Перейти к содержанию

Команды настройки фильтров трафика#

Команды настройки. Фильтры трафика IPv4#

Команда Описание команды
filter <имя> Указание имени фильтра трафика IPv4.
filter <имя> description <описание> Указание краткого описания для фильтра трафика IPv4.
filter <имя> rule <номер_правила> Определение правила указанного фильтра трафика IPv4.
filter <имя> rule <номер_правила> 32bits Сопоставление 32-битных слов внутри пакета.
filter <имя> rule <номер_правила> 32bits invert Инверсия сопоставления 32-битных слов внутри пакета.
filter <имя> rule <номер_правила> 32bits match <параметр_сопоставления> location <адрес> Задание адреса и преобразования значения сопоставления 32-битных слов внутри пакета.
filter <имя> rule <номер_правила> 32bits match <параметр_сопоставления> value <значение> Задание значения для сопоставления 32-битных слов внутри пакета.
filter <имя> rule <номер_правила> description <описание> Указание краткого описания для правила фильтрации трафика IPv4.
filter <имя> rule <номер_правила> destination address <адрес> Указание адреса получателя для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> destination address-group <имя_группы> Указание группы адресов для проверки соответствия IP-адреса получателя сетевого пакета в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> destination address-type <тип> Указание типа адреса получателя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> destination country <код_страны> Указание двухзначного кода страны получателя в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> destination domain-group <имя_группы> Указание группы доменов для проверки соответствия домена получателя сетевого пакета в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> destination ldap Указание имени пользователя и(или) группы LDAP для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> destination network-group <имя_группы> Указание группы сетей для проверки соответствия IP-адреса сети получателя сетевого пакета в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> destination port <порт> Указание номера сетевого порта получателя для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> destination port-group <имя_группы> Указание группы портов для проверки соответствия порта получателя сетевого пакета в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> disable Отключение указанного правила фильтрации трафика IPv4.
filter <имя> rule <номер_правила> dscp <значение> Установка соответствия на основе поля DSCP.
filter <имя> rule <номер_правила> ecn ip ect <значение> Установка соответствия на основе флага ECT в заголовке IP.
filter <имя> rule <номер_правила> ecn tcp cwr <значение> Установка соответствия на основе флага CWR в заголовке TCP.
filter <имя> rule <номер_правила> ecn tcp ece <значение> Установка соответствия на основе флага ECE в заголовке TCP.
filter <имя> rule <номер_правила> exclude Исключение правила из фильтра.
filter <имя> rule <номер_правила> fragment <тип> Указание типа проверки соответствия для фрагментированных пакетов.
filter <имя> rule <номер_правила> icmp type <тип> Указание кода и типа ICMP для правила фильтрации трафика IPv4.
filter <имя> rule <номер_правила> ipsec <тип> Установка соответствия для пакетов IPSec.
filter <имя> rule <номер_правила> ipv4options mode <режим> Установка режима для критерия соответствия на основе поля опций в заголовке IPv4-пакета.
filter <имя> rule <номер_правила> ipv4options opts <список_опций> Указание списка опций IP, которые будут использоваться в критерии соответствия на основе поля опций в заголовке IP-пакета.
filter <имя> rule <номер_правила> l7protocol <протокол> Указание протокола для фильтрации пакетов на прикладном уровне.
filter <имя> rule <номер_правила> length Указание параметров, ограничивающих длину пакетов для правила фильтрации трафика IPv4.
filter <имя> rule <номер_правила> limit connection-rate Указание параметров, ограничивающих частоту прохождения пакетов для соединения в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> limit connections Указание параметров, ограничивающих количество соединений в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> limit packet-rate Указание параметров, ограничивающих частоту прохождения пакетов в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> log <состояние> Включение или отключение регистрации для действий правила фильтрации трафика IPv4.
filter <имя> rule <номер_правила> p2p <имя_приложения> Указание однорангового приложения для фильтрации его IPv4-пакетов на прикладном уровне.
filter <имя> rule <номер_правила> probability <вероятность> Указание вероятности срабатывания правила в процентах.
filter <имя> rule <номер_правила> protocol <протокол> Указание протокола для фильтрации пакетов.
filter <имя> rule <номер_правила> quota overall Настройка квотирования фильтрации пакетов по всему объёму данных или числу пакетов.
filter <имя> rule <номер_правила> quota per-connection Настройка квотирования фильтрации пакетов по объёму данных или числу пакетов на соединение.
filter <имя> rule <номер_правила> recent Установка соответствия для сетевых пакетов от недавно встречавшихся отправителей.
filter <имя> rule <номер_правила> sctp chunk-type Установка параметров протокола SCTP для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source address <адрес> Указание адреса отправителя для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source address-group <имя_группы> Указание группы адресов для проверки соответствия IP-адреса отправителя сетевого пакета в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source address-type <тип> Указание типа адреса отправителя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source country <код_страны> Указание двухзначного кода страны отправителя в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source domain-group <имя_группы> Указание группы доменов для проверки соответствия домена отправителя сетевого пакета в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source ldap Указание имени пользователя и(или) группы LDAP для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source local-group <имя_группы> Указание локальной группы МЭ для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source local-user <имя_пользователя> Указание локального пользователя МЭ для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source mac-address <mac-адрес> Указание MAC-адреса отправителя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source network-group <имя_группы> Указание группы сетей для проверки соответствия IP-адреса сети отправителя сетевого пакета в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source port <порт> Указание номера сетевого порта для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> source port-group <имя_группы> Указание группы портов для проверки соответствия порта отправителя сетевого пакета в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> state Указание состояний соединений, к которым применяется правило фильтрации трафика IPv4.
filter <имя> rule <номер_правила> string <номер_подстроки> case-insensitive Не учитывать регистр букв при фильтрации по подстрокам в IPv4-пакете.
filter <имя> rule <номер_правила> string <номер_подстроки> from <смещение> Установка смещения в пакете IPv4, начиная с которого будет осуществляться поиск подстроки.
filter <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока> Указание подстроки для поиска в шестнадцатеричном виде.
filter <имя> rule <номер_правила> string <номер_подстроки> match <подстрока> Указание подстроки для поиска.
filter <имя> rule <номер_правила> string <номер_подстроки> negation Установка соответствия на основе отсутствия указанной подстроки в пакете IPv4.
filter <имя> rule <номер_правила> string <номер_подстроки> to <смещение> Установка смещения в пакете IPv4, до которого будет осуществляться поиск подстроки.
filter <имя> rule <номер_правила> tcp flags <флаг> Указание флагов TCP для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> tcp mss <значение> Указание максимального размера сегмента для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> tcp option <опция> Указание опции TCP для проверки соответствия в правиле фильтрации трафика IPv4.
filter <имя> rule <номер_правила> time Применение правил фильтрации трафика с учетом даты и времени.
filter <имя> rule <номер_правила> ttl <значение> Применение правил фильтрации трафика с учетом времени жизни пакетов.

Команды настройки. Фильтры трафика IPv6#

Команда Описание команды
filter-ipv6 <имя> Указание имени фильтра трафика IPv6.
filter-ipv6 <имя> description <описание> Указание краткого описания для фильтра трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> Определение правила указанного фильтра трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> 32bits Сопоставление 32-битных слов внутри пакета.
filter-ipv6 <имя> rule <номер_правила> 32bits invert Инверсия сопоставления 32-битных слов внутри пакета.
filter-ipv6 <имя> rule <номер_правила> 32bits match <параметр_сопоставления> location <адрес> Задание адреса и преобразования значения сопоставления 32-битных слов внутри пакета.
filter-ipv6 <имя> rule <номер_правила> 32bits match <параметр_сопоставления> value <значение> Задание значения для сопоставления 32-битных слов внутри пакета.
filter-ipv6 <имя> rule <номер_правила> description <описание> Указание краткого описания для правила фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> destination address <адрес> Указание адреса получателя для проверки соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> destination address-type <тип> Указание типа адреса получателя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> destination country <код_страны> Указание двухзначного кода страны получателя в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> destination port <порт> Указание номера сетевого порта получателя для проверки соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> disable Отключение указанного правила фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> dscp <значение> Установка соответствия на основе поля DSCP.
filter-ipv6 <имя> rule <номер_правила> ecn ip ect <значение> Установка соответствия на основе флага ECT в заголовке IP.
filter-ipv6 <имя> rule <номер_правила> ecn tcp cwr <значение> Установка соответствия на основе флага CWR в заголовке TCP.
filter-ipv6 <имя> rule <номер_правила> ecn tcp ece <значение> Установка соответствия на основе флага ECE в заголовке TCP.
filter-ipv6 <имя> rule <номер_правила> exclude Исключение правила из фильтра.
filter-ipv6 <имя> rule <номер_правила> hop-limit <значение> Применение правил фильтрации трафика с учетом ограничения транзитных узлов.
filter-ipv6 <имя> rule <номер_правила> icmpv6 type <тип> Указание кода и типа ICMPv6 для правила фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> ipsec <тип> Установка соответствия для пакетов IPSec.
filter-ipv6 <имя> rule <номер_правила> l7protocol <протокол> Указание протокола для фильтрации пакетов на прикладном уровне.
filter-ipv6 <имя> rule <номер_правила> length Указание параметров, ограничивающих длину пакетов для правила фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> limit connection-rate Указание параметров, ограничивающих частоту прохождения пакетов для соединения в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> limit connections Указание параметров, ограничивающих количество соединений в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> limit packet-rate Указание параметров, ограничивающих частоту прохождения пакетов в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> log <состояние> Включение или отключение регистрации для действий правила фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> p2p <имя_приложения> Указание однорангового приложения для фильтрации его IPv6-пакетов на прикладном уровне.
filter-ipv6 <имя> rule <номер_правила> probability <вероятность> Указание вероятности срабатывания правила в процентах.
filter-ipv6 <имя> rule <номер_правила> protocol <протокол> Указание протокола для фильтрации пакетов.
filter-ipv6 <имя> rule <номер_правила> quota overall Настройка квотирования фильтрации пакетов по всему объёму данных или числу пакетов.
filter-ipv6 <имя> rule <номер_правила> quota per-connection Настройка квотирования фильтрации пакетов по объёму данных или числу пакетов на соединение.
filter-ipv6 <имя> rule <номер_правила> recent Установка соответствия для сетевых пакетов от недавно встречавшихся отправителей.
filter-ipv6 <имя> rule <номер_правила> sctp chunk-type Установка параметров протокола SCTP для проверки соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> source address <адрес> Указание адреса отправителя для проверки соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> source address-type <тип> Указание типа адреса отправителя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> source country <код_страны> Указание двухзначного кода страны отправителя в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> source local-group <имя_группы> Указание локальной группы МЭ для проверки соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> source local-user <имя_пользователя> Указание локального пользователя МЭ для проверки соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> source mac-address <mac-адрес> Указание MAC-адреса отправителя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> source port <порт> Указание номера сетевого порта отправителя для проверки соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> state Указание состояний соединений, к которым применяется правило фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> case-insensitive Не учитывать регистр букв при фильтрации по подстрокам в IPv6-пакете.
filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> from <смещение> Установка смещения в пакете IPv6, начиная с которого будет осуществляться поиск подстроки.
filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока> Указание подстроки для поиска в шестнадцатеричном виде.
filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> match <подстрока> Указание подстроки для поиска.
filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> negation Установка соответствия на основе отсутствия указанной подстроки в пакете IPv6.
filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> to <смещение> Установка смещения в пакете IPv6, до которого будет осуществляться поиск подстроки.
filter-ipv6 <имя> rule <номер_правила> tcp flags <флаг> Указание флагов TCP для проверки соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> tcp mss <значение> Указание максимального размера сегмента для проверки соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> tcp option <опция> Указание опции TCP для проверки соответствия в правиле фильтрации трафика IPv6.
filter-ipv6 <имя> rule <номер_правила> time Применение правил фильтрации трафика с учетом даты и времени.

filter <имя>#

Указание имени фильтра трафика IPv4.

Синтаксис#
1
2
3
set filter <имя>
delete filter <имя>
show filter <имя>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
}
Параметры#

имя

Имя фильтра трафика.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать имя фильтра трафика. Следует отметить, что при создании пустого узла filter (без правил) трафик IPv4 им обрабатываться не будет. Настройка узла filter не влияет на трафик IPv6.

Форма set данной команды используется для указания имени фильтра трафика.

Форма delete данной команды используется для удаления фильтра трафика с заданным именем.

Форма show данной команды используется для отображения фильтра трафика.

filter <имя> description <описание>#

Указание краткого описания для фильтра трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> description <описание>
delete filter <имя> description
show filter <имя> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
filter имя { 
  description описание
}
Параметры#

имя

Имя фильтра трафика.

описание

Описание фильтра трафика. Если текст описания фильтра трафика не содержит пробелов, то описание не требует использования дополнительных символов, иначе описание заключается либо в одинарные ('описание'), либо в двойные ("описание") кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать описание для фильтра трафика IPv4.

Форма set данной команды используется для создания и изменения описания.

Форма delete данной команды используется для удаления описания.

Форма show данной команды используется для отображения настройки описания.

filter <имя> rule <номер_правила>#

Определение правила указанного фильтра трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила>
delete filter <имя> rule <номер_правила>
show filter <имя> rule <номер_правила>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
filter имя {
   rule номер_правила {
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно находиться в диапазоне от 1 до 9999. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет определить правило определённого фильтра трафика IPv4. Определённый фильтр трафика может включать в себя до 9999 настраиваемых правил. Правила в фильтре трафика в порядке следования их номеров, от наименьшего к наибольшему. Напрямую изменить номер правила нельзя, так как он является идентификатором узла конфигурации; однако, можно изменять номера правил при помощи команды rename. Для того чтобы не прибегать к изменению номеров правил, хорошей практикой является указание номеров с шагом 10. Это позволяет оставить пространство, куда можно будет впоследствии добавить новые правила.

Следует отметить, что при создании правила соответствия без уточняющих параметров, весь трафик IPv4 будет попадать под его действие.

Форма set данной команды используется для создания или изменения правила определённого фильтра трафика.

Форма delete данной команды используется для удаления правила из фильтра трафика.

Форма show данной команды используется для отображения настройки правила фильтра трафика.

filter <имя> rule <номер_правила> 32bits#

Сопоставление 32-битных слов внутри пакета.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> 32bits
delete filter <имя> rule <номер_правила> 32bits
show filter <имя> rule <номер_правила> 32bits
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
filter имя {
   rule номер_правила {
      32bits {
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать сопоставление 32-битных слов внутри пакета.

Форма set данной команды используется для создания сопоставления.

Форма delete данной команды используется для удаления сопоставления.

Форма show данной команды используется для отображения настройки сопоставления.

filter <имя> rule <номер_правила> 32bits invert#

Инверсия сопоставления 32-битных слов внутри пакета.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> 32bits invert
delete filter <имя> rule <номер_правила> 32bits invert
show filter <имя> rule <номер_правила> 32bits
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
filter имя
   rule номер_правила {
      32bits {
         invert
      }
   }
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

invert

При указании данного параметра будет осуществляться инверсия сопоставления 32-битных слов внутри пакета.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать инверсию сопоставления 32-битных слов внутри пакета.

