | Транзитный трафик, принимаемый на указанном интерфейсе |
out | Транзитный трафик, отправляемый с указанного интерфейса |
local | Трафик, принятый на интерфейсе, предназначенный для локальной системы. |
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет применить политику межсетевого экранирования к интерфейсу.
Фильтрация транзитного трафика или трафика, предназначенного для локальной системы, не осуществляется до тех пор, пока политика межсетевого экранирования не будет применена к интерфейсу (реальному или виртуальному) с использованием данной команды.
Для включения межсетевого экранирования следует определить политику с помощью команды policy firewall
. Затем следует применить политику к интерфейсам и/или виртуальным интерфейсам, используя данную команду. После чего указанная политика межсетевого экранирования будет функционировать в качестве пакетного фильтра.
На каждом интерфейсе можно применить до трех политик межсетевого экранирования: одну как фильтр транзитного трафика, принимаемого на интерфейсе (in), одну – как фильтр транзитного трафика, покидающего интерфейс (out) и одну – как фильтр трафика, предназначенного для локальной системы (local).
В приведенной ниже таблице показаны типы поддерживаемых интерфейсов и cинтаксис.
Тип интерфейса | Синтаксис |
---|---|
Агрегирование каналов | bonding bondx |
Виртуальный интерфейс агрегированных каналов | bonding bondx vif идентификатор_vlan |
Сетевой мост | bridge brx |
Ethernet | ethernet ethx |
Ethernet PPPoE | ethernet ethx pppoe номер |
Виртуальный интерфейс Ethernet | ethernet ethx vif идентификатор_vlan |
Ethernet Vif PPPoE | ethernet ethx vif идентификатор_vlan pppoe номер |
Интерфейс заглушки | loopback lo |
Многоканальная связь | multilink mlx |
OpenVPN | openvpn vtunx |
Псевдо-Ethernet | pseudo-ethernet pethx |
Последовательный интерфейс | serial srx vif идентификатор_vlan |
Туннель | tunnel tunx |
Форма set
данной команды позволяет применить политику межсетевого экранирования к интерфейсу.
Форма delete
данной команды позволяет удалить политику межсетевого экранирования для интерфейса.
Форма show
данной команды используется для отображения конфигурации политики межсетевого экранирования на интерфейсе.
system firewall geoip db <база_geoip>#
Указание используемой базы данных GeoIP.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
база_geoip
Используемая в системе база данных GeoIP. Допустимые значения:
- system: cистемная база данных GeoIP;
- user: пользовательская база данных GeoIP.
Значение по умолчанию#
По умолчанию используется системная база данных GeoIP.
Указания по использованию#
Данная команда позволяет на глобальном уровне указать, какая база данных GeoIP используется в системе для фильтров трафика и политик. Для указания пользовательской базы, она должна быть предварительно импортирована с помощью команды эксплуатационного режима geoip import
.
Примечание
После смены используемой базы данных GeoIP потребуется выполнить перезагрузку для применения изменений в ранее настроенных фильтрах трафика.
Форма set
данной команды используется для указания используемой базы GeoIP (системной или пользовательской).
Форма delete
данной команды используется для восстановления значения, принятого по умолчанию.
Форма show
данной команды используется для отображения используемой базы GeoIP.
system ip all-ping <состояние>#
Включение или выключение обработки ответа на эхо-запросы IPv4 ICMP (ping).
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
состояние
Параметр обработки ответов на эхо-запросы IPv4 ICMP. Допустимые значения:
- enable: система будет обрабатывать эхо-запросы IPv4 ICMP;
- disable: система не будет обрабатывать эхо-запросы IPv4 ICMP.
Значение по умолчанию#
По умолчанию разрешена обработка эхо-запросов IPv4 ICMP.
Указания по использованию#
Данная команда позволяет разрешить или запретить обработку эхо-запросов IPv4 ICMP (ping).
Действие распространяется на все типы таких сообщений: одноадресные, широковещательные или многоадресные. Эхо-запросы IPv4 ICMP позволяют проверить доступность устройства для локальной системы. Такие сообщения часто запрещают, так как они могут быть использованы для проведения атак отказа в обслуживании (Denial of Service (DoS) attacks).
Форма set
данной команды используется для включения или отключения ответов на эхо-запросы IPv4 ICMP.
Форма delete
данной команды используется для восстановления значения, принятого по умолчанию.
Форма show
данной команды используется для отображения настройки обработки эхо-запросов IPv4 ICMP.
system ip broadcast-ping <состояние>#
Включение или выключение ответа на широковещательные эхо-запросы IPv4 ICMP и запросы метки времени.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
состояние
Параметр обработки ответов на широковещательные эхо-запросы IPv4 ICMP и запросы метки времени. Допустимые значения:
- enable: система будет обрабатывать широковещательные эхо-запросы IPv4 ICMP и запросы метки времени;
- disable: система не будет обрабатывать широковещательные эхо-запросы IPv4 ICMP и запросы метки времени.
Значение по умолчанию#
По умолчанию эхо-запросы IPv4 ICMP и запросы метки времени не обрабатываются.
Указания по использованию#
Данная команда позволяет разрешить или запретить обработку широковещательных эхо-запросов IPv4 ICMP и широковещательных запросов метки времени IPv4 ICMP.
Эхо-запросы IPv4 ICMP позволяют проверить доступность устройства для локальной системы. Эхо-запросы ICMP, особенно широковещательные, часто запрещают, так как они могут быть использованы для проведения атак отказа в обслуживании (Denial of Service (DoS) attacks). Запрос метки времени позволяет запросить текущую дату и время у другого устройства. Широковещательные запросы метки времени также часто запрещают, так как они могут использоваться для проведения атак отказа в обслуживании, а также из-за того, что они позволяют злоумышленнику узнать дату и время, установленное на устройстве.
Форма set
данной команды позволяет указать, следует ли отвечать на широковещательные эхо-запросы ICMP IPv4 и запросы метки времени.
Форма delete
данной команды используется для восстановления поведения по умолчанию для обработки таких сообщений.
Форма show
данной команды используется для отображения настройки.
system ip log-martians <состояние>#
Регистрация пакетов с недопустимыми адресами.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
состояние
Параметр регистрации пакетов с недопустимыми адресами. Допустимые значения:
- enable: система будет регистрировать пакеты с недопустимыми адресами;
- disable: система не будет регистрировать пакеты с недопустимыми адресами.
Значение по умолчанию#
Регистрация сетевых пакетов с недопустимыми адресами включена.
Указания по использованию#
Данная команда позволяет включить или отключить регистрацию в журнале пакетов с недопустимыми адресами.
Форма set
данной команды позволяет включить или выключить регистрацию пакетов с недопустимыми адресами.
Форма delete
данной команды позволяет восстановить поведение по умолчанию для регистрации пакетов с недопустимыми адресами.
Форма show
данной команды используется для отображения настройки.
system ip receive-redirects <состояние>#
Обработка полученных пакетов перенаправлений IPv4 ICMP (тип 5).
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
состояние
Параметр обработки полученных пакетов перенаправлений IPv4 ICMP (тип 5). Допустимые значения:
- enable: система будет обрабатывать полученные пакетов перенаправлений IPv4 ICMP (тип 5);
- disable: система не будет обрабатывать полученные пакеты перенаправлений IPv4 ICMP (тип 5).
Значение по умолчанию#
По умолчанию обработка полученных пакетов перенаправлений IPv4 ICMP (тип 5) не производится.