Форма set данной команды используется для создания инверсии сопоставления.

Форма delete данной команды используется для удаления инверсии сопоставления.

Форма show данной команды используется для отображения настройки инверсии сопоставления.

filter <имя> rule <номер_правила> 32bits match <параметр_сопоставления> location <адрес>#

Задание адреса и преобразования значения сопоставления 32-битных слов внутри пакета.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> 32bits match <параметр_сопоставления> location <адрес>
delete filter <имя> rule <номер_правила> 32bits match <параметр_сопоставления> location <адрес>
show filter <имя> rule <номер_правила> 32bits match <параметр_сопоставления> location
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
filter имя {
   rule номер_правила { 
      32bits { 
        match параметр_сопоставления { 
           location адрес 
        }
      } 
  }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

параметр_сопоставления

Параметр сопоставления. Значение должно находиться в диапазоне от 0 до 4294967295.

адрес

Адрес и преобразования значения.

Допустимые значения поля location:

Значение Описание
<0-4294967295> Десятичный адрес значения
<0x00000000-0xFFFFFFFF> Шестнадцатеричный адрес значения
x & y Маска y (битовое "и") значения x
x << y Сдвиг значения x влево на y
x >> y Сдвиг значения x вправо на y
x @ y Использование значения по смещению y относительно адреса x
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет задать адрес и преобразование значения сопоставления 32-битных слов внутри пакета.

Форма set данной команды используется для задания адреса.

Форма delete данной команды используется для удаления адреса.

Форма show данной команды используется для отображения настройки адреса.

filter <имя> rule <номер_правила> 32bits match <параметр_сопоставления> value <значение>#

Задание значения для сопоставления 32-битных слов внутри пакета.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> 32bits match <параметр_сопоставления> value <значение>
delete filter <имя> rule <номер_правила> 32bits match <параметр_сопоставления> value <значение>
show filter <имя> rule <номер_правила> 32bits match <параметр_сопоставления> value
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
filter имя {
   rule номер_правила {
      32bits {
         match параметр_сопоставления { 
           value значение
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

параметр_сопоставления

Параметр сопоставления. Значение должно находиться в диапазоне от 0 до 4294967295.

значение

Значение для сопоставления.

Допустимые значения поля value:

Значение Описание
<0-4294967295> Десятичное значение
<0x00000000-0xFFFFFFFF> Шестнадцатеричное значение
<x-y> Диапазон значений
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет задать значения для сопоставления 32-битных слов внутри пакета.

Форма set данной команды используется для задания значения.

Форма delete данной команды используется для удаления значения.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> description <описание>#

Указание краткого описания для правила фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя>rule <номер_правила> description <описание>
delete filter <имя> rule <номер_правила> description
show filter <имя> rule <номер_правила> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter имя {
   rule номер_правила {
      description описание 
  }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Описание

Краткое описание правила. Если текст описания содержит пробелы, то его следует заключить в кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать краткое описание для правила фильтрации трафика определённого фильтра.

Форма set данной команды используется для создания описания.

Форма delete данной команды используется для удаления описания.

Форма show данной команды используется для отображения настройки описания.

filter <имя> rule <номер_правила> destination address <адрес>#

Указание адреса получателя для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> destination address <адрес>
delete filter <имя> rule <номер_правила>destination address <адрес>
show filter <имя> rule <номер_правила> destination address
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      destination {
         address адрес
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

адрес

Адрес получателя, используемый для проверки соответствия. Поддерживаемые значения приведены в таблице ниже:

Значение Описание
<x.x.x.x> Адрес IPv4
<x.x.x.x/x> Подсеть IPv4 (значение 0.0.0.0/0 соответствует любой сети)
<x.x.x.x>-<x.x.x.x> Диапазон IPv4-адресов
!<x.x.x.x> Соответствие будет установлено для всех IPv4-адресов, кроме указанного
!<x.x.x.x/x> Соответствие будет установлено для всех IPv4-адресов, кроме указанной подсети
!<x.x.x.x>-<x.x.x.x> Соответствие будет установлено для всех IPv4-адресов, кроме адресов, входящих в указанный диапазон
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать адрес получателя в правиле фильтрации трафика IPv4. В том случае если явно указаны адрес и номер порта, для пакета устанавливается соответствие критериям правила в том и только том случае, если совпадает как адрес, так и номер порта.

Примечание

Для указания адреса получателя адрес задается либо данной командой, либо указанием группы адресов командой filter <имя> rule <номер_правила> destination address-group <имя_группы>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды позволяет указать или изменить адрес получателя.

Форма delete данной команды позволяет удалить настройку адреса получателя.

Форма show данной команды позволяет отобразить настройку адреса получателя.

filter <имя> rule <номер_правила> destination address-group <имя_группы>#

Указание группы адресов для проверки соответствия IP-адреса получателя сетевого пакета в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> destination address-group <имя_группы>
delete filter <имя> rule <номер_правила> destination address-group <имя_группы>
show filter <имя> rule <номер_правила>  destination address-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
filter имя {
   rule номер_правила
      destination {
         address-group имя_группы
      }
   }
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы

Имя группы IPv4-адресов.

Допустимые значения для группы адресов:

Значение Описание
<text> Имя группы
!<text> Все группы кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенную группу адресов для сопоставления с IPv4-адресом получателя пакета. Группа должна быть предварительно определена при помощи команды groups address-group <имя_группы>. Может быть указана только одна группа.

Соответствие для пакета устанавливается в том случае, если IP-адрес совпадает с одним из адресов, входящих в состав указанной группы.

Примечание

Для указания адреса получателя адрес задается либо указанием группы адресов данной командой, либо указанием адресов командой filter <имя> rule <номер_правила> destination address <адрес>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды используется для указания группы адресов получателя для проверки соответствия.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> destination address-type <тип>#

Указание типа адреса получателя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> destination address-type <тип>
delete filter <имя> rule <номер_правила> destination address-type <тип>
show filter <имя> rule <номер_правила> destination address-type
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      destination {
         address-type тип
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип

Тип адреса получателя (назначения). Данное правило будет применено к пакетам, тип адреса получателя (назначения) которых соответствует указанному. Допустимые значения приведены в таблице ниже:

Значение Описание
unspec Неопределённый адрес (0.0.0.0)
unicast Однонаправленный адрес
local Локальный адрес
broadcast Широковещательный адрес
multicast Мультивещательный адрес
anycast Близковещательный адрес (anycast)
blackhole Адрес подпадающий под маршрут типа "чёрная дыра"
unreachable Недостижимый адрес
prohibit Административно запрещённый для маршрутизации адрес
nat Преобразуемый сетевой адрес
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать тип адреса получателя в правиле фильтрации трафика IPv4.

Форма set данной команды используется для создания настройки типа адреса назначения для правила фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> destination country <код_страны>#

Указание двухзначного кода страны получателя в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> destination country <код_страны>
delete filter <имя> rule <номер_правила> destination country <код_страны>
show filter <имя> rule <номер_правила> destination country
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила { 
      destination {
         country код_страны 
      } 
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

код_страны

Двузначный код страны получателя.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для указания двухзначного кода страны получателя в правиле фильтрации трафика IPv4. В одном правиле фильтрации может быть задано не более 15 стран.

Примечание

Необходимо иметь в виду, что данные о принадлежности IP диапазона к определенному региону берутся из общедоступных источников и могут не обладать 100% точностью. Для дополнения/исключения диапазонов рекомендуется использовать группы IP адресов (groups address-group <имя_группы>) в правилах фильтрации.

Форма set данной команды используется для указания двухзначного кода страны получателя в правиле фильтрации трафика.

Форма delete данной команды используется для удаления настройки двухзначного кода страны получателя в правиле фильтрации трафика.

Форма show данной команды используется для просмотра настройки двухзначного кода страны получателя в правиле фильтрации трафика.

filter <имя> rule <номер_правила> destination domain-group <имя_группы>#

Указание группы доменов для проверки соответствия домена получателя сетевого пакета в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> destination domain-group <имя_группы>
delete filter <имя> rule <номер_правила> destination domain-group <имя_группы>
show filter <имя> rule <номер_правила> destination domain-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      destination {
         domain-group имя_группы
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы

Имя группы доменов.

Допустимые значения для группы доменов:

Значение Описание
<text> Имя группы
!<text> Все группы кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенную группу доменов для сопоставления с доменом получателя пакета. Группа должна быть предварительно определена при помощи команды groups domain-group <имя_группы>. Может быть указана только одна группа.

Соответствие для пакета устанавливается в том случае, если домен совпадает с одним из доменов, входящих в состав указанной группы.

Форма set данной команды используется для указания группы доменов получателя для проверки соответствия.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> destination ldap#

Указание имени пользователя и (или) группы LDAP для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> destination ldap [group <имя_группы> | user <имя_пользователя>]
delete filter <имя> rule <номер_правила> destination ldap [group | user]
show filter <имя> rule <номер_правила> destination ldap [group | user]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
   rule номер_правила {
      destination {
         ldap {
             group имя_группы
             user имя_пользователя
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы

Данное правило будет применено к пакетам, получателем которых являются клиент VPN PPTP/L2TP, который был аутентифицирован на основе учетной записи пользователя LDAP, входящего в указанную группу.

имя_пользователя

Данное правило будет применено к пакетам, получателем которых является клиент VPN PPTP/L2TP, который был аутентифицирован на основе учетной записи пользователя LDAP с указанным именем.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать имя пользователя и(или) группы LDAP, для тех случаев когда получателем является клиент PPTP/L2TP, который был аутентифицирован на основе учетной записи пользователя LDAP с указанным именем.

Форма set данной команды используется для создания настройки получателя для правила фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> destination network-group <имя_группы>#

Примечание

Данный узел команд присутствует в системе для обеспечения обратной совместимости со старыми версиями оборудования. Вместо него следует использовать функционал filter <имя> rule <номер_правила> destination address-group <имя_группы>.

filter <имя> rule <номер_правила> destination port <порт>#

Указание номера сетевого порта получателя для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> destination port <порт>
delete filter <имя> rule <номер_правила> destination port <порт>
show filter <имя> rule <номер_правила> destination port
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      destination {
         port порт
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

порт

Порт назначения, используемый для проверки соответствия. Допустимые значения приведены в таблице ниже:

Значение Описание
<text> Имя порта (любое из файла /etc/services)
<0-65535> Номер порта
<start>-<end> Диапазон портов

Возможно также задание списка через запятую, например: "22,telnet,http,123,1001-1005". Возможно также задание инвертированного списка с помощью "!", например: "!22,telnet,http,123,1001-1005".

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать номера сетевого порта получателя в правиле фильтрации трафика IPv4. Может быть указан только для протоколов TCP, UDP, SCTP и DCCP. Предварительно должен быть определен протокол при помощи команды filter <имя> rule <номер_правила> protocol <протокол>. В том случае если явно указаны адрес и номер порта, для пакета устанавливается соответствие критериям правила в том и только том случае, если совпадает как адрес, так и номер порта.

Примечание

Для указания порта получателя порт задается либо данной командой, либо указанием группы портов командой filter <имя> rule <номер_правила> destination port-group <имя_группы>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды позволяет указать или изменить номер сетевого порта получателя.

Форма delete данной команды позволяет удалить настройку номера сетевого порта получателя.

Форма show данной команды позволяет отобразить настройку номера сетевого порта получателя.

filter <имя> rule <номер_правила> destination port-group <имя_группы>#

Указание группы портов для проверки соответствия порта получателя сетевого пакета в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> destination port-group <имя_группы>
delete filter <имя> rule <номер_правила> destination port-group <имя_группы>
show filter <имя> rule <номер_правила> destination port-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      destination {
         port-group имя_группы
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы

Имя группы портов.

Допустимые значения для группы доменов:

Значение Описание
<text> Имя группы
!<text> Все группы кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенную группу портов для сопоставления с номером порта получателя пакета. Группа должна быть предварительно определена при помощи команды groups port-group <имя_группы>. Может быть указана только одна группа. Соответствие для пакета устанавливается в том случае, если номер порта назначения (получателя) пакета совпадает с одним из портов, входящих в состав указанной группы.

Примечание

Для указания порта получателя порт задается либо указанием группы портов данной командой, либо указанием портов командой filter <имя> rule <номер_правила> destination port <порт>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды используется для указания группы портов получателя для проверки соответствия.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> disable#

Отключение указанного правила фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> disable
delete filter <имя> rule <номер_правила> disable
show filter <имя> rule <номер_правила>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter имя {
   rule номер_правила {
      disable
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Значение по умолчанию#

Правило включено (используется).

Указания по использованию#

Данная команда позволяет отключить правило фильтрации трафика IPv4. Это может быть полезно при проверке того, как фильтр трафика функционирует без указанного правила. При этом не нужно удалять и заново создавать данное правило.

Форма set данной команды используется для отключения правила фильтрации трафика.

Форма delete данной команды используется для включения правила фильтрации трафика.

Форма show данной команды используется для отображения настройки правила фильтрации трафика.

filter <имя> rule <номер_правила> dscp <значение>#

Установка соответствия на основе поля DSCP.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> dscp <значение>
delete filter <имя> rule <номер_правила> dscp <значение>
show filter <имя> rule <номер_правила> dscp
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter имя {
   rule номер_правила {
      dscp значение
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Значение поля DSCP, на основе которого устанавливается соответствие. Допустимые значения приведены в таблице ниже:

Значение Описание
<x> Численное значение DSCP (где x - десятичное значение в диапазоне от 0 до 63)
<x> Численное значение DSCP (где x - шестнадцатеричное значения в диапазоне от 0 до 3F в формате 0xYZ, например, 0x2E или 0x2e)
default Значение DSCP по умолчанию, соответствующее стандартной пересылке (шестнадцатеричное значение - 0x0, двоичное значение - 000000)
EF Значение Express Forwarding, соответствующее экстренной пересылке
AFxy Значение Assured Forwarding, соответствующее гарантированной пересылке (x находится в диапазоне от 1 до 4, y - от 1 до 3)
CSx Значение Class Selector поддерживает обратную совместимость с полем приоритета IP (x находится в диапазоне от 1 до 7)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать проверку соответствия на основе поля DSCP.

Форма set данной команды позволяет указать проверку соответствия на основе поля DSCP.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> ecn ip ect <значение>#

Установка соответствия на основе флага ECT в заголовке IP.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> ecn ip ect <значение>
delete filter <имя> rule <номер_правила> ecn ip ect <значение>
show filter <имя> rule <номер_правила> ecn ip ect
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
filter имя {
   rule номер_правила {
      ecn {
         ip {
            ect значение 
        }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Значение флага ECT в заголовке IP, на основе которого устанавливается соответствие. Допустимые значения приведены в таблице ниже:

Значение Описание
<x> Значение флага ECN (где x - целое в диапазоне от 0 до 3)
!<x> Все значения флага ECN, кроме указанного (где x - целое в диапазоне от 0 до 3)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать проверку соответствия на основе значения флага ECT в заголовке IP.