Указания по использованию#
Данная команда позволяет разрешить или запретить прием сообщений IPv4 ICMP о перенаправлении (тип 5). Сообщения ICMP о перенаправлении могут позволить произвольному отправителю подделывать пакеты и изменять системную таблицу маршрутизации. Таким образом, система может быть уязвима по отношению к атаке "человек посередине".
Форма set
позволяет разрешить или запретить прием сообщений IPv4 ICMP о перенаправлении.
Форма delete
используется для удаления установленного значения.
Форма show
данной команды используется для отображения установленного значения.
system ip send-redirects <состояние>#
Обработка исходящих пакетов IPv4 ICMP о перенаправлении (тип 5).
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
состояние
Параметр обработки исходящих пакетов перенаправлений IPv4 ICMP. Допустимые значения:
- enable: сстема будет посылать пакеты перенаправлений IPv4 ICMP (тип 5);
- disable: система не будет посылать пакеты перенаправлений IPv4 ICMP (тип 5).
Значение по умолчанию#
По умолчанию отправка пакетов перенаправлений IPv4 ICMP (тип 5) разрешена.
Указания по использованию#
Данная команда позволяет разрешить или запретить отправку сообщений IPv4 ICMP о перенаправлении. Отправка сообщений redirect потенциально может изменить таблицу маршрутизации узла или маршрутизатора, которому предназначено сообщение.
Форма set
данной команды позволяет разрешить или запретить отправку сообщений IPv4 ICMP о перенаправлении.
Форма delete
данной команды позволяет удалить указанное значение.
Форма show
позволяет отобразить указанное значение.
system ip source-route <состояние>#
Обработка пакетов с опциями IP гибкой маршрутизации от источника (Loose Source Route) или жесткой маршрутизации от источника (Strict Source Route).
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
состояние
Параметр обработки пакетов с опциями IP маршрутизации от источника. Допустимые значения:
- enable: система будет обрабатывать пакеты с установленными опциями IP маршрутизацией от источника;
- disable: система не будет обрабатывать пакеты с установленными опциями IP маршрутизацией от источника.
Значение по умолчанию#
По умолчанию пакеты с установленными опциями IP маршрутизацией от источника не обрабатываются.
Указания по использованию#
Данная команда позволяет разрешить или запретить пакеты с установленными опциями гибкой или жесткой маршрутизации от источника.
Маршрутизация от источника разрешает приложениям указать один или несколько промежуточных адресов получателя для исходящих пакетов в обход таблицы маршрутизации. Данная возможность в некоторых случаях используется для выявления неисправностей, но делает сеть уязвимой к атакам, при которых сетевой трафик перенаправляется через централизованную точку записи трафика.
Форма set
данной команды позволяет запретить или разрешить обработку опций IP маршрутизации от источника.
Форма delete
данной команды используется для восстановления поведения по умолчанию для обработки опций маршрутизации от источника.
Форма show
данной команды используется для отображения настройки.
system ip source-validation <состояние>#
Определение политики для проверки отправителя на основе обратного пути, как определено в RFC 3704.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
состояние
Параметр определения политики проверки пакетов отправителя на основе обратного пути. Допустимые значения представлены в таблице ниже.
Значение | Описание |
---|---|
disable | Проверка отправителя на основе обратного пути не производится. |
loose | Используется пересылка по гибкому обратному пути (Loose Reverse Path Forwarding), как определено в RFC3704. |
strict | Используется пересылка по жесткому обратному пути (Strict Reverse Path Forwarding), как определено в RFC3704. |
Значение по умолчанию#
По умолчанию проверка отправителя на основе обратного пути не производится.
Указания по использованию#
Данная команда используется для определения политики для проверки отправителя на основе обратного пути, как определено в RFC3704.
Форма set
данной команды используется для указания политики проверки отправителя на основе обратного пути, как указано в RFC3704.
Форма delete
данной команды позволяет удалить установленное значение.
Форма show
позволяет отобразить установленное значение.
system ip syn-cookies <состояние>#
Использование определенного способа формирования номера последовательности TCP SYN для предотвращения атак SYN-flood (одна из разновидностей сетевых атак отказа в обслуживании, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий период времени).
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
состояние
Параметр использования определенного способа формирования номера последовательности TCP SYN. Допустимые значения:
- enable: включение механизма предотвращения атак, на основе формирования определенного номера последовательности;
- disable: отключение механизма предотвращения атак, на основе формирования определенного номера последовательности.
Значение по умолчанию#
По умолчанию механизм предотвращения атак, на основе формирования определенного номера последовательности включен.
Указания по использованию#
Данная команда позволяет включить или отключить механизм предотвращения атак, на основе формирования определенного номера последовательности. Включение данной опции позволит защитить систему от атак отказа в обслуживании, заключающихся в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в короткий срок. При установлении соединения TCP, отправитель посылает пакет SYN (синхронизация). Получатель возвращает пакет SYN ACK (подтверждение синхронизации). После чего отправитель посылает пакет ACK (подтверждение), и соединение считается установленным. Данная последовательность действий называется “тройным рукопожатием TCP”.
После того как получатель отправляет пакет SYN ACK, соединение добавляется в очередь для соединений, ожидающих окончания установления. Злоумышленник может заполнить очередь подключений поддельными пакетами TCP SYN, от различных IP-адресов. После того как очередь подключений будет полностью заполнена, произойдет отказ в обслуживании сервисов TCP.
При включении этой опции вместо добавления соединения в очередь для соединений, получатель отправляет пакет SYN ACK с номером последовательности, созданным по определенному алгоритму, использующему криптографическую хеш-функцию от IP-адреса отправителя, номера порта и других сведений. Пакет ACK, который присылает в ответ отправитель включает в себя этот номер последовательности, который затем проверяется получателем. Таким образом, получатель выделяет память только при получении третьего пакета «рукопожатия TCP», а не после первого, как происходит обычно. Однако, следует учесть, что используемая криптографическая хеш-функция требует выделения ресурсов системы, и в том случае если ожидается большое количество входящих подключений, следует использовать эту опцию с осторожностью.
Форма set
данной команды позволяет включить или отключить механизма предотвращения атак, на основе формирования определенного номера последовательности.
Форма delete
данной команды позволяет восстановить значение, принятое по умолчанию.
Форма show
данной команды позволяет отобразить настройку.
groups#
Определение группы объектов для ссылки в правилах политики межсетевого экранирования.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
Отсутствуют.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет определить группу объектов, на основе которой будет производиться фильтрация пакетов. Группы фильтрации позволяют группировать различные сетевые объекты, и устанавливать соответствие для сетевого пакета при совпадении с любым элементом группы, что позволяет не указывать элементы по отдельности. Могут быть созданы группы адресов, сетей или интерфейсов.
Форма set
данной команды используется для создания настройки группы фильтрации.
Форма delete
данной команды используется для удаления группы фильтрации.
Форма show
данной команды используется для отображения настройки группы фильтрации.
groups address-group <имя_группы>#
Определение группы IP-адресов для ссылки в правилах политики межсетевого экранирования.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Обязательный. Имя группы адресов.
адрес
IPv4-адрес. Добавление указанного IPv4-адреса, диапазона IPv4-адресов или сетей IPv4 в указанную группу. Формат указания адресов в составе address-group представлен в таблице ниже:
Значение | Описание |
---|---|
<x.x.x.x> | Адрес IPv4 |
<x.x.x.x>-<x.x.x.x> | Диапазон адресов IPv4 |
<x.x.x.x/x> | Сеть IPv4 |
описание
Позволяет указать краткое описание для группы адресов.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания группы адресов. Группа адресов представляет собой набор IP-адресов, диапазонов IP-адресов или сетей IPv4 на которую можно указать ссылку в правиле политики межсетевого экранирования. Соответствие группе адресов устанавливается в том случае, если адрес пакета совпадает с любым адресом или диапазоном адресов, входящих в группу.
Форма set
данной команды используется для указания группы адресов.
Форма delete
данной команды используется для удаления группы адресов или элемента группы.
Форма show
данной команды используется для отображения настройки группы адресов.
Примечание
Для любой группы адреса задаются либо указанием отдельного адреса, диапазона адресов или сетей данной командой, либо указанием списка адресов командой groups address-group <имя_группы> named-list <список>
. Параллельное использование обоих механизмов не допускается.
groups address-group <имя_группы> named-list <список>#
Указание именованного внешнего списка адресов.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Обязательный. Имя группы адресов.
список
Имя списка адресов. Для работы с внешними списками адресов используются команды эксплуатационного режима named-list address
.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания списка адресов.
Форма set
данной команды используется для указания именованного списка адресов.
Форма delete
данной команды используется для удаления именованного списка адресов.
Форма show
данной команды используется для отображения настройки именованного списка адресов.
Примечание
Для любой группы адреса задаются либо указанием списка адресов данной командой, либо указанием отдельного адреса (диапазона адресов или сетей) командой groups address-group <имя_группы>
. Параллельное использование обоих механизмов не допускается.
groups domain-group <имя_группы>#
Определение группы доменов для ссылки в правилах политики межсетевого экранирования.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Обязательный. Имя группы доменов.
домен
Добавление указанного доменного имени в группу. Используется текстовый формат.
описание
Позволяет указать краткое описание для группы доменов.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания группы доменов.
Соответствие группе доменов устанавливается в том случае, если адрес пакета совпадает с любым адресом или диапазоном адресов, входящих в группу.
Примечание
При использовании группы доменов в правила NAT, правилах фильтрации и в любых других местах, стоит иметь ввиду что внутренний механизм данной группы включает в себя преобразование доменных имен в IP адреса, с последующим использованием именно адресов для категоризации трафика. По этой причине необходимо, чтобы DNS сервер на клиенте, и на Numa Edge был одинаковый, так как в противном случае IP адреса после преобразования от разных DNS адресов могут отличаться. Сам процесс преобразования на Numa Edge происходит не сразу после применения конфигурации, а по истечении временного интервала (local-ttl), значение которого по умолчанию равно 60 секунд.
Форма set
данной команды используется для указания группы доменов.
Форма delete
данной команды используется для удаления группы доменов или элемента группы.
Форма show
данной команды используется для отображения настройки группы доменов.
Примечание
Для любой группы домены задаются либо указанием отдельного домена данной командой, либо указанием списка доменов командой groups domain-group <имя_группы> named-list <список>
. Параллельное использование обоих механизмов не допускается.
groups domain-group <имя_группы> named-list <список>#
Указание именованного внешнего списка доменов.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Обязательный. Имя группы доменов.
список
Имя списка доменов. Для работы с внешними списками доменов используются команды эксплуатационного режима named-list domain
.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания именованного списка доменов.
Примечание
При использовании группы доменов в правила NAT, правилах фильтрации и в любых других местах, стоит иметь ввиду что внутренний механизм данной группы включает в себя преобразование доменных имен в IP адреса, с последующим использованием именно адресов для категоризации трафика. По этой причине необходимо, чтобы DNS сервер на клиенте, и на Numa Edge был одинаковый, так как в противном случае IP адреса после преобразования от разных DNS адресов могут отличаться. Сам процесс преобразования на Numa Edge происходит не сразу после применения конфигурации, а по истечении временного интервала (local-ttl), значение которого по умолчанию равно 60 секунд.
Форма set
данной команды используется для указания именованного списка доменов.
Форма delete
данной команды используется для удаления именованного списка доменов.
Форма show
данной команды используется для отображения настройки именованного списка доменов.
Примечание
Для любой группы домены задаются либо список доменов командой groups domain-group <имя_группы>
, либо именованный список. Параллельное использование обоих механизмов не допускается.
groups network-group <имя_группы>#
Данный узел команд присутствует в системе для обеспечения обратной совместимости со старыми версиями оборудования. Вместо него следует использовать функционал groups address-group <имя_группы>
. Данный узел может быть удален с дальнейшими обновлениями.
groups port-group <имя_группы>#
Определение группы портов для ссылки в фильтрах сетевого трафика.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Обязательный. Имя группы портов.
порт
Добавление номера порта в указанную группу портов. Формат указания портов в составе port-group представлен в таблице ниже:
Значение | Описание |
---|---|
<text> | Имя порта (любое из файла /etc/services) |
<0-65535> | Номер порта |
<start>-<end> | Диапазон портов |
описание
Позволяет указать краткое описание для группы портов.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания группы портов. Группа портов представляет собой набор имен портов, номеров портов и диапазонов портов, что позволяет после определения группы указать одну ссылку на все ее элементы в правиле политики межсетевого экранирования.
Соответствие группе портов устанавливается в том случае, если порт сетевого пакета совпадает с любым именем или номером сетевого порта, входящего в группу.
Форма set
данной команды используется для указания группы портов.
Форма delete
данной команды используется для удаления группы портов или ее элементов.
Форма show
данной команды используется для отображения настройки группы портов.
Примечание
Для любой группы портов задаются либо перечень портов данной командой, либо именованный список командой groups port-group <имя_группы> named-list <список>
. Параллельное использование обоих механизмов не допускается.
groups port-group <имя_группы> named-list <список>#
Определение группы портов для ссылки в правилах фильтров сетевого трафика.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Обязательный. Имя группы портов.
список
Имя списка группы портов. Для работы с внешними списками доменов используются команды эксплуатационного режима named-list port
.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания именованного списка группы портов.
Форма set
данной команды используется для указания именованного списка сетей.
Форма delete
данной команды используется для удаления именованного списка сетей.
Форма show
данной команды используется для отображения настройки именованного списка сетей.
Примечание
Для любой группы портов задаются либо перечень портов командой groups port-group <имя_группы>
, либо именованный список портов данной командой. Параллельное использование обоих механизмов не допускается.
groups user-group <имя_группы>#
Определение группы пользователей для ссылки в фильтрах сетевого трафика.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_группы
Обязательный. Имя группы пользователей.
user
Добавление имени пользователя в указанную группу пользователей. Для указания имени пользователя используется текстовый формат.
время
Указывает период времени после успешной авторизации, в течение которого IPv4 адрес считается соответствующим указанному пользователю. Диапазон допустимых значений cоставляет от 1 до 86400 секунд.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для указания группы пользователей. Группа пользователей представляет собой набор имен пользователей, что позволяет после определения группы указать одну ссылку на все ее элементы в правиле политики межсетевого экранирования.
Соответствие группе пользователей устанавливается в том случае, если пользователь, успешно прошедший авторизацию, входит в группу.
Форма set
данной команды используется для указания группы пользователей.
Форма delete
данной команды используется для удаления группы пользователей или ее элементов.
Форма show
данной команды используется для отображения настройки группы пользователей.
policy firewall <имя_политики>#
Определение политики межсетевого экранирования.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Множественный узел. Текст. Имя политики межсетевого экранирования. Можно определить несколько политик межсетевого экранирования IPv4, создав соответствующее количество узлов конфигурации.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет определить политику межсетевого экранирования IPv4. Политика может включать в себя до 65535 правил.