Форма set данной команды позволяет указать проверку соответствия на основе значения флага ECT в заголовке IP.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> ecn tcp cwr <значение>#

Установка соответствия на основе флага CWR в заголовке TCP.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> ecn tcp cwr <значение>
delete filter <имя> rule <номер_правила> ecn tcp cwr <значение>
show filter <имя> rule <номер_правила> ecn tcp cwr
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
filter имя {
   rule номер_правила {
      ecn {
         tcp { 
           cwr значение
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Значение флага CWR в заголовке TCP, на основе которого устанавливается соответствие. Допустимые значения: 0, 1.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать проверку соответствия на основе значения флага CWR в заголовке TCP. Предварительно должен быть определен протокол TCP для правила фильтрации при помощи команды filter <имя> rule <номер_правила> protocol tcp.

Форма set данной команды позволяет указать проверку соответствия на основе значения флага CWR в заголовке TCP.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> ecn tcp ece <значение>#

Установка соответствия на основе флага ECE в заголовке TCP.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> ecn tcp ece <значение>
delete filter <имя> rule <номер_правила> ecn tcp ece <значение>
show filter <имя> rule <номер_правила> ecn tcp ece
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
filter имя {
   rule номер_правила {
      ecn {
         tcp {
            ece значение
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Значение флага ECE в заголовке TCP, на основе которого устанавливается соответствие. Допустимые значения: 0, 1.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать проверку соответствия на основе значения флага ECE в заголовке TCP. Предварительно должен быть определен протокол TCP для правила фильтрации при помощи команды filter <имя> rule <номер_правила> protocol tcp.

Форма set данной команды позволяет указать проверку соответствия на основе значения флага ECE в заголовке TCP.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> exclude#

Исключение правила из фильтра.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> exclude
delete filter <имя> rule <номер_правила> exclude
show filter <имя> rule <номер_правила>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter имя {
   rule номер_правила { 
     exclude
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

exclude

При указании данного параметра будут исключены пакеты, удовлетворяющие критериям правила фильтрации трафика.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет исключать пакеты, удовлетворяющие критериям правила.

Форма set данной команды позволяет указать правило, которое необходимо исключить из набора правил фильтра.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

Примечание

При применении исключения правила трафик, удовлетворяющий критериям такого правила, будет считаться не соответствующим заданному фильтру. Проверка соответствия дальнейшим правилам этого фильтра проводиться не будет.

Примечание

Следует учитывать, что правило исключения не отменяет соответствие трафика предыдущим правилам фильтра. То есть если трафик удовлетворяет критериям хотя бы одного предыдущего правила, то он считается соответствующим заданному фильтру несмотря на соответствие критериям правила исключения.

filter <имя> rule <номер_правила> fragment <тип>#

Указание типа проверки соответствия для фрагментированных пакетов.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> fragment <тип>
delete filter <имя> rule <номер_правила> fragment <тип>
show filter <имя> rule <номер_правила> fragment
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      fragment {
         тип
      } 
  }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип

Тип проверки соответствия для фрагментированных пакетов. Допустимые значения:

  • match-frag: соответствие устанавливается для второго и последующих фрагментов фрагментированного пакета;
  • match-non-frag: соответствие устанавливается для первого фрагмента фрагментированного пакета, а также для нефрагментированного пакета.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать тип проверки соответствия для фрагментированных пакетов.

Примечание

Обнаружение фрагментированных пакетов не работает для правил межсетевого экранирования локального трафика.

Примечание

При наличии в конфигурации фильтра по состояниям соединений state или трансляции адресов NAT на устройстве производится дефрагментация пакетов. В таком случае обнаружение фрагментированных пакетов данным фильтром не будет отрабатывать.

Форма set данной команд позволяет указать тип проверки соответствия для фрагментированных пакетов.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> icmp type <тип>#

Указание кода и типа ICMP для правила фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> icmp type <тип>
delete filter <имя> rule <номер_правила> icmp type
show filter <имя> rule <номер_правила> icmp type
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      icmp {
         type тип
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип

Корректный тип ICMP. Допустимые значения приведены в таблице ниже:

Значение Описание
<0-255> Проверка соответствия по номеру типа сообщения
<0-255>/<0-255> Проверка соответствия по номеру типа сообщения и код сообщения
<текст> Проверка соответствия по типу сообщения в текстовом формате (например: network-unreachable)
!<0-255> Соответствие будет установлено для всех типов сообщений, кроме указанного номера типа сообщения
!<0-255>/<0-255> Соответствие будет установлено для всех типов сообщений, кроме указанного номера типа и кода сообщения
!<текст> Соответствие будет установлено для всех типов сообщений, кроме указанного
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет определить типы ICMP сообщений, к которым применяется данное правило, например, эхо-запрос или эхо-ответ. Для пакетов ICMP указанного типа будет установлено соответствие данному правилу. Предварительно должен быть определен протокол ICMP при помощи команды filter <имя> rule <номер_правила> protocol icmp.

Форма set данной команды используется для указания кода и типа ICMP для указанного правила

Форма delete данной команды используется для удаления кода или типа ICMP для указанного правила.

Форма show данной команды используется для отображения кода или типа ICMP для указанного правила.

filter <имя> rule <номер_правила> ipsec <тип>#

Установка соответствия для пакетов, получаемых внутри IPSec соединения.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> ipsec <тип>
delete filter <имя> rule <номер_правила> ipsec <тип>
show filter <имя> rule <номер_правила> ipsec
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      ipsec {
         тип 
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип

Тип проверки соответствия для входящих пакетов IPSec. Допустимые значения:

  • match-ipsec: установка соответствия для пакетов, получаемых внутри IPSec соединения;
  • match-none: установка соответствия для пакетов, не использующих IPSec соединение.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

При установленном значении match-ipsec и указании дополнительных параметров внутри одного правила фильтрации, позволяет фильтровать трафик, получаемый внутри IPSec соединения.

Значение match-none соответствует "обычному" трафику, не использующему IPSec в качестве сетевого протокола.

Форма set данной команды используется для указания типа пакетов, для которых будет установлено соответствие для указанного правила.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> ipv4options mode <режим>#

Установка режима для критерия соответствия на основе поля опций в заголовке IPv4-пакета.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> ipv4options mode <режим>
delete filter <имя> rule <номер_правила> ipv4options mode <режим>
show filter <имя> rule <номер_правила> ipv4options mode
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      ipv4options {
         mode режим
      } 
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

режим

Режим, на основании которого устанавливается критерий соответствия пакетов на основе опций IP. Допустимые значения:

  • and: требуется соответствие всем опциям в заголовке IP-пакета;
  • or: требуется соответствие хотя бы одной опции в заголовке IP-пакета.
Значение по умолчанию#

По умолчанию установлено значение and.

Указания по использованию#

Данная команда используется для установки режима для критерия соответствия на основе поля опций в заголовке IPv4-пакета. Опции задаются с помощью команды filter <имя> rule <номер_правила> ipv4options opts <список_опций>.

Форма set данной команды используется для указания режима для критерия соответствия на основе поля опций в заголовке IPv4-пакета.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> ipv4options opts <список_опций>#

Указание списка опций IP, которые будут использоваться в критерии соответствия на основе поля опций в заголовке IP-пакета.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> ipv4options opts <список_опций>
delete filter <имя> rule <номер_правила> ipv4options opts <список_опций>
show filter <имя> rule <номер_правила>  ipv4options opts
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      ipv4options {
         opts список_опций
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

список_опций

Список опций IP, на основе которых будет устанавливаться соответствие для пакетов. Допустимые значения приведены в таблице ниже:

Значение Описание
1 nop: опция No Operation [см. RFC1108]
2 security: опция Security [см. RFC1108]
3 lsrr: опция Loose Source Route [см. RFC791]
4 timestamp: опция Time Stamp [см. RFC781, RFC791]
7 record-route: опция Record Route [см. RFC791]
9 ssrr: опция Strict Source Route [см. RFC791]
11 mtu-probe: опция MTU Probe[см. RFC1063]
12 mtu-reply: опция MTU Reply [см. RFC1063]
18 traceroute: опция Traceroute [см. RFC1393]
20 router-alert: опция Router Alert [см. RFC2113]
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для установки списка опций IP, которые будут использоваться в критерии соответствия на основе поля опций в заголовке IPv4-пакета. В критерии соответствия опции могут быть использованы в режиме логического И, либо логического ИЛИ. Режим задается с помощью команды filter <имя> rule <номер_правила> ipv4options mode <режим>.

Форма set данной команды используется для указания списка опций для критерия соответствия на основе поля опций в заголовке IPv4-пакета.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> l7protocol <протокол>#

Указание протокола для фильтрации пакетов на прикладном уровне.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> l7protocol <протокол>
delete filter <имя> rule <номер_правила> l7protocol <протокол>
show filter <имя> rule <номер_правила> l7protocol
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter имя {
   rule номер_правила {
      l7protocol протокол
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

протокол

Имя протокола прикладного уровня, используемого для фильтрации пакетов.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для включения фильтрации сетевых пакетов на прикладном уровне. Для фильтрации на прикладном уровне используется механизм регулярных выражений, который позволяет определить тип используемого протокола.

При использовании фильтрации на прикладном уровне необходимо учитывать, что для корректной работы механизма классификатор трафика должен видеть весь имеющий значение для классификации трафик. Для этого под правило фильтрации трафика, в котором применяется фильтрация на прикладном уровне, должны подпадать все разновидности трафика, генерируемые классифицируемым протоколом. Так, например, если в таком правиле будет учитываться только трафик, идущий в одном направлении, но не будет учитываться трафик, идущий в рамках тех же соединений в обратную сторону, фильтрация в ряде случаев может выполняться некорректно.

Так как механизм фильтрации на прикладном уровне требует больших системных ресурсов по сравнению с фильтрацией на основе параметров источника и отправителя, рекомендуется в тех случаях, когда это возможно использовать механизм фильтрации на основе таких параметров получателя и отправителя, как номер используемого сетевого порта или IP-адрес. Фильтрация на прикладном уровне может быть использована в тех случаях, когда:

  • требуется установить соответствие для пакетов протоколов, использующих номера портов, которые не могут быть заранее предсказаны;
  • требуется установить соответствие для пакетов протоколов при использовании нестандартных номеров портов (например, HTTP на порту 1111);
  • требуется распознать протоколы, использующие одинаковые номера портов (например, обмен файлами P2P, использующий порт 80).

Фильтрация на прикладном уровне может быть использована для контроля полосы пропускания для указанных протоколов, для учета пакетов указанных протоколов или для блокировки пакетов. При использовании фильтрации на прикладном уровне для блокировки пакетов указанных протоколов без дополнительных мер следует помнить, что могут возникать как ошибочные срабатывания (один протокол похож на другой), так и ошибочные несрабатывания фильтров (приложения могут маскировать свой протокол обмена способами, не учитываемыми в фильтре).

Форма set данной команды позволяет указать протокол для фильтрации на прикладном уровне.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> length#

Указание параметров, ограничивающих длину пакетов для правила фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> length [layer <уровень> | value <длина>]
delete filter <имя> rule <номер_правила> length [layer | value]
show filter <имя> rule <номер_правила> length [layer | value]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
filter имя {
   rule номер_правила { 
     length {
         layer уровень
         value длина
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

уровень

Уровень сетевой модели TCP/IP. Указать уровень согласно сетевой модели TCP/IP, на котором будет производиться проверка длины пакета. Допустимые значения приведены в таблице ниже:

Значение Описание
layer3 Сетевой уровень
layer4 Транспортный уровень
layer5 Прикладной уровень

длина

Длина пакета. Допустимые значения приведены в таблице ниже.:

Значение Описание
<0-4294967295> Соответствие для пакетов указанной длины
!<0-4294967295> Соответствие для всех пакетов, за исключением имеющих указанную длину
<x-y> Соответствие для пакетов указанного диапазона длин
!<x-y> Соответствие для всех пакетов, кроме имеющих указанный диапазон длин
Значение по умолчанию#

Ограничения не установлены.

Указания по использованию#

Данная команда позволяет указать параметры, ограничивающие длину пакетов в правиле фильтрации трафика IPv4.

Форма set данной команды используется для указания параметров, ограничивающих длину пакетов в правиле фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> limit connection-rate#

Указание параметров, ограничивающих частоту прохождения пакетов для соединения в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> limit connection-rate [above <макс_частота> | burst <размер> | destination-mask <маска_получателя> | group-by <режим> | source-mask <маска_источника> | upto <мин_частота>]
delete filter <имя> rule <номер_правила> limit connection-rate [above | burst | destination-mask | group-by | source-mask | upto]
show filter <имя> rule <номер_правила> limit connection-rate [above | burst | destination-mask | group-by | source-mask | upto]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
   rule номер_правила {
      limit {
         connection-rate {
            above макс_частота
            burst размер
            destination-mask маска_получателя
            group-by режим
            source-mask маска_источника
            upto мин_частота
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

макс_частота

Максимальная частота прохождения сетевых пакетов, для которых было установлено соответствие критериям правила. Время может быть указано в следующих единицах: second (секунды), minute (минуты), hour (часы), а также day (дни). Допустимые значения для частоты прохождения сетевых пакетов приведены в таблице ниже:

Значение Описание
<1-10000> Число пакетов в секунду
<1-10000>/second Число пакетов в секунду
<1-600000>/minute Число пакетов в минуту
<1-36000000>/hour Число пакетов в час
<1-864000000>/day Число пакетов за день

размер

Размер буфера групп пакетов. Задает число пакетов, которые могут быть переданы со скоростью, превышающей указанную. По умолчанию установлено значение равное 1, которое не допускает передачи групп пакетов со скоростью превышающей установленную. Значение должно находиться в диапазоне от 1 до 10000.

маска_получателя

Маска для группировки соединений по IP-адресу получателя. Значение должно находиться в диапазоне от 0 до 32.

режим

Режим группировки соединений. Допустимые значения для режима группировки соединений приведены в таблице ниже:

Значение Описание
destination-address Группировка по IPv4-адресу получателя
destination-port Группировка по порту получателя
source-address Группировка по IPv4-адресу отправителя
source-port Группировка по порту отправителя

маска_источника

Маска для группировки соединений по IP-адресу отправителя. Значение должно находиться в диапазоне от 0 до 32.

мин_частота

Минимальная частота прохождения сетевых пакетов, для которых было установлено соответствие критериям правила. Ограничения на значения аналогичны значениям максимальной частоты.

Значение по умолчанию#

Ограничение не установлено.

Указания по использованию#

Данная команда позволяет указать параметры, ограничивающие частоту прохождения сетевых пакетов для соединения в правиле фильтрации трафика IPv4. При создании правила фильтрации, ограничивающего частоту прохождения сетевых пакетов для соединения, указание режима группировки соединений, а также максимальной или минимальной частоты является обязательным. Может быть указано либо максимальная, либо минимальная частота.