Форма set
данной команды используется для создания и изменения политики межсетевого экранирования.
Форма delete
данной команды используется для удаления политики межсетевого экранирования.
Форма show
данной команды используется для отображения конфигурации политики межсетевого экранирования.
policy firewall <имя_политики> default-action <действие>#
Установка действия по умолчанию для набора правил IPv4.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
действие
Действие по умолчанию, которое осуществляется в том случае, если для политики не было установлено ни одного соответствия. Допустимые значения представлены в таблице ниже.
Значение | Описание |
---|---|
accept | Принять пакет |
drop | Отбросить пакет без уведомления |
reject | Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет |
Значение по умолчанию#
В том случае если действие по умолчанию явно не указано, если для пакета не было установлено ни одного соответствия правилам политики, пакет отбрасывается без уведомления.
Указания по использованию#
Данная команда позволяет указать действие по умолчанию, которое будет выполняться в том случае, если для пакета не было установлено ни одного соответствия правилам политики.
В том случае если для пакета не было установлено соответствие ни одному правилу в политике, к нему применяется действие, принятое по умолчанию. По умолчанию, пакет отбрасывается без отправки сообщения ICMP с уведомлением о том, что адресат недоступен.
Форма set
данной команды позволяет установить действие по умолчанию для политики межсетевого экранирования.
Форма delete
данной команды используется для восстановления поведения по умолчанию для пакетов, для которых не было установлено ни одного соответствия критериям правила.
Форма show
данной команды используется для отображения настройки политики по умолчанию.
policy firewall <имя_политики> description <описание>#
Указание краткого описания для политики межсетевого экранирования IPv4.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
описание
Описание политики межсетевого экранирования. В том случае если описание содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать описание для политики межсетевого экранирования.
Форма set
данной команды используется для создания и изменения описания.
Форма delete
используется для удаления описания.
Форма show
используется для отображения настройки описания.
policy firewall <имя_политики> enable-default-log#
Указание краткого описания для политики межсетевого экранирования IPv4.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
Отсутствуют.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет включить регистрацию событий для действия по умолчанию указанной политики межсетевого экранирования.
Форма set
данной команды используется для включения регистрации событий для действия по умолчанию указанной политики межсетевого экранирования.
Форма delete
используется для отключения регистрации событий для действия по умолчанию указанной политики межсетевого экранирования.
Форма show
используется для отображения настройки.
policy firewall <имя_политики> rule <номер_правила>#
Определение правила в политике межсетевого экранирования IPv4.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
номер_правила
Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет определить правило в политике межсетевого экранирования. Политика может включать в себя до 65535 настраиваемых правил.
Правила политики исполняются в порядке следования их номеров, от наименьшего к наибольшему. Напрямую изменить номер правила нельзя, так как он является идентификатором узла конфигурации; однако, можно изменять номера правил при помощи команды rename.
Для того чтобы не прибегать к изменению номеров правил, хорошей практикой является указание номеров с шагом 10. Это позволяет оставить пространство, куда можно будет впоследствии добавить новые правила.
Форма set
данной команды используется для создания или изменения правила в политике межсетевого экранирования.
Форма delete
данной команды используется для удаления правила из политики межсетевого экранирования.
Форма show
данной команды используется для отображения настройки правила политики межсетевого экранирования.
policy firewall <имя_политики> rule <номер_правила> action <действие>#
Указание действия, которое будет применяться к пакетам, для которых было установлено соответствие правилу.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
номер_правила
Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.
действие
Действие, которое будет выполнено, в том случае если пакет удовлетворяет критериям, указанным в правиле. Допустимые значения представлены в таблице ниже.
Значение | Описание |
---|---|
accept | Принять пакет |
delude | В ответ на сообщение с установленным флагом SYN будет отправлено сообщение с флагами SYN-ACK, но в остальных случаях отправляется сообщение с флагом RST. Таким образом создается видимость того, что порт открыт и принимает подключения. |
drop | Отбросить пакет без уведомления |
inspect | Пересылка пакета, для которого было установлено соответствие системе предотвращения вторжений (IPS). Система предотвращения вторжений при этом должна быть включена. (При наличии сервиса idps) |
reject | Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет |
tarpit | При указании этого действия, в случае получения запроса на соединение, оно будет установлено, после чего размер окна будет установлен равным нулю, что вынудит систему, отправившую запрос на соединение, прекратить передачу данных. Любые попытки закрыть соединение игнорируются, таким образом соединение остается открытым, пока не истечет срок таймаута, что повлечет расходование локальных ресурсов системы, инициировавшей подключение, но не ресурсов Numa Edge (за исключением ресурсов системы отслеживания соединений, если она используется в МЭ). |
Значение по умолчанию#
Пакеты отбрасываются.
Указания по использованию#
Данная команда позволяет указать действие, которое будет применено к пакетам, для которых было установлено соответствие критериям, указанным в правиле. В правиле может быть указано только одно действие.
Форма set
данной команды используется для указания действия, которое будет применяться к пакетам, для которых установлено соответствие критериям правила.
Форма delete
данной команды позволяет восстановить действие, принятое по умолчанию.
Форма show
данной команды используется для отображения настройки действия для правила политики межсетевого экранирования.
policy firewall <имя_политики> rule <номер_правила> description <описание>#
Указание краткого описания для политики межсетевого экранирования IPv4.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
номер_правила
Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.
описание
Описание правила в политике межсетевого экранирования. В том случае если описание содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать описание правила в политике межсетевого экранирования.
Форма set
данной команды используется для создания и изменения описания.
Форма delete
используется для удаления описания.
Форма show
используется для отображения настройки описания.
policy firewall <имя_политики> rule <номер_правила> log <состояние>#
Включение/выключение регистрации событий фильтрации трафика для указанного правила указанной политики.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя определённой политики фильтрации трафика.
номер_правила
Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.
состояние
Указывает режим регистрации событий для правил политики. Допустимые значения:
- enable: включение регистрации событий фильтрации для правила политики;
- disable: отключение регистрации событий фильтрации для правила политики.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Включает или отключает журналирование событий для правила политики.
В том случае, если задействовано журналирование для правила политики, в системный лог (журнал) будут выводиться сообщения для всех пакетов, подпадающих под правило.
Для каждого сообщения формируется префикс в квадратных скобках вида [f-<имя_политики>-<номер правила>-<действие>].
Имя политики может быть записано в журнале не полностью в связи с системным ограничением общей длины префикса в 29 символов. Действия правил фильтрации в файле журнала кодируются следующими аббревиатурами:
Значение | Описание |
---|---|
AC | accept: Принять пакет |
DE | delude: В ответ на сообщение с установленным флагом SYN будет отправлено сообщение с флагами SYN-ACK, но в остальных случаях отправляется сообщение с флагом RST. Таким образом создается видимость того, что порт открыт и принимает подключения. |
DR | drop: Отбросить пакет без уведомления |
IN | inspect: Пересылка пакета, для которого было установлено соответствие системе предотвращения вторжений (IPS). Система предотвращения вторжений при этом должна быть включена. (При наличии сервиса idps) |
RE | reject: Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет |
TA | tarpit: При указании этого действия, в случае получения запроса на соединение, оно будет установлено, после чего размер окна будет установлен равным нулю, что вынудит систему, отправившую запрос на соединение, прекратить передачу данных. Любые попытки закрыть соединение игнорируются, таким образом соединение остается открытым, пока не истечет срок таймаута, что повлечет расходование локальных ресурсов системы, инициировавшей подключение, но не ресурсов Numa Edge (за исключением ресурсов системы отслеживания соединений, если она используется в МЭ). |
Форма set
этой команды используется для задания настройки регистрации событий фильтрации для указанного правила указанной политики.