Форма set данной команды используется для указания параметров, ограничивающих частоту прохождения пакетов для соединения.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> limit connections#

Указание параметров, ограничивающих количество соединений в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила>  limit connections [above <мин_кол-во> | group-by <режим>| mask <маска> | upto <макс_кол-во>]
delete filter <имя> rule <номер_правила> limit connections [above | mask]
show filter <имя> rule <номер_правила> limit connections [above | mask]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
   rule номер_правила {
      limit {
         connections {
            above мин_кол-во
            group-by режим 
            mask маска
            upto макс_кол-во
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

мин_кол-во

Минимальное количество соединений. Значение должно находиться в диапазоне от 0 до 4294967295.

Режим группировки соединений. Допустимые значения:

  • destination: группировка по IPv4-адресу получателя;
  • source: группировка по IPv4-адресу отправителя.

маска

Маска для группировки соединений по IP-адресу. Значение должно находиться в диапазоне от 0 до 32.

макс_кол-во

Максимальное количество соединений. Значение должно находиться в диапазоне от 0 до 4294967295.

Значение по умолчанию#

Ограничение не установлено.

Указания по использованию#

Данная команда позволяет указать параметры, ограничивающие количество соединений в правиле фильтрации трафика IPv4. При создании правила фильтрации, ограничивающего количество соединений, указание минимального или максимального числа соединений является обязательным. Может быть указано либо максимальное, либо минимальное количество соединений.

Форма set данной команды используется для указания параметров, ограничивающих количество соединений в правиле фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> limit packet-rate#

Указание параметров, ограничивающих частоту прохождения пакетов в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила>  limit packet-rate [burst <размер> | rate <частота>]
delete filter <имя> rule <номер_правила> limit packet-rate [burst | rate]
show filter <имя> rule <номер_правила> limit packet-rate [burst | rate]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
   rule номер_правила {
      limit {
         packet-rate {
            burst размер
            rate частота 
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

размер

Размер буфера групп пакетов. Максимальное число пакетов, которые могут быть переданы со скоростью, превышающей указанную. По умолчанию установлено значение равное 1, которое не допускает передачи групп пакетов со скоростью превышающей установленную. Значение должно находиться в диапазоне от 1 до 10000.

частота

Частота прохождения сетевых пакетов, для которых было установлено соответствие критериям правила. Время может быть указано в следующих единицах: second (секунды), minute (минуты), hour (часы), а также day (дни). Допустимые значения для частоты прохождения сетевых пакетов приведены в таблице ниже:

Значение Описание
<1-10000> Число пакетов в секунду
<1-10000>/second Число пакетов в секунду
<1-600000>/minute Число пакетов в минуту
<1-36000000>/hour Число пакетов в час
<1-864000000>/day Число пакетов за день
Значение по умолчанию#

Ограничение не установлено.

Указания по использованию#

Данная команда используется для ограничения частоты прохождения сетевых пакетов, для которых установлено соответствие данному правилу. Для ограничения частоты прохождения входящих сетевых пакетов используется фильтр TBF (Token Bucket Filter), который позволяет административно задать требуемую пропускную способность, а также возможность ее превышения для коротких групп пакетов.

Для реализации TBF используется буфер (bucket), который постоянно заполняется маркерами (token) с установленной скоростью (token rate). Наиболее важным параметром буфера является его размер, то есть число маркеров, которое в нем может содержаться. Каждый прибывающий маркер сопоставляется с одним пакетом данных из очереди данных, после чего удаляется из буфера. При работе данного алгоритма возможны три различных варианта:

  • Данные прибывают со скоростью равной скорости входящих маркеров. В этом случае каждый пакет имеет соответствующий маркер и проходит очередь без задержки.

  • Данные прибывают со скоростью меньшей скорости поступления маркеров. В этом случае лишь часть существующих маркеров будет уничтожаться, таким образом, они станут накапливаться до размера буфера. Накопленные маркеры могут использоваться для передачи групп пакетов со скоростью, превышающей установленную скорость прибывающих маркеров.

  • Данные прибывают быстрее, чем маркеры. Это означает, что в определенный момент в буфере не останется маркеров, что заставит алгоритм приостановить передачу данных. Эта ситуация называется "превышением". Если пакеты продолжают поступать, они начинают уничтожаться.

Форма set данной команды используется для указания параметров, ограничивающих частоту прохождения пакетов.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> log <состояние>#

Включение или отключение регистрации для действий правила фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> log <состояние>
delete filter <имя> rule <номер_правила> log <состояние>
show filter <имя> rule <номер_правила> log
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter имя {
   rule номер_правила {
      log состояние
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

состояние

Включение или отключение регистрации действий фильтра трафика. Допустимые значения:

  • enable: включить регистрацию действий;
  • disable: отключить регистрацию действий.
Значение по умолчанию#

Регистрация действий отключена.

Указания по использованию#

Данная команда используется для включения или отключения регистрации действия для указанного правила.

Примечание

Регистрация действия происходит только используемого фильтра, т.е такого фильтра, который применен к какой-либо политике. Эта политика, в свою очередь, должна быть применена к какому-либо направлению трафика. В противном случае фильтр считается настроенным, но не активным.

Сообщения регистрации для правил фильтрации трафика записываются в журнал регистрации от имени программы kernel с уровнем серьезности warning. При регистрации пакета в журнале регистрации указывается имя фильтра и его номер.

Например, для сетевого пакета который попадает под правило 10 фильтра трафика с именем test, в журнал регистрации будет помещена запись [test-10]. Если правило фильтра трафика было правилом исключения (атрибут exclude), то в журнал регистрации будет помещена запись [test-10-E].

Форма set данной команды позволяет включить регистрацию указанного правила.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> p2p <имя_приложения>#

Указание однорангового приложения для фильтрации его IPv4-пакетов на прикладном уровне.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> p2p <имя_приложения>
delete filter <имя> rule <номер_правила> p2p <имя_приложения>
show filter <имя> rule <номер_правила> p2p
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила { 
     p2p {
         имя_приложения
      } 
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_приложения

Обязательный. Соответствие устанавливается для пакетов однорангового приложения. Допустимые значения приведены в таблице ниже:

Значение Описание
all Соответствие устанавливается для пакетов любого из приложений, перечисленных в данной таблице
applejuice Соответствие устанавливается для пакетов приложения AppleJuice
bittorrent Соответствие устанавливается для пакетов приложения BitTorrent
directconnect Соответствие устанавливается для пакетов приложения Direct Connect
edonkey Соответствие устанавливается для пакетов приложения eDonkey/eMule
gnutella Соответствие устанавливается для пакетов приложения Gnutella
kazaa Соответствие устанавливается для пакетов приложения KaZaA
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания однорангового приложения, пакеты которого будут фильтроваться. Фильтрация происходит на прикладном уровне. Для пакетов, отправленных указанным приложением или предназначенных для него, будет установлено соответствие критериям данного правила. В правиле может быть указано несколько одноранговых приложений.

Форма set данной команды используется для указания однорангового приложения, к пакетам которого будет применяться правило.

Форма delete данной команды используется для удаления настройки однорангового приложения для указанного правила.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> probability <вероятность>#

Указание вероятности срабатывания правила в процентах.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> probability <вероятность>
delete filter <имя> rule <номер_правила> probability
show filter <имя> rule <номер_правила> probability
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter имя {
   rule номер_правила {
      probability вероятность
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

вероятность

Вероятность срабатывания правила в процентах. Обязательный параметр. Значение должно находиться в диапазоне от 1 до 99.

Значение по умолчанию#

Не установлено.

Указания по использованию#

Данная команда используется для указания вероятности срабатывания правила в процентах от 1 до 99.

Форма set данной команды используется для указания вероятности срабатывания правила.

Форма delete данной команды используется для удаления установленного значения.

Форма show данной команды используется для отображения установленного значения для вероятности срабатывания правила.

filter <имя> rule <номер_правила> protocol <протокол>#

Указание протокола для фильтрации пакетов.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> protocol <протокол>
delete filter <имя> rule <номер_правила> protocol <протокол>
show filter <имя> rule <номер_правила> protocol
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter имя {
   rule номер_правила {
      protocol протокол
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

протокол

Обязательный. Могут быть использованы любые наименования протоколов или их номера, определенные в файле /etc/protocols. Допустимые значения приведены в таблице ниже:

Значение Описание
All Соответствие устанавливается для всех протоколов IPv4
tcp_udp Соответствие устанавливается для протоколов TCP и UDP
<0-255> Соответствие устанавливается для указанного номера протокола IPv4
<text> Соответствие устанавливается для указанного имени протокола IPv4
!<0-255> Соответствие устанавливается для всех протоколов IPv4, кроме указанного
!<text> Соответствие устанавливается для всех протоколов IPv4, кроме указанного
Значение по умолчанию#

По умолчанию определены все протоколы.

Указания по использованию#

Данная команда используется для определения критерия соответствия на основе указанного протокола. Для пакетов указанного протокола будет установлено соответствие данному правилу.

Следует с осторожностью включать в набор правил более одного правила, определяющего исключения (правило, в котором указывается восклицательный знак "!"). Правила фильтра трафика выполняются по порядку, при этом последовательность правил, определяющих исключения, может привести к непредсказуемым результатам.

Форма set данной команды используется для указания протокола, к пакетам которого будет применяться указанное правило.

Форма delete данной команды используется для удаления установленного значения.

Форма show данной команды используется для отображения установленного значения.

filter <имя> rule <номер_правила> quota overall#

Настройка квотирования фильтрации пакетов по всему объёму данных или числу пакетов.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> quota overall [invert | mode <режим_квотирования> | upto <макс_число>]
delete filter <имя> rule <номер_правила> quota overall [invert | mode | upto]
show filter <имя> rule <номер_правила> quota overall [invert | mode | upto]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
   rule номер_правила {
      quota {
         overall {
            invert
            mode режим_квотирования
            upto макс_число 
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

invert

Необязательное ключевое слово. Если оно не указано, то правило будет срабатывать до тех пор, пока заданное значение счётчика не будет превышено. Если ключевое слово invert указано, то поведение будет обратным: правило не будет срабатывать, пока заданное значение не будет превышено.

режим_квотирования

Определяет один из двух режимов квотирования:

  • bytes: квотирование по объёму данных;
  • packets: квотирование по числу пакетов.

макс_число

Определяет максимальный объём данных или число пакетов. Объём данных может быть указан в следующих единицах: kb (килобайты), mb (мегабайты), gb (гигабайты). Допустимые значения приведены в таблице ниже:

Значение Описание
<1-18446744073709551615> Максимальное количество пакетов, если указан режим packets (2^64 -1)
<1-18446744073709551615> Максимальный объём данных (в байтах), если указан режим bytes (2^64 -1)
<1-18014398509481983>kb Максимальный объём данных (в килобайтах), только для режима bytes (2^54 -1)
<1-17592186044415>mb Максимальный объём данных (в мегабайтах), только для режима bytes (2^44 -1)
<1-17179869183>gb Максимальный объём данных (в гигабайтах), только для режима bytes (2^34 -1)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать режим квотирования и объём квоты пакетов для правила фильтрации трафика IPv4 без учёта направления движения пакетов.

Форма set данной команды используется для указания режима квотирования и объёма квоты пакетов для правила фильтрации трафика.

Форма delete данной команды используется для удаления установленного значения.

Форма show данной команды используется для отображения установленного значения.

filter <имя> rule <номер_правила> quota per-connection#

Настройка квотирования фильтрации пакетов по объёму данных или числу пакетов на соединение.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила>  quota per-connection [count-direction <направление_движения> | mode <режим_квотирования>| upto <макс_число>]
delete filter <имя> rule <номер_правила> quota per-connection [count-direction | mode | upto]
show filter <имя> rule <номер_правила>  quota per-connection [count-direction | mode | upto]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
   rule номер_правила {
      quota {
         per-connection {
            count-direction направление_движения
            mode режим_квотирования
            upto макс_число
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

направление_движения

Необязательный. Направление движения пакетов, которое стоит учитывать. Допустимые значения для направления движения пакетов приведены в таблице ниже:

Значение Описание
original Учитываются пакеты от инициатора соединения
reply Учитываются пакеты к инициатору соединения
both Учитываются пакеты для обоих направлений

режим_квотирования

Определяет один из двух режимов квотирования:

  • bytes: квотирование по объёму данных;
  • packets: квотирование по числу пакетов.

макс_число

Определяет максимальный объём данных или число пакетов. Объём данных может быть указан в следующих единицах: kb (килобайты), mb (мегабайты), gb (гигабайты). Допустимые значения приведены в таблице ниже:

Значение Описание
<1-4294967295> Максимальное количество пакетов, если указан режим packets (2^32 -1)
<1-4294967295> Максимальный объём данных (в байтах), если указан режим bytes (2^32 -1)
<1-4194303>kb Максимальный объём данных (в килобайтах), только для режима bytes (2^22 -1)
<1-4095>mb Максимальный объём данных (в мегабайтах), только для режима bytes (2^12 -1)
<1-3>gb Максимальный объём данных (в гигабайтах), только для режима bytes (2^2 -1)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать режим квотирования и объём квоты пакетов для правила фильтрации трафика IPv4 с учётом направления движения пакетов.

Форма set данной команды используется для указания режима квотирования и объёма квоты пакетов для правила фильтрации трафика.

Форма delete данной команды используется для удаления установленного значения.

Форма show данной команды используется для отображения установленного значения.

filter <имя> rule <номер_правила> recent#

Установка соответствия для сетевых пакетов от недавно встречавшихся отправителей.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> recent [count <счетчик> | time <секунды>]
delete filter <имя> rule <номер_правила> recent [count | time]
show filter <имя> rule <номер_правила> recent [count | time]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
filter имя {
   rule номер_правила {
      recent {
         count счетчик
         time секунды 
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

счетчик

Обязательный. Количество пакетов с одинаковым IP-адресом отправителя, необходимое для срабатывания правила. Значение должно находиться в диапазоне от 1 до 20.

секунды

Обязательный. Количество времени, указываемое в секундах, в течение которого будет происходить подсчет пакетов от одного отправителя. Значение должно находиться в диапазоне от 1 до 4294967295.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет установить соответствие для сетевых пакетов, пришедших от недавно встречавшихся отправителей.

Форма set данной команды позволяет установить настройку для проверки соответствия на основе адресов недавно встречавшихся отправителей.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> sctp chunk-type#

Установка параметров протокола SCTP для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> sctp chunk-type [invert | logic <режим_сопоставления> | type <тип>]
delete filter <имя> rule <номер_правила> sctp chunk-type [invert | logic | type <тип>]
show filter <имя> rule <номер_правила> sctp chunk-type [logic | type]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
   rule номер_правила {
      sctp {
         chunk-type {
            invert
            logic режим_сопоставления
            type {
               тип 
            }
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

invert

Необязательное ключевое слово. Если оно указано, то производится инверсия сопоставления.

режим_сопоставления

Обязательный. Логика обработки пакетов с указанными типами блоков. Допустимые значения для режима сопоставления пакетов с указанными типами блоков приведены в таблице ниже.

Значение Описание
any Соответствие устанавливается при совпадении любого из указанных типов
all Соответствие устанавливается при совпадении всех указанных типов
only Соответствие устанавливается при совпадении всех указанных типов и отсутствию иных типов

тип

Обязательный. Тип блока для сопоставления. Допустимые значения типов блоков приведены в таблице ниже:

Значение Описание
abort Разрыв ассоциации (ABORT, код 6)
asconf Смена адресной настройки (ASCONF, код 193)
asconf-ack Подтверждение адресной конфигурации (ASCONF ACK, код 128)
cookie-ack Подтверждение маркера (COOKIE ACK, код 11)
cookie-echo Маркерное отражение (COOKIE ECHO, код 10)
data Данные (DATA, код 0)
ecn-cwr Окно перегрузки уменьшено (CWR, код 13)
ecn-ecne Отражение явного уведомления о перегруженности (ECN ECHO, код 12)
error Ошибка взаимодействия (ERROR, код 9)
forward-tsn Смещение накопленного порядкового номера передачи (FORWARD TSN, код 192)
heartbeat Запрос состояния соединения (HEARTBEAT, код 4)
heartbeat-ack Подтверждение запроса проверки состояния соединения (HEARTBEAT ACK, код 5)
init Инициализация (INIT, код 1)
init-ack Подтверждение инициализации (INIT ACK, код 2)
sack Частичное подтверждение (SACK, код 3)
shutdown Закрытие ассоциации (SHUTDOWN, код 7)
shutdown-ack Подтверждение закрытия ассоциации (SHUTDOWN ACK, код 8)
shutdown-complete Окончание закрытия ассоциации (SHUTDOWN COMPLETE, код 14)

Одновременно можно задать более одно типа блоков.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать параметры протокола SCTP для проверки соответствия правилу фильтрации.

Предварительно должен быть определен протокол SCTP при помощи команды filter <имя> rule <номер_правила> protocol sctp.

Форма set используется для включения фильтрации по протоколу SCTP и указания параметров.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> source address <адрес>#

Указание адреса отправителя для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> source address <адрес>
delete filter <имя> rule <номер_правила> source address <адрес>
show filter <имя> rule <номер_правила> source address
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      source {
         address адрес 
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

адрес

Адрес отправителя, используемый для проверки соответствия. Поддерживаемые значения приведены в таблице ниже:

Значение Описание
<x.x.x.x> Адрес IPv4
<x.x.x.x/x> Подсеть IPv4 (значение 0.0.0.0/0 соответствует любой сети)
<x.x.x.x>-<x.x.x.x> Диапазон IPv4-адресов
!<x.x.x.x> Соответствие будет установлено для всех IPv4-адресов, кроме указанного
!<x.x.x.x/x> Соответствие будет установлено для всех IPv4-адресов, кроме указанной подсети
!<x.x.x.x>-<x.x.x.x> Соответствие будет установлено для всех IPv4-адресов, кроме адресов, входящих в указанный диапазон
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать адрес отправителя в правиле фильтрации трафика IPv4.

В том случае если явно указаны адрес и номер порта, для пакета устанавливается соответствие критериям правила в том и только том случае, если совпадает как адрес, так и номер порта.

Примечание

Для указания адреса отправителя адрес задается либо данной командой, либо указанием группы адресов командой filter <имя> rule <номер_правила> source address-group <имя_группы>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды используется для указания адреса отправителя в правиле фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> source address-group <имя_группы>#

Указание группы адресов для проверки соответствия IP-адреса отправителя сетевого пакета в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> source address-group <имя_группы>
delete filter <имя> rule <номер_правила> source address-group <имя_группы>
show filter <имя> rule <номер_правила> source address-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      source {
         address-group имя_группы
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы

Имя группы IPv4-адресов.

Допустимые значения для группы адресов:

Значение Описание
<text> Имя группы
!<text> Все группы кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенную группу адресов для сопоставления с IPv4-адресом отправителя пакета. Группа должна быть предварительно определена при помощи команды groups address-group <имя_группы>. Может быть указана только одна группа. Соответствие для пакета устанавливается в том случае, если IP-адрес совпадает с одним из адресов, входящих в состав указанной группы.

Примечание

Для указания адреса отправителя адрес задается либо указанием группы адресов данной командой, либо указанием адресов командой filter <имя> rule <номер_правила> source address <адрес>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды используется для указания группы адресов отправителя для проверки соответствия.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> source address-type <тип>#

Указание типа адреса отправителя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> source address-type <тип>
delete filter <имя> rule <номер_правила> source address-type<тип>
show filter <имя> rule <номер_правила> source address-type
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила { 
     source {
         address-type тип
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип

Тип адреса отправителя (источника). Данное правило будет применено к пакетам, тип адреса отправителя (источника) которых соответствует указанному. Допустимые значения приведены в таблице ниже:

Значение Описание
unspec Неопределённый адрес (0.0.0.0)
unicast Однонаправленный адрес
local Локальный адрес
broadcast Широковещательный адрес
multicast Мультивещательный адрес
anycast Близковещательный адрес (anycast)
blackhole Адрес подпадающий под маршрут типа "чёрная дыра"
unreachable Недостижимый адрес
prohibit Административно запрещённый для маршрутизации адрес
nat Преобразуемый сетевой адрес
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать тип адреса отправителя в правиле фильтрации трафика IPv4.

Форма set данной команды используется для создания настройки типа адреса источника для правила фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> source country <код_страны>#

Указание двухзначного кода страны отправителя в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> source country <код_страны>
delete filter <имя> rule <номер_правила> source country <код_страны>
show filter <имя> rule <номер_правила> source country
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      source {
         country код_страны
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

код_страны

Двузначный код страны отправителя.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания двухзначного кода страны отправителя в правиле фильтрации трафика IPv4. В одном правиле фильтрации может быть задано не более 15 стран.

Примечание

Необходимо иметь в виду, что данные о принадлежности IP диапазона к определенному региону берутся из общедоступных источников и могут не обладать 100% точностью. Для дополнения/исключения диапазонов рекомендуется использовать группы IP адресов (groups address-group) в правилах фильтрации.

Форма set данной команды используется для указания двухзначного кода страны источника в правиле фильтрации трафика IPv4.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для просмотра настройки.

filter <имя> rule <номер_правила> source domain-group <имя_группы>#

Указание группы доменов для проверки соответствия домена отправителя сетевого пакета в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> source domain-group <имя_группы>
delete filter <имя> rule <номер_правила> source domain-group <имя_группы>
show filter <имя> rule <номер_правила> source domain-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      source {
         domain-group имя_группы
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы

Имя группы доменов.

Допустимые значения для группы доменов:

Значение Описание
<text> Имя группы
!<text> Все группы кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенную группу доменов для сопоставления с доменом отправителя пакета. Группа должна быть предварительно определена при помощи команды groups domain-group <имя_группы>. Может быть указана только одна группа.

Соответствие для пакета устанавливается в том случае, если домен совпадает с одним из доменов, входящих в состав указанной группы.

Форма set данной команды используется для указания группы доменов отправителя для проверки соответствия.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> source ldap#

Указание имени пользователя и(или) группы LDAP для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> source ldap [group <имя_группы>| user <имя_пользователя>]
delete filter <имя> rule <номер_правила> source ldap [group | user]
show filter <имя> rule <номер_правила> source ldap [group | user]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
   rule номер_правила {
      source {
         ldap {
            group имя_группы
            user имя_пользователя
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы

Данное правило будет применено к пакетам, отправителем которых являются клиент VPN PPTP/L2TP, который был аутентифицирован на основе учетной записи пользователя LDAP, входящего в указанную группу.

имя_пользователя

Данное правило будет применено к пакетам, отправителем которых является клиент VPN PPTP/L2TP, который был аутентифицирован на основе учетной записи пользователя LDAP с указанным именем.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать имя пользователя и(или) группы LDAP, для тех случаев когда отправителем является клиент PPTP/L2TP, который был аутентифицирован на основе учетной записи пользователя LDAP с указанным именем.

Форма set данной команды используется для создания настройки отправителя для правила фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> source local-group <имя_группы>#

Указание локальной группы МЭ для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> source local-group <имя_группы>
delete filter <имя> rule <номер_правила> source local-group <имя_группы>
show filter <имя> rule <номер_правила> source local-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      source {
         local-group имя_группы
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы

Имя локальной группы МЭ. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя группы
!<text> Все группы кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать локальную группу МЭ для сопоставления в правиле фильтрации трафика IPv4.

Форма set данной команды используется для указания локальной группы МЭ в правиле фильтрации трафика IPv4.

Форма delete данной команды используется для удаления локальной группы МЭ в правиле фильтрации трафика IPv4.

Форма show данной команды используется для отображения настройки локальной группы МЭ в правиле фильтрации трафика IPv4.

Примечание

При использовании политикой фильтра с заданными локальными пользователями/группами, такая политика может быть использована только в качестве системной.

filter <имя> rule <номер_правила> source local-user <имя_пользователя>#

Указание локального пользователя МЭ для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> source local-user <имя_пользователя>
delete filter <имя> rule <номер_правила> source local-user <имя_пользователя>
show filter <имя> rule <номер_правила> source local-user
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      source {
         local-user имя_пользователя
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_пользователя

Имя локального пользователя МЭ. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя пользователя
!<text> Все пользователи кроме указанного
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать локального пользователя МЭ для сопоставления в правиле фильтрации трафика IPv4.

Форма set данной команды используется для указания локального пользователя МЭ в правиле фильтрации трафика IPv4.

Форма delete данной команды используется для удаления локального пользователя МЭ в правиле фильтрации трафика IPv4.

Форма show данной команды используется для отображения настройки локального пользователя МЭ в правиле фильтрации трафика IPv4.

Примечание

При использовании политикой фильтра с заданными локальными пользователями/группами, такая политика может быть использована только в качестве системной.

filter <имя> rule <номер_правила> source mac-address <mac-адрес>#

Указание MAC-адреса отправителя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> source mac-address <mac-адрес>
delete filter <имя> rule <номер_правила> source mac-address <mac-адрес>
show filter <имя> rule <номер_правила> source mac-address
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      source {
         mac-address mac-адрес
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

mac-адрес

MAC-адрес для проверки соответствия. Адрес указывается в формате шести разделенных двоеточиями 8-битных шестнадцатеричных чисел, например, 18:31:bf:3c:0d:67.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать MAC-адрес источника, по которому будет осуществляться проверка соответствия пакета критериям правила фильтрации трафика.

Форма set данной команды используется для указания MAC-адреса отправителя в правиле фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> source network-group <имя_группы>#

Данный узел команд присутствует в системе для обеспечения обратной совместимости со старыми версиями оборудования. Вместо него следует использовать функционал filter <имя> rule <номер_правила> source address-group <имя_группы>.

filter <имя> rule <номер_правила> source port <порт>#

Указание номера сетевого порта отправителя для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> source port <порт>
delete filter <имя> rule <номер_правила> source port <порт>
show filter <имя> rule <номер_правила> source port
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      source {
         port порт
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

порт

Порт отправителя для проверки соответствия. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя порта (любое из файла /etc/services)
<0-65535> Номер порта
<start>-<end> Диапазон портов

Возможно также задание списка через запятую, например: "22,telnet,http,123,1001-1005".

Возможно также задание инвертированного списка с помощью "!", например: "!22,telnet,http,123,1001-1005".

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать номера сетевого порта отправителя в правиле фильтрации трафика IPv4. Сетевой порт может быть указан только для протоколов TCP, UDP, SCTP и DCCP. Предварительно должен быть определен протокол при помощи команды filter <имя> rule <номер_правила> protocol <протокол>.

В том случае если явно указаны адрес и номер порта, для пакета устанавливается соответствие критериям правила в том и только том случае, если совпадает как адрес, так и номер порта.

Примечание

Для указания порта отправителя порт задается либо данной командой, либо указанием группы портов командой filter <имя> rule <номер_правила> source port-group <имя_группы>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды используется для указания порта отправителя в правила фильтрации трафика IPv4.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> source port-group <имя_группы>#

Указание группы портов для проверки соответствия порта отправителя сетевого пакета в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила>  source port-group <имя_группы>
delete filter <имя> rule <номер_правила>  source port-group <имя_группы>
show filter <имя> rule <номер_правила>  source port-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      source {
         port-group имя_группы
      } 
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы

Имя группы портов.

Допустимые значения для группы портов:

Значение Описание
<text> Имя группы
!<text> Все группы кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенную группу портов для сопоставления с номером порта отправителя пакета. Группа должна быть предварительно определена при помощи команды groups port-group <имя_группы>. Может быть указана только одна группа.

Соответствие для пакета устанавливается в том случае, если номер порта источника (отправителя) пакета совпадает с одним из портов, входящих в состав указанной группы.

Примечание

Для указания порта отправителя порт задается либо указанием группы портов данной командой, либо указанием портов командой filter <имя> rule <номер_правила> source port <порт>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды используется для указания группы портов отправителя для проверки соответствия.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> state#

Указание состояний соединений, к которым применяется правило фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> state [established <состояние> | invalid <состояние> | new <состояние> | related <состояние>]
delete filter <имя> rule <номер_правила> state [established | invalid | new | related]
show filter <имя> rule <номер_правила> state
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
   rule номер_правила {
      state {
         established состояние
         invalid состояние
         new состояние 
         related состояние
      }
   } 
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

established состояние

Позволяет указать, следует ли применять данное правило к пакетам установленных соединений. Поддерживаются следующие значения:

  • enable: применить правило к пакетам установленных соединений;
  • disable: не применять правило к пакетам установленных соединений.
  • invalid состояние

Позволяет указать, следует ли применять данное правило к пакетам недействительных соединений. Поддерживаются следующие значения:

  • enable: применить правило к пакетам недействительных соединений;
  • disable: не применять правила к пакетам недействительных соединений.
  • new состояние

Позволяет указать, следует ли применять данное правило к пакетам новых соединений. Поддерживаются следующие значения:

  • enable: применить правило к пакетам новых соединений;
  • disable: не применять правило к пакетам новых соединений.
  • related состояние

Позволяет указать, следует ли применять данное правило к пакетам связанных соединений. Поддерживаются следующие значения:

  • enable: применить данное правило к пакетам связанных соединений;
  • disable: не применять данное правило к пакетам связанных соединений.
Значение по умолчанию#

Указанное правило применяется ко всем пакетам вне зависимости от состояния соединения.

Указания по использованию#

Данная команда позволяет указать состояния соединений, к пакетам которых будет применяться данное правило фильтрации трафика IPv4.

Established - состояние установленного соединения. Соединение считается установленным в том случае, когда был получен трафик в обоих направлениях.