Форма delete
этой команды используется для удаления настройки регистрации событий фильтрации.
Форма show
этой команды используется для отображения настройки регистрации событий фильтрации.
policy firewall <имя_политики> rule <номер_правила> match filter <фильтр>#
Задание фильтра, который будет использоваться для выборки пакетов для указанного правила указанной политики.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
номер_правила
Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.
фильтр
Пакетный фильтр, который будет использоваться указанным правилом данной политики межсетевого экранирования.
Значение по умолчанию#
Не установлено.
Указания по использованию#
Данная команда позволяет указать фильтр, который будет использоваться данным правилом указанной политики межсетевого экранирования. В правиле может быть указан только один фильтр, то есть новое указанное значение фильтра заменит предыдущее (при его наличии).
Форма set
данной команды используется для указания фильтра, который будет использоваться данным правилом указанной политики межсетевого экранирования.
Форма delete
данной команды позволяет удалить связь правила с каким-либо фильтром.
Форма show
данной команды используется для отображения связанного с указанным правилом указанной политики межсетевого экранирования фильтра.
policy clear firewall <имя_политики>#
Очистка статистики политики межсетевого экранирования IPv4-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv4-трафика.
Значение по умолчанию#
Отсутствует.
policy clear firewall <имя_политики> rule <номер_правила>#
Очистка статистики правила политики межсетевого экранирования IPv4-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv4-трафика.
номер_правила
Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер.
Значение по умолчанию#
Отсутствует.
policy clear firewall <имя_политики> rule <номер_правила> filter#
Очистка статистики фильтра, связанного с указанным правилом политики межсетевого экранирования IPv4-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv4-трафика.
номер_правила
Численный идентификатор правила.
Значение по умолчанию#
Отсутствует.
policy clear firewall <имя_политики> rule <номер_правила> filter rule <номер_правила_фильтра>#
Очистка статистики по указанному правилу фильтра, связанного с указанным правилом политики межсетевого экранирования IPv4-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv4-трафика.
номер_правила
Численный идентификатор правила.
номер_правила_фильтра
Численный идентификатор правила фильтра.
Значение по умолчанию#
Отсутствует.
policy show firewall <имя_политики>#
Вывод сведений и статистики для указанной политики межсетевого экранирования IPv4-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv4-трафика.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Эта команда используется для отображения сведений о выбранной настроенной политике межсетевого экранирования IPv4-трафика.
policy show firewall <имя_политики> rule <номер_правила>#
Вывод конфигурации правила политики межсетевого экранирования IPv4-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv4-трафика.
номер_правила
Численный идентификатор правила.
Значение по умолчанию#
Отсутствует.
policy show firewall <имя_политики> rule <номер_правила> filter#
Вывод сведений и статистики по фильтру для указанного правила политики межсетевого экранирования IPv4.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv4-трафика.
номер_правила
Численный идентификатор правила.
detail
Вывод подробных сведений и статистики по фильтру для указанного правила политики межсетевого экранирования.
номер_правила фильтра
Вывод сведений и статистики по указанному правилу фильтра для указанного правила политики межсетевого экранирования.
Значение по умолчанию#
Отсутствует.
named-list <тип_списка> export <имя_списка> to <имя_файла>#
Экспорт именованных списков.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
тип_списка
Тип экспортируемого именованного списка. Допустимые значения указаны в таблице ниже.
Значение | Описание |
---|---|
address | Именованный список адресов |
domain | Именованный список доменов |
port | Именованный список портов |
имя_списка
Имя списка.
имя_файла
Путь до экспортируемого файла. Способы экспорта именованных списков представлены в таблице ниже.
Местоположение | Способ указания |
---|---|
Путь в локальной системе | Может быть указан абсолютный или относительный путь в локальной системе. Используется стандартный способ указания файла в UNIX. |
Сервер FTP | Используется следующий синтаксис для параметра имя_файла: ftp://пользователь@узел/файл, где: пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера FTP, файл – это название файла. |
Сервер SCP | Используется следующий синтаксис для имя_файла: scp://пользователь@узел/файл, где: пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера SCP, файл – это название файла. |
Сервер TFTP | Используется следующий синтаксис для параметра имя_файла: tftp://узел/файл, где: узел – это имя узла или IP-адрес сервера TFTP, файл – это название архива. |
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для экспорта именованных списков – списков адресов, доменных имен, подсетей или портов.
Производится экспорт именованного списка в файл по указанному адресу, который может быть локальным или находиться на сервере TFTP, FTP или SCP.
named-list <тип_списка> import <имя_списка> from <имя_файла>#
Импорт именованных списков.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
тип_списка
Тип экспортируемого именованного списка. Допустимые значения указаны в таблице ниже.
Значение | Описание |
---|---|
address | Именованный список адресов |
domain | Именованный список доменов |
port | Именованный список портов |
имя_списка
Имя списка.
имя_файла
Путь до импортируемого файла. Способы импорта именованных списков представлены в таблице ниже.
Местоположение | Способ указания |
---|---|
Путь в локальной системе | Может быть указан абсолютный или относительный путь в локальной системе. Используется стандартный способ указания файла в UNIX. |
Сервер FTP | Используется следующий синтаксис для параметра имя_файла: ftp://пользователь@узел/файл, где: пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера FTP, файл – это название файла. Если пользователь не указан, будет выдан запрос на его ввод. |
Сервер SCP | Используется следующий синтаксис для имя_файла: scp://пользователь@узел/файл, где: пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера SCP, файл – это название файла. Если пользователь и пароль не указаны, будет выдан запрос на их ввод. |
Сервер TFTP | Используется следующий синтаксис для параметра имя_файла: tftp://узел/файл, где: узел – это имя узла или IP-адрес сервера TFTP, файл – это название файла. |
Примеры#
Пример импорта списка адресов:
Пример импорта списка доменов:
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для импорта именованных списков – списков адресов, доменных имен, подсетей или портов. При выборе имени списка в системе нужно учитывать, что оно должно начинаться с буквы латинского алфавита, может содержать только буквы латинского алфавита, цифры и дефис, но не может содержать два дефиса подряд или оканчиваться дефисом. Внутри файла из которого импортируется список не должно быть пустых строк. Формат именованных списков: текстовый файл со значениями, разделенными между собой переносом строки, без пустых строк.
Узел команд именнованных списков подсетей (named-list network import <имя_списка>) присутствует в системе для обеспечения обратной совместимости со старыми версиями оборудования. Вместо него следует использовать функционал named-list address import <имя_списка>. Данный узел может быть удален с дальнейшими обновлениями.
При указании параметра from
производится импорт из файла архива или текстового файла по указанному адресу, который может быть локальным или находиться на сервере TFTP, FTP или SCP.
named-list <тип_списка> remove <имя_списка>#
Удаление именованного списка.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
тип_списка
Тип экспортируемого именованного списка. Допустимые значения указаны в таблице ниже.
Значение | Описание |
---|---|
address | Именованный список адресов |
domain | Именованный список доменов |
port | Именованный список портов |
имя_списка
Имя списка.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для удаления именнованного списка.
named-list <тип_списка> show#
Отображение перечня именованных списков определенного типа, присутствующих в системе.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
тип_списка
Тип экспортируемого именованного списка. Допустимые значения указаны в таблице ниже.