Invalid - состояние недействительного соединения. Присваивается пакетам, которые не могут быть идентифицированы по каким-либо причинам. Такое возможно в случае нехватки ресурсов системы для обработки пакета; или если пакет не содержит сведений идентифицирующих состояние; или ошибки ICMP, которые не могут быт соотнесены ни с одним известным соединением. Обычно эти пакеты отбрасываются.

New - состояние нового соединения. Такое состояние характерно для пакетов, впервые встреченных системой, содержащих информацию о новом соединении. Для протокола TCP, это пакеты с установленным флагом SYN.

Related - состояние связанного соединения. Такое состояние характерно для соединений, инициированных на основе уже существующего установленного соединения. В качестве примера можно привести соединение для обмена данными протокола FTP, которое будет являться связанным по отношению к установленному управляющему соединению FTP.

Форма set данной команды позволяет указать тип пакетов, к которому будет применяться правило фильтрации трафика IPv4.

Форма delete данной команды позволяет восстановить поведение, принятое по умолчанию.

Форма show данной команды используется для отображения настройки.

Примечание

При наличии в конфигурации данного фильтра на устройстве производится дефрагментация пакетов. В таком случае фильтр соответствия фрагментированным пакетам fragment не будет отрабатывать корректно.

filter <имя> rule <номер_правила> string <номер_подстроки> case-insensitive#

Не учитывать регистр букв при фильтрации по подстрокам в IPv4-пакете.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> string <номер_подстроки> case-insensitive
delete filter <имя> rule <номер_правила> string <номер_подстроки>case-insensitive
show filter <имя> rule <номер_правила> string <номер_подстроки>case-insensitive
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      string номер_подстроки {
         case-insensitive
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

case-insensitive

При указании данного параметра поиск будет осуществляться без учета регистра букв в подстроке.

Значение по умолчанию#

По умолчанию регистр букв учитывается.

Указания по использованию#

При использовании этой команды при поиске подстроки в пакете IPv4 не учитывается регистр букв. Предварительно должна быть определена искомая подстрока при помощи команды filter <имя> rule <номер_правила> string <номер_подстроки> match <подстрока> или в шестнадцатеричной нотации при помощи команды filter <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>.

Форма set данной команды позволяет указать, что требуется не учитывать регистр букв при поиске подстроки.

Форма delete данной команды позволяет восстановить поведение, принятое по умолчанию.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> string <номер_подстроки> from <смещение>#

Установка смещения в пакете IPv4, начиная с которого будет осуществляться поиск подстроки.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> string <номер_подстроки> from <смещение>
delete filter <имя> rule <номер_правила> string <номер_подстроки> from <смещение>
show filter <имя> rule <номер_правила> string номер_подстроки from
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      string номер_подстроки {
         from смещение
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

смещение

Смещение в байтах от начала пакета IPv4. Значение должно находиться в диапазоне от 0 до 65535.

Значение по умолчанию#

По умолчанию установлено значение 0, поиск подстроки осуществляется от начала пакета IPv4.

Указания по использованию#

Данная команда позволяет указать смещение в пакете IPv4, начиная от которого, будет осуществляться поиск подстроки. Предварительно должна быть определена искомая подстрока при помощи команды filter <имя> rule <номер_правила> string <номер_подстроки> match <подстрока> или в шестнадцатеричной нотации при помощи команды filter <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>.

Смещение, до которого осуществляется поиск, указывается при помощи команды filter <имя> rule <номер_правила> string <номер_подстроки> to <смещение>.

Форма set данной команды позволяет указать смещение в пакете IPv4, начиная с которого будет осуществляться поиск подстроки в пакете IPv4.

Форма delete данной команды позволяет удалить настройку и восстановить значение, принятое по умолчанию.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>#

Указание подстроки для поиска в шестнадцатеричном виде.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>
delete filter <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>
show filter <имя> rule <номер_правила> string <номер_подстроки> hex-match
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      string номер_подстроки {
         hex-match подстрока
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

подстрока

Подстрока для поиска в пакете IPv4. Значение указывается в следующем формате: текст|xx xx|текст, где шестнадцатеричное значение ограничено символом ' | ', а шестнадцатеричные блоки (xx), представляющие байт данных, могут быть разделены пробелами, например, |40 41 42 43|. Значение текст|xx xx|текст необходимо заключить либо в одинарные ('текст|xx xx|текст'), либо в двойные ("текст|xx xx|текст") кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет задать критерий соответствия для пакетов на основе подстроки для поиска в пакете IPv4, значение которой указывается в шестнадцатеричном виде.

Форма set данной команды позволяет указать значение подстроки для поиска в шестнадцатеричном виде.

Форма delete данной команды позволяет удалить настройку.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> string <номер_подстроки> match <подстрока>#

Указание подстроки для поиска.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> string <номер_подстроки> match <подстрока>
delete filter <имя> rule <номер_правила> string <номер_подстроки> match <подстрока>
show filter <имя> rule <номер_правила> string <номер_подстроки> match
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      string номер_подстроки {
         match подстрока
      } 
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

подстрока

Подстрока для поиска в пакете IPv4.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет задать критерий соответствия для пакетов на основе подстроки для поиска в пакете IPv4. Для того чтобы осуществлять поиск на основе нескольких подстрок, следует для одного правила фильтра трафика указать несколько узлов конфигурации string, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

Форма set данной команды позволяет указать значение подстроки для поиска.

Форма delete данной команды позволяет удалить настройку.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> string <номер_подстроки> negation#

Установка соответствия на основе отсутствия указанной подстроки в пакете IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> string <номер_подстроки> negation
delete filter <имя> rule <номер_правила> string <номер_подстроки> negation
show filter <имя> rule <номер_правила> string <номер_подстроки> negation
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      string номер_подстроки {
         negation 
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

При указании команды соответствие будет устанавливаться для пакетов, в которых отсутствует указанная подстрока. Предварительно должна быть определена искомая подстрока при помощи команды filter <имя> rule <номер_правила> string <номер_подстроки> match <подстрока> или в шестнадцатеричной нотации при помощи команды filter <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>.

Форма set данной команды позволяет указать, что соответствие будет устанавливаться для пакетов, в которых отсутствует указанная подстрока.

Форма delete данной команды позволяет удалить настройку.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> string <номер_подстроки> to <смещение>#

Установка смещения в пакете IPv4, до которого будет осуществляться поиск подстроки.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> string <номер_подстроки> to <смещение>
delete filter <имя> rule <номер_правила> string <номер_подстроки> to <смещение>
show filter <имя> rule <номер_правила> string <номер_подстроки> to
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      string номер_подстроки {
         to смещение
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

смещение

Смещение в байтах от начала пакета IPv4. Значение должно находиться в диапазоне от 0 до 65535.

Значение по умолчанию#

По умолчанию поиск подстроки осуществляется до конца пакета IPv4.

Указания по использованию#

Данная команда позволяет указать смещение в пакете IPv4, до которого, будет осуществляться поиск подстроки. Предварительно должна быть определена искомая подстрока при помощи команды filter <имя> rule <номер_правила> string <номер_подстроки> match <подстрока> или в шестнадцатеричной нотации при помощи команды filter <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>.

Смещение, от которого начинается поиск, указывается при помощи команды filter <имя> rule <номер_правила> string <номер_подстроки> from <смещение>.

Форма set данной команды позволяет указать смещение в пакете IPv4, до которого будет осуществляться поиск подстроки в пакете IPv4.

Форма delete данной команды позволяет удалить настройку и восстановить значение, принятое по умолчанию.

Форма show данной команды используется для отображения настройки.

filter <имя> rule <номер_правила> tcp flags <флаг>#

Указание флагов TCP для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> tcp flags <флаг>
delete filter <имя> rule <номер_правила> tcp flags
show filter <имя> rule <номер_правила> tcp flags
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      tcp {
         flags флаг
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

флаг

Указание флагов TCP для проверки соответствия. Поддерживаются следующие значения: SYN, ACK, FIN, RST, URG, PSH и ALL. При указании нескольких флагов, они должны быть указаны через запятую. Например, при указании "SYN, !ACK, !FIN, !RST" будет установлено соответствие только в том случае, если установлен флаг SYN и не установлены флаги ACK, FIN, RST. Указание ALL может быть использовано для проверки того, что установлены все флаги, указание !ALL используется для проверки того, что не установлено ни одного флага. При указании перед значением флага восклицательного знака ("!") соответствие будет установлено в том случае, если флаг не установлен.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет проверять соответствие сетевых пакетов критериям правила фильтрации трафика IPv4 на основе флагов TCP. Предварительно должен быть определен протокол TCP для правила фильтрации при помощи команды filter <имя> rule <номер_правила> protocol tcp.

Форма set данной команды используется для указания флагов TCP на основе которых будет осуществляться проверка соответствия.

Форма delete данной команды позволяет восстановить поведение по умолчанию.

Форма show данной команды позволяет отобразить настройку.

Примечание

В случае использования фильтра для отсеивания TCP пакетов с некорректными наборами флагов, такой фильтр не будет работать совместно с трансляцией адресов NAT. Так как при включении NAT такие пакеты отбрасываются до применения политик фильтрации.

filter <имя> rule <номер_правила> tcp mss <значение>#

Указание максимального размера сегмента для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> tcp mss <значение>
delete filter <имя> rule <номер_правила> tcp mss
show filter <имя> rule <номер_правила> tcp mss
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      tcp { 
        mss значение
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Максимальный размер сегмента. Допустимые значения приведены в таблице ниже:

Значение Описание
<x> Одиночное значение (где x - целое в диапазоне от 0 до 65535)
<x>-<y> Диапазон значений (где x, y - целое в диапазоне от 0 до 65535, x < y)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет проверять соответствие сетевых пакетов IPv4 критериям правила на основе указанного максимального размера сегмента. Предварительно должен быть определен протокол TCP для правила фильтрации при помощи команды filter <имя> rule <номер_правила> protocol tcp.

Форма set данной команды используется для указания максимального размера сегмента, на основе которых будет осуществляться проверка соответствия.

Форма delete данной команды позволяет восстановить поведение по умолчанию.

Форма show данной команды позволяет отобразить установленное в текущий момент значение максимального размера сегмента.

filter <имя> rule <номер_правила> tcp option <опция>#

Указание опции TCP для проверки соответствия в правиле фильтрации трафика IPv4.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> tcp option <опция>
delete filter <имя> rule <номер_правила> tcp option
show filter <имя> rule <номер_правила>  tcp option
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      tcp {
         option опция
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

опция

Проверка на наличие/отсутствие указанной опции TCP в пакете. Допустимые значения приведены в таблице ниже:

Значение Описание
<х> Номер опции TCP (где x - целое в диапазоне от 1 до 255)
md5 Имитовставка с использованием алгоритма MD5 (номер 19)
mss Максимальный размер сегмента (номер 2)
sack-permitted Разрешение выборочного подтверждения (номер 4)
sack Выборочное подтверждение (номер 5)
timestamp Временная отметка (номер 8)
wscale Масштабирование окна (номер 3)
!<y> Проверка отсутствия заданной опции (<y> - любое значение, приведенное выше)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет проверять наличие/отсутствие в сетевых пакетах указанной опции TCP. Предварительно должен быть определен протокол TCP для правила фильтрации при помощи команды filter <имя> rule <номер_правила> protocol tcp.

Форма set данной команды используется для указания опции, на основании которой будет осуществляться проверка соответствия.

Форма delete данной команды позволяет удалить заданное значение опции.

Форма show данной команды позволяет отобразить установленное в текущий момент значение проверяемой опции.

filter <имя> rule <номер_правила> time#

Применение правил фильтрации трафика с учетом даты и времени.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> time [monthdays <дни_месяца> | startdate <дата> | starttime <время> | stopdate <дата> | stoptime <время>| utc | weekdays <дни_недели>]
delete filter <имя> rule <номер_правила> time
show filter <имя> rule <номер_правила> time
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя { 
  rule номер_правила {
      time {
         monthdays дни_месяца
         startdate дата
         starttime время 
         stopdate дата
         stoptime время 
         utc
         weekdays дни_недели
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

дни_месяца

Дни месяца, в которые применяется указанное правило. Поддерживаются следующие значения: дни месяца (с 1 по 31), указанные через запятую (например, 3,15,24). Может быть указан восклицательный знак ("!") для указания отрицания списка значений (например, !3,15,24). В данном случае правило фильтрации трафика будет применяться ежедневно, кроме указанных дней месяца.

startdate дата

Дата (и, в случае необходимости, время) начала периода действия правила. Указывается в следующем формате:

  • гггг-мм-дд (например, 2020-04-21);
  • гггг-мм-ддTчч:мм:сс (время, при необходимости указания, отделяется символом "T", например, 2020-04-21T16:45:00).

Время указывается в 24-часовом формате (значение должно находиться в диапазоне от 00:00:00 до 23:59:59). В том случае если время явно не указано, по умолчанию устанавливается начало указанного дня (т.е., 00:00:00). Для указания окончания периода действия правила используется параметр stopdate.

starttime время

Время начала периода, в течение которого правило будет применяться. Указывается в следующем формате:

  • чч:мм:сс (например, 16:45:00).

Время указывается в 24-часовом формате (значение должно находиться в диапазоне от 00:00:00 до 23:59:59). Для указания времени окончания периода действия правила используется параметр stoptime.

stopdate дата

Дата (и, в случае необходимости, время) окончания периода действия правила. Указывается в следующем формате:

  • гггг-мм-дд (например, 2020-04-21);
  • гггг-мм-ддTчч:мм:сс (время, при необходимости указания, отделяется символом "T", например, 2020-04-21T16:45:00).

Время указывается в 24-часовом формате (значение должно находиться в диапазоне от 00:00:00 до 23:59:59). В том случае если время явно не указано, по умолчанию устанавливается начало указанного дня (т.е., 00:00:00). Для указания начала периода действия правила используется параметр startdate.

stoptime время

Время окончания периода, в течение которого правило будет применяться. Указывается в следующем формате:

  • чч:мм:сс (например, 16:45:00).

Время указывается в 24-часовом формате (значение должно находиться в диапазоне от 00:00:00 до 23:59:59). Для указания времени начала периода действия правила используется параметр starttime.

utc

При указании данного параметра время, заданное при помощи параметров startdate, stopdate, starttime, и stoptime, должно быть интерпретировано как время UTC, а не как местное время.

дни_недели

Дни недели, по которым указанное правило будет применяться. Поддерживаются следующие значения: Mon, Tue, Wed, Thu, Fri, Sat и Sun.

Дни недели могут быть указаны через запятую (например: Mon,Wed,Fri).

Для указания отрицания списка значений может быть указан восклицательный знак "!" (например, !Mon,Wed,Fri). В данном случае правило фильтрации трафика будет применяться ежедневно, кроме указанных дней недели.

Значение по умолчанию#

Правило применяется постоянно без учета даты и времени.

Указания по использованию#

Данная команда используется для ограничения времени, в течение которого применяется указанное правило фильтрации трафика.

Все параметры являются необязательными. В случае указания нескольких параметров объединяются логическим И.