Значение | Описание |
---|---|
address | Именованный список адресов |
domain | Именованный список доменов |
port | Именованный список портов |
имя_списка
Имя списка. При задании имени списка выводится содержимое конкретного списка.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для отображения перечня именованных списков определенного типа, присутствующих в системе.
geoip import#
Импорт пользовательской базы данных GeoIP.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
db-ip
База данных провайдера DB-IP.
fstek
База данных, рекомендованная ФСТЭК.
имя_файла
Имя файла базы данных GeoIP.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для импорта пользовательской базы данных GeoIP на устройство Numa Edge. Поддерживаются форматы баз данных, распространяемые DB-IP и ФСТЭК.
Для баз DB-IP поддерживается импорт в форматах csv и csv.gz. Для баз ФСТЭК поддерживается импорт в виде zip-архива.
В приведенной ниже таблице показан синтаксис указания файла для различных местоположений файла.
Местоположение | Способ указания |
---|---|
Путь в локальной системе | Может быть указан абсолютный или относительный путь в локальной системе. Используется стандартный способ указания файла в UNIX |
Сервер FTP | Используется следующий синтаксис для параметра имя_файла: ftp://пользователь@узел/архив, где пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера FTP, а архив - это название архива, содержащего сертификат субъекта, секретный ключ, сертификат УЦ, а также при необходимости файл, содержащий список отозванных сертификатов. Название должно включать путь к файлу. Если пользователь не указан, будет выдан запрос на его ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер SCP | Используется следующий синтаксис для имя_файла: scp://пользователь@узел/архив, где пользователь - это имя пользователя на узле, узел это имя узла или IP-адрес сервера SCP, а архив - это архив, содержащий сертификат субъекта, секретный ключ, сертификат УЦ, а также при необходимости файл, содержащий список отозванных сертификатов. Название должно включать путь к файлу. Если пользователь не указан, будет выдан запрос на их ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер TFTP | Используется следующий синтаксис для параметра имя_файла: tftp://узел/архив, где узел - это имя узла или IP-адрес сервера TFTP, а архив - это архив, содержащий сертификат субъекта, секретный ключ, сертификат УЦ, а также при необходимости файл, содержащий список отозванных сертификатов. Название должно включать путь относительно корневого каталога TFTP |
Примеры#
В примере показан импорт базы GeoIP, рекомендованной ФСТЭК.
Пример – Импорт базы GeoIP
geoip show <протокол_ip> <код_страны>#
Отображение диапазонов адресов указанного протокола IP для выбранного региона.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
протокол_ip
Версия протокола IP (IPv4 или IPv6).
код_страны
Код страны из предлагаемого списка в виде двух букв в верхнем регистре.
Примеры#
В примере показан частичный вывод команды geoip show ipv4 RU
.
Пример – Отображение диапазона адресов протокола ipv4 для России
interfaces <интерфейс> policy <направление> firewall-ipv6 <имя_политики>#
Применение экземпляра межсетевого экрана IPv6 к определенному интерфейсу.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
интерфейс
Обязательный. Тип интерфейса. Ключевые слова и аргументы, которые могут быть указаны, приведены в таблице ниже в разделе указания по использованию.
направление
Обязательный. Направление трафика, к которому применяется политика межсетевого экранирования. Допустимые значения указаны в таблице ниже:
Значение | Описание |
---|---|
in | Транзитный трафик IPv6, принимаемый на указанном интерфейсе |
out | Транзитный трафик IPv6, отправляемый с указанного интерфейса |
local | Трафик IPv6, принятый на интерфейсе, предназначенный для локальной системы. |
имя_политики
Имя политики межсетевого экранирования.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет применить политику межсетевого экранирования IPv6 к интерфейсу.
Фильтрация транзитного трафика или трафика, предназначенного для локальной системы, не осуществляется до тех пор, пока политика межсетевого экранирования не будет применена к интерфейсу (реальному или виртуальному) с использованием данной команды.
Для включения межсетевого экранирования следует определить политику с помощью команды policy firewall-ipv6
. Затем следует применить политику к интерфейсам и/или виртуальным интерфейсам, используя данную команду. После чего указанная политика межсетевого экранирования будет функционировать в качестве пакетного фильтра.
На каждом интерфейсе можно применить до трех политик межсетевого экранирования: одну как фильтр транзитного трафика, принимаемого на интерфейсе (in), одну – как фильтр транзитного трафика, покидающего интерфейс (out) и одну – как фильтр трафика, предназначенного для локальной системы (local).
В приведенной ниже таблице показаны типы поддерживаемых интерфейсов и cинтаксис.
Тип интерфейса | Синтаксис |
---|---|
Агрегирование каналов | bonding bondx |
Виртуальный интерфейс агрегированных каналов | bonding bondx vif идентификатор_vlan |
Сетевой мост | bridge brx |
Ethernet | ethernet ethx |
Ethernet PPPoE | ethernet ethx pppoe номер |
Виртуальный интерфейс Ethernet | ethernet ethx vif идентификатор_vlan |
Ethernet Vif PPPoE | ethernet ethx vif идентификатор_vlan pppoe номер |
Интерфейс заглушки | loopback lo |
Многоканальная связь | multilink mlx |
OpenVPN | openvpn vtunx |
Псевдо-Ethernet | pseudo-ethernet pethx |
Последовательный интерфейс | serial srx vif идентификатор_vlan |
Туннель | tunnel tunx |
Форма set
данной команды позволяет применить политику межсетевого экранирования IPv6 к интерфейсу.
Форма delete
данной команды позволяет удалить политику межсетевого экранирования IPv6 для интерфейса.
Форма show
данной команды используется для отображения конфигурации политики межсетевого экранирования IPv6 на интерфейсе.
system firewall geoip db <база_geoip>#
Указание используемой базы данных GeoIP.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
база_geoip
Используемая в системе база данных GeoIP. Допустимые значения:
- system: cистемная база данных GeoIP;
- user: пользовательская база данных GeoIP.
Значение по умолчанию#
По умолчанию используется системная база данных GeoIP.
Указания по использованию#
Данная команда позволяет на глобальном уровне указать, какая база данных GeoIP используется в системе для фильтров трафика и политик. Для указания пользовательской базы, она должна быть предварительно импортирована с помощью команды эксплуатационного режима geoip import
.
Примечание
После смены используемой базы данных GeoIP потребуется выполнить перезагрузку для применения изменений в ранее настроенных фильтрах трафика.
Форма set
данной команды используется для указания используемой базы GeoIP (системной или пользовательской).
Форма delete
данной команды используется для восстановления значения, принятого по умолчанию.
Форма show
данной команды используется для отображения используемой базы GeoIP.
system ipv6 receive-redirects <состояние>#
Обработка сообщений IPv6 ICMP о перенаправлении (тип 5).
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
состояние
Параметр обработки полученных пакетов перенаправлений IPv6 ICMP (тип 5). Допустимые значения:
- enable: система будет обрабатывать полученные пакетов перенаправлений IPv6 ICMP (тип 5);
- disable: система не будет обрабатывать полученные пакеты перенаправлений IPv6 ICMP (тип 5).
Значение по умолчанию#
По умолчанию отправка пакетов перенаправлений IPv6 ICMP (тип 5) запрещена.
Указания по использованию#
Данная команда позволяет разрешить или запретить отправку сообщений IPv6 ICMP о перенаправлении. Отправка сообщений redirect потенциально может изменить таблицу маршрутизации узла или маршрутизатора, которому предназначено сообщение.
Форма set
данной команды позволяет разрешить или запретить отправку сообщений IPv6 ICMP о перенаправлении.
Форма delete
данной команды позволяет удалить указанное значение.
Форма show
позволяет отобразить указанное значение.
system ipv6 source-route <состояние>#
Обработка пакетов IPv6 с расширенным заголовком маршрутизации.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
состояние
Параметр обработки пакетов IPv6 с расширенным заголовком маршрутизации. Допустимые значения:
- enable: система будет обрабатывать пакеты IPv6 с расширенным заголовком маршрутизации;
- disable: система не будет обрабатывать пакеты IPv6 с расширенным заголовком маршрутизации.
Значение по умолчанию#
По умолчанию пакеты IPv6 с расширенным заголовком маршрутизации не обрабатываются.
Указания по использованию#
Маршрутизация от источника разрешает приложениям указать один или несколько промежуточных адресов получателя для исходящих пакетов в обход таблицы маршрутизации. Данная возможность в некоторых случаях используется для выявления неисправностей, но делает сеть уязвимой к атакам, при которых сетевой трафик перенаправляется через централизованную точку записи трафика.
Данная команда позволяет разрешить или запретить обработку пакетов IPv6 с расширенным заголовком маршрутизации.
Форма set
данной команды позволяет разрешить или запретить обработку пакетов IPv6 с расширенным заголовком маршрутизации.
Форма delete
данной команды позволяет удалить указанное значение.
Форма show
позволяет отобразить указанное значение.
policy firewall-ipv6 <имя_политики>#
Определение набора правил IPv6 межсетевого экрана.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Множественный узел. Текст. Имя политики межсетевого экранирования. Можно определить несколько политик межсетевого экранирования IPv6, создав соответствующее количество узлов конфигурации.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет определить политику межсетевого экранирования IPv6. Политика межсетевого экранирования может включать в себя до 65535 правил.
Форма set
данной команды используется для создания и изменения политики межсетевого экранирования IPv6.
Форма delete
данной команды используется для удаления политики межсетевого экранирования IPv6.
Форма show
данной команды используется для отображения настройки политики межсетевого экранирования IPv6.
policy firewall-ipv6 <имя_политики> default-action <действие>#
Установка действия по умолчанию для набора правил IPv6.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
действие
Действие по умолчанию, которое осуществляется в том случае, если для политики не было установлено ни одного соответствия. Допустимые значения представлены в таблице ниже.
Значение | Описание |
---|---|
accept | Принять пакет |
drop | Отбросить пакет без уведомления |
reject | Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет |
Значение по умолчанию#
В том случае если действие по умолчанию явно не указано, в том случае если для пакета не было установлено ни одного соответствия в наборе правил, пакет отбрасывается без уведомления.
Указания по использованию#
Данная команда позволяет указать действие по умолчанию, которое будет выполняться в том случае, если для пакета не было установлено ни одного соответствия правилам политики межсетевого экранирования IPv6.
В том случае если для пакета не было установлено соответствие ни одному правилу в наборе, к нему применяется политика, принятая по умолчанию. По умолчанию, пакет отбрасывается без отправки сообщения ICMP с уведомлением о том, что адресат недоступен .
Форма set
данной команды позволяет установить действие по умолчанию для набора правил IPv6.
Форма delete
данной команды используется для восстановления поведения по умолчанию для пакетов, для которых не было установлено ни одного соответствия критериям правила.
Форма show
данной команды используется для отображения настройки политики по умолчанию.
policy firewall-ipv6 <имя_политики> description <описание>#
Указание краткого описания для политики межсетевого экранирования IPv6.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
описание
Описание политики межсетевого экранирования. В том случае если описание содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать описание для политики межсетевого экранирования IPv6.
Форма set
данной команды используется для создания и изменения описания.
Форма delete
используется для удаления описания.
Форма show
используется для отображения настройки описания.
policy firewall-ipv6 <имя_политики> enable-default-log#
Регистрация событий для действия по умолчанию указанной политики межсетевого экранирования
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
Отсутствуют.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет включить регистрацию событий для действия по умолчанию указанной политики межсетевого экранирования IPv6.
Форма set
данной команды используется для включения регистрации событий для действия по умолчанию указанной политики межсетевого экранирования IPv6.
Форма delete
используется для отключения регистрации событий для действия по умолчанию указанной политики межсетевого экранирования IPv6.
Форма show
используется для отображения настройки.
policy firewall-ipv6 <имя_политики> rule <номер_правила>#
Определение правила в наборе правил межсетевого экрана IPv6.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
номер_правила
Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет определить правило в политике межсетевого экранирования IPv6. Политика может включать в себя до 65535 настраиваемых правил.
Правила политики исполняются в порядке следования их номеров, от наименьшего к наибольшему. Напрямую изменить номер правила нельзя, так как он является идентификатором узла конфигурации; однако, можно изменять номера правил при помощи команды rename.
Для того чтобы не прибегать к изменению номеров правил, хорошей практикой является указание номеров с шагом 10. Это позволяет оставить пространство, куда можно будет впоследствии добавить новые правила.
Форма set
данной команды используется для создания или изменения правила в политике межсетевого экранирования IPv6.
Форма delete
данной команды используется для удаления правила из политики межсетевого экранирования IPv6.
Форма show
данной команды используется для отображения настройки правила политики межсетевого экранирования IPv6.
policy firewall-ipv6 <имя_политики> rule <номер_правила> action <действие>#
Указание действия, которое будет применяться к пакетам, для которых было установлено соответствие правилу.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
номер_правила
Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.
действие
Действие, которое будет выполнено, в том случае если пакет удовлетворяет критериям, указанным в правиле. Допустимые значения представлены в таблице ниже.
Значение | Описание |
---|---|
accept | Принять пакет |
drop | Отбросить пакет без уведомления |
inspect | Пересылка пакета, для которого было установлено соответствие системе предотвращения вторжений (IPS). Система предотвращения вторжений при этом должна быть включена. (При наличии сервиса idps) |
reject | Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет |
Значение по умолчанию#
Пакеты отбрасываются.
Указания по использованию#
Данная команда позволяет указать действие, которое будет применено к пакетам, для которых было установлено соответствие критериям, указанным в правиле. В правиле может быть указано только одно действие.
Форма set
данной команды используется для указания действия, которое будет применяться к пакетам, для которых установлено соответствие критериям правила.
Форма delete
данной команды позволяет восстановить действие, принятое по умолчанию.
Форма show
данной команды используется для отображения настройки действия для правила политики межсетевого экранирования IPv6.
policy firewall <имя_политики> rule <номер_правила> description <описание>#
Указание краткого описания для политики межсетевого экранирования IPv6.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
номер_правила
Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно лежать в диапазоне от 1 до 65535. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.
описание
Описание правила в политике межсетевого экранирования. В том случае если описание содержит пробелы, его необходимо заключить в двойные кавычки.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда позволяет указать описание правила в политике межсетевого экранирования.
Форма set
данной команды используется для создания и изменения описания.
Форма delete
используется для удаления описания.
Форма show
используется для отображения настройки описания.
policy firewall-ipv6 <имя_политики> rule <номер_правила> log <состояние>#
Включение/выключение регистрации событий фильтрации трафика IPv6 для указанного правила указанной политики.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя определённой политики фильтрации трафика.
номер_правила
Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.
состояние
Указывает режим регистрации событий для правил политики. Допустимые значения:
- enable: включение регистрации событий фильтрации для правила политики;
- disable: отключение регистрации событий фильтрации для правила политики.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Включает или отключает журналирование событий для правила политики.