Форма set данной команды используется для указания периода действия правила фильтрации трафика IPv4.

Форма delete данной команды используется для восстановления поведения по умолчанию.

Форма show данной команды используется для отображения настройки периода действия правила фильтрации трафика.

filter <имя> rule <номер_правила> ttl <значение>#

Применение правил фильтрации трафика с учетом времени жизни пакетов.

Синтаксис#
1
2
3
set filter <имя> rule <номер_правила> ttl <значение>
delete filter <имя> rule <номер_правила> ttl
show filter <имя> rule <номер_правила> ttl
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter имя {
   rule номер_правила {
      ttl {
         значение
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Значение знака сравнения и время жизни пакета. Допустимые значения правила фильтрации трафика на основе времени жизни пакетов приведены в таблице ниже:

Значение Описание
equals <x> Применение правила к пакетам, время жизни которых равно указанному (где x - целое в диапазоне от 0 до 255)
greater-than <x> Применение правила к пакетам, время жизни которых больше указанного (где x - целое в диапазоне от 0 до 254)
less-than <x> Применение правила к пакетам, время жизни которых меньше указанного (где x - целое в диапазоне от 1 до 255)
not-equals <x> Применение правила к пакетам, время жизни которых не равно указанному (где x - целое в диапазоне от 0 до 255)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет проверять соответствие сетевых пакетов критериям правила на основе времени жизни пакетов.

Форма set данной команды используется для создания правила фильтрации, основанного на времени жизни пакетов.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

Примечание

Межсетевой экран уменьшает значение ttl для транзитного трафика (in/out) перед фильтрацией. Для трафика, предназначенного самому устройству (направление local) значение ttl не уменьшается.

filter-ipv6 <имя>#

Указание имени фильтра трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя>
delete filter-ipv6 <имя>
show filter-ipv6 <имя>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter-ipv6 имя {
}
Параметры#

имя

Имя фильтра трафика.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать имя фильтра трафика. Следует отметить,что при создании пустого узла filter-ipv6 (без правил) трафик IPv6 им обрабатываться не будет. Настройка узла filter-ipv6 не влияет на трафик IPv4.

Форма set данной команды используется для указания имени фильтра трафика.

Форма delete данной команды используется для удаления фильтра трафика с заданным именем.

Форма show данной команды используется для отображения фильтра трафика.

filter-ipv6 <имя> description <описание>#

Указание краткого описания для фильтра трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> description <описание>
delete filter-ipv6 <имя> description
show filter-ipv6 <имя> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
filter-ipv6 имя {
   description описание
}
Параметры#

имя

Имя фильтра трафика.

описание

Описание фильтра трафика. Если текст описания фильтра трафика не содержит пробелов, то описание не требует использования дополнительных символов, иначе описание заключается либо в одинарные ('описание'), либо в двойные ("описание") кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать описание для фильтра трафика IPv6.

Форма set данной команды используется для создания и изменения описания.

Форма delete данной команды используется для удаления описания.

Форма show данной команды используется для отображения настройки описания.

filter-ipv6 <имя> rule <номер_правила>#

Определение правила указанного фильтра трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила>
delete filter-ipv6 <имя> rule <номер_правила>
show filter-ipv6 <имя> rule <номер_правила>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
filter-ipv6 имя {
   rule номер_правила {
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Множественный узел. Численный идентификатор правила. Номера правил определяют порядок, в котором они применяются. Каждое правило должно иметь уникальный номер. Значение должно находиться в диапазоне от 1 до 9999. В том случае если необходимо определить несколько правил, следует создать соответствующее количество узлов конфигурации rule.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет определить правило определённого фильтра трафика IPv6. Определённый фильтр трафика может включать в себя до 9999 настраиваемых правил. Правила в фильтре трафика в порядке следования их номеров, от наименьшего к наибольшему. Напрямую изменить номер правила нельзя, так как он является идентификатором узла конфигурации; однако, можно изменять номера правил при помощи команды rename. Для того чтобы не прибегать к изменению номеров правил, хорошей практикой является указание номеров с шагом 10. Это позволяет оставить пространство, куда можно будет впоследствии добавить новые правила.

Следует отметить, что при создании правила соответствия без уточняющих параметров, весь трафик IPv6 будет попадать под его действие.

Форма set данной команды используется для создания или изменения правила определённого фильтра трафика.

Форма delete данной команды используется для удаления правила из фильтра трафика.

Форма show данной команды используется для отображения настройки правила фильтра трафика.

filter-ipv6 <имя> rule <номер_правила> 32bits#

Сопоставление 32-битных слов внутри пакета.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> 32bits
delete filter-ipv6 <имя> rule <номер_правила> 32bits
show filter-ipv6 <имя> rule <номер_правила> 32bits
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
filter-ipv6 имя {
   rule номер_правила {
      32bits {
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать сопоставление 32-битных слов внутри пакета.

Форма set данной команды используется для создания сопоставления.

Форма delete данной команды используется для удаления сопоставления.

Форма show данной команды используется для отображения настройки сопоставления.

filter-ipv6 <имя> rule <номер_правила> 32bits invert#

Инверсия сопоставления 32-битных слов внутри пакета.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> 32bits invert
delete filter-ipv6 <имя> rule <номер_правила> 32bits invert
show filter-ipv6 <имя> rule <номер_правила> 32bits
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      32bits { 
        invert
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

invert

При указании данного параметра будет осуществляться инверсия сопоставления 32-битных слов внутри пакета.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать инверсию сопоставления 32-битных слов внутри пакета.

Форма set данной команды используется для создания инверсии сопоставления.

Форма delete данной команды используется для удаления инверсии сопоставления.

Форма show данной команды используется для отображения настройки инверсии сопоставления.

filter-ipv6 <имя> rule <номер_правила> 32bits match <параметр_сопоставления> location <адрес>#

Задание адреса и преобразования значения сопоставления 32-битных слов внутри пакета.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> 32bits match <параметр_сопоставления> location <адрес>
delete filter-ipv6 <имя> rule <номер_правила> 32bits match <параметр_сопоставления> location <адрес>
show filter-ipv6 <имя> rule <номер_правила> 32bits match <параметр_сопоставления> location
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
filter-ipv6 имя {
   rule номер_правила { 
     32bits { 
        match параметр_сопоставления {  
          location адрес 
        } 
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

параметр_сопоставления

Параметр сопоставления. Значение должно находиться в диапазоне от 0 до 4294967295.

адрес

Адрес и преобразования значения. Поддерживаются следующие значения:

Значение Описание
<0-4294967295> Десятичный адрес значения
<0x00000000-0xFFFFFFFF> Шестнадцатеричный адрес значения
x & y Маска y (битовое "и") значения x
x << y Сдвиг значения x влево на y
x >> y Сдвиг значения x вправо на y
x @ y Использование значения по смещению y относительно адреса x
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет задать адрес и преобразование значения сопоставления 32-битных слов внутри пакета.

Форма set данной команды используется для задания адреса.

Форма delete данной команды используется для удаления адреса.

Форма show данной команды используется для отображения настройки адреса.

filter-ipv6 <имя> rule <номер_правила> 32bits match <параметр_сопоставления> value <значение>#

Задание значения для сопоставления 32-битных слов внутри пакета.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> 32bits match <параметр_сопоставления> value <значение>
delete filter-ipv6 <имя> rule <номер_правила> 32bits match <параметр_сопоставления> values
how filter-ipv6 <имя> rule <номер_правила> 32bits match <параметр_сопоставления> value
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
filter-ipv6 имя {
   rule номер_правила {
      32bits {
         match параметр_сопоставления {
            value значение
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

параметр_сопоставления

Параметр сопоставления. Значение должно находиться в диапазоне от 0 до 4294967295.

значение

Значение для сопоставления. Поддерживаются следующие значения:

Значение Описание
<0-4294967295> Десятичное значение
<0x00000000-0xFFFFFFFF> Шестнадцатеричное значение
<x-y> Диапазон значений
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет задать значения для сопоставления 32-битных слов внутри пакета.

Форма set данной команды используется для задания значения.

Форма delete данной команды используется для удаления значения.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> description <описание>#

Указание краткого описания для правила фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> description <описание>
delete filter-ipv6 <имя> rule <номер_правила> description
show filter-ipv6 <имя> rule <номер_правила> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter-ipv6 имя {
   rule номер_правила {
      description описание
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

описание

Краткое описание правила. Если текст описания правила не содержит пробелов, то описание не требует использования дополнительных символов, иначе описание заключается либо в одинарные ('описание'), либо в двойные ("описание") кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать краткое описание для правила фильтрации трафика определённого фильтра.

Форма set данной команды используется для создания описания.

Форма delete данной команды используется для удаления описания.

Форма show данной команды используется для отображения настройки описания.

filter-ipv6 <имя> rule <номер_правила> destination address <адрес>#

Указание адреса получателя для проверки соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила>destination address <адрес>
delete filter-ipv6 <имя> rule <номер_правила>destination address <адрес>
show filter-ipv6 <имя> rule <номер_правила>destination address
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      destination {
         address адрес 
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

адрес

Адрес получателя, используемый для проверки соответствия. Поддерживаемые значения приведены в таблице ниже:

Значение Описание
<h:h:h:h:h:h:h:h> Адрес IPv6
<h:h:h:h:h:h:h:h/x> Подсеть IPv6 (значение ::/0 соответствует любой сети)
<h:h:h:h:h:h:h:h>-<h:h:h:h:h:h:h:h> Диапазон IPv6-адресов
!<h:h:h:h:h:h:h:h> Соответствие будет установлено для всех IPv6-адресов, кроме указанного
!<h:h:h:h:h:h:h:h/x> Соответствие будет установлено для всех IPv6-адресов, кроме указанной подсети
!<h:h:h:h:h:h:h:h>-<h:h:h:h:h:h:h:h> Соответствие будет установлено для всех IPv6-адресов, кроме адресов, входящих в указанный диапазон
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать адрес получателя в правиле фильтрации трафика IPv6.

В том случае если явно указаны адрес и номер порта, для пакета устанавливается соответствие критериям правила в том и только том случае, если совпадает как адрес, так и номер порта.

Форма set данной команды позволяет указать или изменить адрес получателя.

Форма delete данной команды позволяет удалить настройку адреса получателя.

Форма show данной команды позволяет отобразить настройку адреса получателя.

filter-ipv6 <имя> rule <номер_правила> destination address-type <тип>#

Указание типа адреса получателя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> destination address-type <тип>
delete filter-ipv6 <имя> rule <номер_правила> destination address-type <тип>
show filter-ipv6 <имя> rule <номер_правила> destination address-type
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      destination {
         address-type тип
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип

Тип адреса получателя (назначения). Данное правило будет применено к пакетам, тип адреса получателя (назначения) которых соответствует указанному. Допустимые значения приведены в таблице ниже:

Значение Описание
unspec Неопределённый адрес (::)
unicast Однонаправленный адрес
local Локальный адрес
multicast Мультивещательный адрес
anycast Близковещательный адрес (anycast)
unreachable Недостижимый адрес
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать тип адреса получателя в правиле фильтрации трафика IPv6.

Форма set данной команды используется для создания настройки типа адреса назначения для правила фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> destination country <код_страны>#

Указание двухзначного кода страны получателя в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> destination country <код_страны>
delete filter-ipv6 <имя> rule <номер_правила> destination country <код_страны>
show filter-ipv6 <имя> rule <номер_правила> destination country
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      destination {
         country код_страны
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

код_страны

Двузначный код страны получателя.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для указания двухзначного кода страны получателя в правиле фильтрации трафика IPv6. В одном правиле фильтрации может быть задано не более 15 стран.

Примечание

Необходимо иметь в виду, что данные о принадлежности IP диапазона к определенному региону берутся из общедоступных источников и могут не обладать 100% точностью. Для дополнения/исключения диапазонов рекомендуется использовать группы IP адресов (groups address-group) в правилах фильтрации.

Форма set данной команды используется для указания двухзначного кода страны получателя в правиле фильтрации трафика.

Форма delete данной команды используется для удаления настройки двухзначного кода страны получателя в правиле фильтрации трафика.

Форма show данной команды используется для просмотра настройки двухзначного кода страны получателя в правиле фильтрации трафика.

filter-ipv6 <имя> rule <номер_правила> destination port <порт>#

Указание номера сетевого порта получателя для проверки соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> destination port <порт>
delete filter-ipv6 <имя> rule <номер_правила> destination port <порт>
show filter-ipv6 <имя> rule <номер_правила> destination port
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      destination {
         port порт 
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

порт

Порт получателя для проверки соответствия. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя порта (любое из файла /etc/services)
<0-65535> Номер порта
<start>-<end> Диапазон портов

Возможно также задание списка через запятую, например: "22,telnet,http,123,1001-1005".

Возможно также задание инвертированного списка с помощью "!", например: "!22,telnet,http,123,1001-1005".

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать номера сетевого порта получателя в правиле фильтрации трафика IPv6. Может быть указан только для протоколов TCP, UDP, SCTP и DCCP.

Предварительно должен быть определен протокол при помощи команды filter-ipv6 <имя> rule <номер_правила> protocol <протокол>.

В том случае если явно указаны адрес и номер порта, для пакета устанавливается соответствие критериям правила в том и только том случае, если совпадает как адрес, так и номер порта.

Форма set данной команды позволяет указать или изменить номер сетевого порта получателя.

Форма delete данной команды позволяет удалить настройку номера сетевого порта получателя.

Форма show данной команды позволяет отобразить настройку номера сетевого порта получателя.

filter-ipv6 <имя> rule <номер_правила> disable#

Отключение указанного правила фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> disable
delete filter-ipv6 <имя> rule <номер_правила> disable
show filter-ipv6 <имя> rule <номер_правила>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter-ipv6 имя {
   rule номер_правила {
      disable
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

disable

При указании данного параметра будет отключено указанное правило фильтрации трафика.

Значение по умолчанию#

Правило включено (используется).

Указания по использованию#

Данная команда позволяет отключить правило фильтрации трафика IPv6. Это может быть полезно при проверке того, как фильтр трафика функционирует без указанного правила. При этом не нужно удалять и заново создавать данное правило.

Форма set данной команды используется для отключения правила фильтрации трафика.

Форма delete данной команды используется для включения правила фильтрации трафика.

Форма show данной команды используется для отображения настройки правила фильтрации трафика.

filter-ipv6 <имя> rule <номер_правила> dscp <значение>#

Установка соответствия на основе поля DSCP.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> dscp <значение>
delete filter-ipv6 <имя> rule <номер_правила> dscp <значение>
show filter-ipv6 <имя> rule <номер_правила> dscp
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter-ipv6 имя {
   rule номер_правила {
      dscp значение
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Значение поля DSCP, на основе которого устанавливается соответствие. Допустимые значения приведены в таблице ниже:

Значение Описание
<x> Численное значение DSCP (где x - десятичное значение в диапазоне от 0 до 63)
<x> Численное значение DSCP (где x - шестнадцатеричное значения в диапазоне от 0 до 3F в формате 0xYZ, например, 0x2E или 0x2e)
default Значение DSCP по умолчанию, соответствующее стандартной пересылке (шестнадцатеричное значение - 0x0, двоичное значение - 000000)
EF Значение Express Forwarding, соответствующее экстренной пересылке
AFxy Значение Assured Forwarding, соответствующее гарантированной пересылке (x находится в диапазоне от 1 до 4, y - от 1 до 3)
CSx Значение Class Selector поддерживает обратную совместимость с полем приоритета IP (x находится в диапазоне от 1 до 7)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать проверку соответствия на основе поля DSCP.