В том случае, если задействовано журналирование для правила политики, в системный лог (журнал) будут выводиться сообщения для всех пакетов IPv6, подпадающих под правило.
Для каждого сообщения формируется префикс в квадратных скобках вида [f6-<имя_политики>-<номер правила>-<действие>]
Имя политики может быть записано в журнале не полностью в связи с системным ограничением общей длины префикса в 29 символов. Действия правил фильтрации в файле журнала кодируются следующими аббревиатурами:
Значение | Описание |
---|---|
AC | accept: Принять пакет |
DR | drop: Отбросить пакет без уведомления |
IN | inspect: Пересылка пакета, для которого было установлено соответствие системе предотвращения вторжений (IPS). Система предотвращения вторжений при этом должна быть включена. (При наличии сервиса idps) |
RE | reject: Отбросить пакет и отправить сообщение ICMP с уведомлением хосту, пославшему пакет |
Форма set
этой команды используется для задания настройки регистрации событий фильтрации для указанного правила указанной политики IPv6.
Форма delete
этой команды используется для удаления настройки регистрации событий фильтрации.
Форма show
этой команды используется для отображения настройки регистрации событий фильтрации.
policy firewall-ipv6 <имя_политики> rule <номер_правила> match filter-ipv6 <фильтр>#
Задание фильтра, который будет использоваться для выборки пакетов для указанного правила указанной политики IPv6.
Синтаксис#
Режим интерфейса#
Режим настройки.
Ветвь конфигурации#
Параметры#
имя_политики
Имя политики межсетевого экранирования.
номер_правила
Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.
фильтр
Пакетный фильтр, который будет использоваться указанным правилом данной политики межсетевого экранирования IPv6.
Значение по умолчанию#
Не установлено.
Указания по использованию#
Данная команда позволяет указать фильтр, который будет использоваться данным правилом указанной политики межсетевого экранирования IPv6. В правиле может быть указан только один фильтр, то есть новое указанное значение фильтра заменит предыдущее (при его наличии).
Форма set
данной команды используется для указания фильтра, который будет использоваться данным правилом указанной политики межсетевого экранирования IPv6.
Форма delete
данной команды позволяет удалить связь правила с каким-либо фильтром.
Форма show
данной команды используется для отображения связанного с указанным правилом указанной политики межсетевого экранирования фильтра.
policy clear firewall-ipv6 <имя_политики>#
Очистка статистики политики межсетевого экранирования IPv6-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv6-трафика.
Значение по умолчанию#
Отсутствует.
policy clear firewall-ipv6 <имя_политики> rule <номер_правила>#
Очистка статистики правила политики межсетевого экранирования IPv6-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv6-трафика.
номер_правила
Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер.
Значение по умолчанию#
Отсутствует.
policy clear firewall-ipv6 <имя_политики> rule <номер_правила> filter#
Очистка статистики для фильтра, связанного с указанным правилом политики межсетевого экранирования IPv6-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv6-трафика.
номер_правила
Численный идентификатор правила.
Значение по умолчанию#
Отсутствует.
policy clear firewall-ipv6 <имя_политики> rule <номер_правила> filter rule <номер_правила_фильтра>#
Очистка статистики по указанному правилу фильтра, связанного с указанным правилом политики межсетевого экранирования IPv6-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv6-трафика.
номер_правила
Численный идентификатор правила.
номер_правила_фильтра
Численный идентификатор правила фильтра.
Значение по умолчанию#
Отсутствует.
policy show firewall-ipv6 <имя_политики>#
Вывод сведений и статистики для указанной политики межсетевого экранирования IPv6-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv6-трафика.
Указания по использованию#
Эта команда используется для отображения сведений о выбранной настроенной политике межсетевого экранирования IPv6-трафика.
policy show firewall-ipv6 <имя_политики> rule <номер_правила>#
Вывод конфигурации правила политики межсетевого экранирования IPv6-трафика.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv6-трафика.
номер_правила
Численный идентификатор правила.
Значение по умолчанию#
Отсутствует.
policy show firewall-ipv6 <имя_политики> rule <номер_правила> filter#
Вывод сведений и статистики по фильтру для указанного правила политики межсетевого экранирования IPv6.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
имя_политики
Имя политики межсетевого экранирования IPv6-трафика.
номер_правила
Численный идентификатор правила.
detail
Вывод подробных сведений и статистики по фильтру для указанного правила политики межсетевого экранирования IPv6.
rule номер_правила фильтра
Вывод сведений и статистики по указанному правилу фильтра для указанного правила политики межсетевого экранированияIPv6.
Значение по умолчанию#
Отсутствует.
geoip import#
Импорт пользовательской базы данных GeoIP.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
db-ip
База данных провайдера DB-IP.
fstek
База данных, рекомендованная ФСТЭК.
имя_файла
Имя файла базы данных GeoIP.
Значение по умолчанию#
Отсутствует.
Указания по использованию#
Данная команда используется для импорта пользовательской базы данных GeoIP на устройство Numa Edge. Поддерживаются форматы баз данных, распространяемые DB-IP и ФСТЭК.
Для баз DB-IP поддерживается импорт в форматах csv и csv.gz. Для баз ФСТЭК поддерживается импорт в виде zip-архива.
В приведенной ниже таблице показан синтаксис указания файла для различных местоположений файла.
Местоположение | Способ указания |
---|---|
Путь в локальной системе | Может быть указан абсолютный или относительный путь в локальной системе. Используется стандартный способ указания файла в UNIX |
Сервер FTP | Используется следующий синтаксис для параметра имя_файла: ftp://пользователь@узел/архив, где пользователь – это имя пользователя на узле, узел – это имя узла или IP-адрес сервера FTP, а архив - это название архива, содержащего сертификат субъекта, секретный ключ, сертификат УЦ, а также при необходимости файл, содержащий список отозванных сертификатов. Название должно включать путь к файлу. Если пользователь не указан, будет выдан запрос на его ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер SCP | Используется следующий синтаксис для имя_файла: scp://пользователь@узел/архив, где пользователь - это имя пользователя на узле, узел это имя узла или IP-адрес сервера SCP, а архив - это архив, содержащий сертификат субъекта, секретный ключ, сертификат УЦ, а также при необходимости файл, содержащий список отозванных сертификатов. Название должно включать путь к файлу. Если пользователь не указан, будет выдан запрос на их ввод. Если аутентификация производится по паролю, далее будет запрошен пароль. |
Сервер TFTP | Используется следующий синтаксис для параметра имя_файла: tftp://узел/архив, где узел - это имя узла или IP-адрес сервера TFTP, а архив - это архив, содержащий сертификат субъекта, секретный ключ, сертификат УЦ, а также при необходимости файл, содержащий список отозванных сертификатов. Название должно включать путь относительно корневого каталога TFTP |
Примеры#
В примере показан импорт базы GeoIP, рекомендованной ФСТЭК.
Пример – Импорт базы GeoIP
geoip show <протокол_ip> <код_страны>#
Отображение диапазонов адресов указанного протокола IP для выбранного региона.
Синтаксис#
Режим интерфейса#
Эксплуатационный режим.
Параметры#
протокол_ip
Версия протокола IP (IPv4 или IPv6).
код_страны
Код страны из предлагаемого списка в виде двух букв в верхнем регистре.
Примеры#
В примере показан частичный вывод команды geoip show ipv6 RU
.
Пример – Отображение диапазона адресов протокола ipv6 для России