Форма set данной команды позволяет указать проверку соответствия на основе поля DSCP.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> ecn ip ect <значение>#

Установка соответствия на основе флага ECT в заголовке IP.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> ecn ip ect <значение>
delete filter-ipv6 <имя> rule <номер_правила> ecn ip ect <значение>
show filter-ipv6 <имя> rule <номер_правила> ecn ip ect
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
filter-ipv6 имя {
   rule номер_правила {
      ecn {
         ip {
            ect значение
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Значение флага ECT в заголовке IP, на основе которого устанавливается соответствие. Допустимые значения приведены в таблице ниже:

Значение Описание
<x> Значение флага ECN (где x - целое в диапазоне от 0 до 3)
!<x> Все значения флага ECN, кроме указанного (где x - целое в диапазоне от 0 до 3)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать проверку соответствия на основе значения флага ECT в заголовке IP.

Форма set данной команды позволяет указать проверку соответствия на основе значения флага ECT в заголовке IP.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> ecn tcp cwr <значение>#

Установка соответствия на основе флага CWR в заголовке TCP.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> ecn tcp cwr <значение>
delete filter-ipv6 <имя> rule <номер_правила> ecn tcp cwr <значение>
show filter-ipv6 <имя> rule <номер_правила> ecn tcp cwr
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
filter-ipv6 имя {
   rule номер_правила {
      ecn {
         tcp {
            cwr значение
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Значение флага CWR в заголовке TCP, на основе которого устанавливается соответствие. Допустимые значения: 0, 1.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать проверку соответствия на основе значения флага CWR в заголовке TCP. Предварительно должен быть определен протокол TCP для правила фильтрации при помощи команды filter <имя> rule <номер_правила> protocol tcp.

Форма set данной команды позволяет указать проверку соответствия на основе значения флага CWR в заголовке TCP.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> ecn tcp ece <значение>#

Установка соответствия на основе флага ECE в заголовке TCP.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> ecn tcp ece <значение>
delete filter-ipv6 <имя> rule <номер_правила> ecn tcp ece <значение>
show filter-ipv6 <имя> rule <номер_правила> ecn tcp ece
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
filter-ipv6 имя {
   rule номер_правила {
      ecn {
         tcp {
            ece значение
         }
      } 
  }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Значение флага ECE в заголовке TCP, на основе которого устанавливается соответствие. Допустимые значения: 0, 1.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать проверку соответствия на основе значения флага ECE в заголовке TCP. Предварительно должен быть определен протокол TCP для правила фильтрации при помощи команды filter <имя> rule <номер_правила> protocol tcp.

Форма set данной команды позволяет указать проверку соответствия на основе значения флага ECE в заголовке TCP.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> exclude#

Исключение правила из фильтра.

Синтаксис#
1
2
3
set filter-ipv6 <имя>rule <номер_правила> exclude
delete filter-ipv6 <имя>rule <номер_правила> exclude
show filter-ipv6 <имя>rule <номер_правила>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter-ipv6 имя {
   rule номер_правила {
      exclude
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет исключать пакеты, удовлетворяющие критериям правила.

Форма set данной команды позволяет указать правило, которое необходимо исключить из набора правил фильтра.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

Примечание

При применении исключения правила трафик, удовлетворяющий критериям такого правила, будет считаться не соответствующим заданному фильтру. Проверка соответствия дальнейшим правилам этого фильтра проводиться не будет.

Примечание

Следует учитывать, что правило исключения не отменяет соответствие трафика предыдущим правилам фильтра. То есть если трафик удовлетворяет критериям хотя бы одного предыдущего правила, то он считается соответствующим заданному фильтру несмотря на соответствие критериям правила исключения.

filter-ipv6 <имя> rule <номер_правила> hop-limit <значение>#

Применение правил фильтрации трафика с учетом ограничения транзитных узлов.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> hop-limit <значение>
delete filter-ipv6 <имя> rule <номер_правила> hop-limit
show filter-ipv6 <имя> rule <номер_правила> hop-limit
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      hop-limit {
         значение 
      } 
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Значение знака сравнения и количество транзитных узлов. Допустимые значения приведены в таблице ниже:

Значение Описание
equals <x> Применение правила к пакетам, количество транзитных узлов которых равно указанному (где x - целое в диапазоне от 0 до 255)
greater-than <x> Применение правила к пакетам, количество транзитных узлов которых больше указанного (где x - целое в диапазоне от 0 до 254)
less-than <x> Применение правила к пакетам, количество транзитных узлов которых меньше указанного (где x - целое в диапазоне от 1 до 255)
not-equals <x> Применение правила к пакетам, количество транзитных узлов которых не равно указанному (где x - целое в диапазоне от 0 до 255)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет проверять соответствие сетевых пакетов критериям правила на основе количества транзитных узлов.

Форма set данной команды используется для создания правила фильтрации, основанного на количестве транзитных узлов.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

Примечание

Межсетевой экран уменьшает значение hop-limit для транзитного трафика (in/out) перед фильтрацией. Для трафика, предназначенного самому устройству (направление local) значение hop-limit не уменьшается.

filter-ipv6 <имя> rule <номер_правила> icmpv6 type <тип>#

Указание кода и типа ICMPv6 для правила фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> icmpv6 type <тип>
delete filter-ipv6 <имя> rule <номер_правила> icmpv6 type
show filter-ipv6 <имя> <номер_правила> icmpv6 type
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      icmpv6 {
         type тип
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип

Корректный тип ICMPv6. Допустимые значения проверки соответствия типов icmp приведены в таблице ниже:

Значение Описание
<0-255> Проверка соответствия по номеру типа сообщения
<0-255>/<0-255> Проверка соответствия по номеру типа сообщения и код сообщения
<текст> Проверка соответствия по типу сообщения в текстовом формате (например: network-unreachable)
!<0-255> Соответствие будет установлено для всех типов сообщений, кроме указанного номера типа сообщения
!<0-255>/<0-255> Соответствие будет установлено для всех типов сообщений, кроме указанного номера типа и кода сообщения
!<текст> Соответствие будет установлено для всех типов сообщений, кроме указанного
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет определить типы ICMPv6 сообщений, к которым применяется данное правило, например, эхо-запрос или эхо-ответ. Для пакетов ICMPv6 указанного типа будет установлено соответствие данному правилу. Предварительно должен быть определен протокол ICMPv6 при помощи команды filter-ipv6 <имя> rule <номер_правила> protocol icmpv6.

Форма set данной команды используется для указания кода и типа ICMPv6 для указанного правила

Форма delete данной команды используется для удаления кода или типа ICMPv6 для указанного правила.

Форма show данной команды используется для отображения кода или типа ICMPv6 для указанного правила.

filter-ipv6 <имя> rule <номер_правила> ipsec <тип>#

Установка соответствия для пакетов IPSec.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> ipsec <тип>
delete filter-ipv6 <имя> rule <номер_правила> ipsec <тип>
show filter-ipv6 <имя> rule <номер_правила> ipsec
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя { 
  rule номер_правила {
      ipsec {
         тип
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип

Тип проверки соответствия для входящих пакетов IPSec. Допустимые значения:

  • match-ipsec: установка соответствия для пакетов, попадающих под политику IPSec;
  • match-none: установка соответствия для пакетов, не попадающих под политику IPSec.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для установки соответствия входящим пакетам IPSec или, напротив, соответствия для всех пакетов за исключением пакетов IPSec.

Форма set данной команды используется для указания типа пакетов, для которых будет установлено соответствие для указанного правила.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> l7protocol <протокол>#

Указание протокола для фильтрации пакетов на прикладном уровне.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> l7protocol <протокол>
delete filter-ipv6 <имя> rule <номер_правила> l7protocol <протокол>
show filter-ipv6 <имя> rule <номер_правила>  l7protocol
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter-ipv6 имя {
   rule номер_правила {
      l7protocol протокол
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

протокол

Имя протокола прикладного уровня, используемого для фильтрации пакетов.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для включения фильтрации сетевых пакетов на прикладном уровне. Для фильтрации на прикладном уровне используется механизм регулярных выражений, который позволяет определить тип используемого протокола.

При использовании фильтрации на прикладном уровне необходимо учитывать, что для корректной работы механизма классификатор трафика должен видеть весь имеющий значение для классификации трафик. Для этого под правило фильтрации трафика, в котором применяется фильтрация на прикладном уровне, должны подпадать все разновидности трафика, генерируемые классифицируемым протоколом. Так, например, если в таком правиле будет учитываться только трафик, идущий в одном направлении, но не будет учитываться трафик, идущий в рамках тех же соединений в обратную сторону, фильтрация в ряде случаев может выполняться некорректно.

Так как механизм фильтрации на прикладном уровне требует больших системных ресурсов по сравнению с фильтрацией на основе параметров источника и отправителя, рекомендуется в тех случаях, когда это возможно использовать механизм фильтрации на основе таких параметров получателя и отправителя, как номер используемого сетевого порта или IP-адрес.

Фильтрация на прикладном уровне может быть использована в тех случаях, когда:

  • требуется установить соответствие для пакетов протоколов, использующих номера портов, которые не могут быть заранее предсказаны;
  • требуется установить соответствие для пакетов протоколов при использовании нестандартных номеров портов (например, HTTP на порту 1111);
  • требуется распознать протоколы, использующие одинаковые номера портов (например, обмен файлами P2P, использующий порт 80).

Фильтрация на прикладном уровне может быть использована для контроля полосы пропускания для указанных протоколов, для учета пакетов указанных протоколов или для блокировки пакетов. При использовании фильтрации на прикладном уровне для блокировки пакетов указанных протоколов без дополнительных мер следует помнить, что могут возникать как ошибочные срабатывания (один протокол похож на другой), так и ошибочные несрабатывания фильтров (приложения могут маскировать свой протокол обмена способами, не учитываемыми в фильтре).

Форма set данной команды позволяет указать протокол для фильтрации на прикладном уровне.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> length#

Указание параметров, ограничивающих длину пакетов для правила фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> length [layer <уровень> | value <длина>]
delete filter-ipv6 <имя> rule <номер_правила> length [layer | value]
show filter-ipv6 <имя> rule <номер_правила> length [layer | value]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
filter-ipv6 имя {
   rule номер_правила {
      length {
         layer уровень
         value длина
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

уровень

Уровень сетевой модели TCP/IP. Указать уровень согласно сетевой модели TCP/IP, на котором будет производиться проверка длины пакета. Допустимые значения приведены в таблице ниже:

Значение Описание
layer3 Сетевой уровень
layer4 Транспортный уровень
layer5 Прикладной уровень

длина

Длина пакета. Допустимые значения приведены в таблице ниже:

Значение Описание
<0-4294967295> Соответствие для пакетов указанной длины
!<0-4294967295> Соответствие для всех пакетов, за исключением имеющих указанную длину
<x-y> Соответствие для пакетов указанного диапазона длин
!<x-y> Соответствие для всех пакетов, кроме имеющих указанный диапазон длин
Значение по умолчанию#

Ограничения не установлены.

Указания по использованию#

Данная команда позволяет указать параметры, ограничивающие длину пакетов в правиле фильтрации трафика IPv6.

Форма set данной команды используется для указания параметров, ограничивающих длину пакетов в правиле фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> limit connection-rate#

Указание параметров, ограничивающих частоту прохождения пакетов для соединения в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила>limit connection-rate [above <макс_частота> | burst <размер> | destination-mask <маска_получателя> | group-by <режим> | source-mask <маска_источника> | upto <мин_частота>]
delete filter-ipv6 <имя> rule <номер_правила>limit connection-rate [above | burst | destination-mask | group-by | source-mask | upto]
show filter-ipv6 <имя> rule <номер_правила>limit connection-rate [above | burst | destination-mask | group-by | source-mask | upto]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter-ipv6 имя {
   rule номер_правила {
      limit {
         connection-rate {
            above макс_частота
            burst размер
            destination-mask маска_получателя
            group-by режим
            source-mask маска_источника
            upto мин_частота
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

макс_частота

Максимальная частота прохождения сетевых пакетов, для которых было установлено соответствие критериям правила. Время может быть указано в следующих единицах: second (секунды), minute (минуты), hour (часы), а также day (дни). Допустимые значения для частоты прохождения сетевых пакетов приведены в таблице ниже:

Значение Описание
<1-10000> Число пакетов в секунду
<1-10000>/second Число пакетов в секунду
<1-600000>/minute Число пакетов в минуту
<1-36000000>/hour Число пакетов в час
<1-864000000>/day Число пакетов за день

размер

Размер буфера групп пакетов. Задает число пакетов, которые могут быть переданы со скоростью, превышающей указанную. По умолчанию установлено значение равное 1, которое не допускает передачи групп пакетов со скоростью превышающей установленную. Значение должно находиться в диапазоне от 1 до 10000.

маска_получателя

Маска для группировки соединений по IP-адресу получателя. Значение должно находиться в диапазоне от 0 до 128.

режим

Режим группировки соединений. Допустимые значения для режима группировки соединений приведены в таблице ниже:

Значение Описание
destination-address Группировка по IPv6-адресу получателя
destination-port Группировка по порту получателя
source-address Группировка по IPv6-адресу отправителя
source-port Группировка по порту отправителя

маска_источника

Маска для группировки соединений по IP-адресу отправителя. Значение должно находиться в диапазоне от 0 до 128.

мин_частота

Минимальная частота прохождения сетевых пакетов, для которых было установлено соответствие критериям правила. Ограничения на значения аналогичны значениям максимальной частоты.

Значение по умолчанию#

Ограничение не установлено.

Указания по использованию#

Данная команда позволяет указать параметры, ограничивающие частоту прохождения сетевых пакетов для соединения в правиле фильтрации трафика IPv6. При создании правила фильтрации, ограничивающего частоту прохождения сетевых пакетов для соединения, указание режима группировки соединений, а также максимальной или минимальной частоты является обязательным. Может быть указано либо максимальная, либо минимальная частота.

Форма set данной команды используется для указания параметров, ограничивающих частоту прохождения пакетов для соединения.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> limit connections#

Указание параметров, ограничивающих количество соединений в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила>limit connections [above <мин_кол-во> | group-by <режим> | mask <маска> | upto <макс_кол-во>]
delete filter-ipv6 <имя> rule <номер_правила>limit connections [above | mask]
show filter-ipv6 <имя> rule <номер_правила>limit connections [above | mask]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter-ipv6 имя {
   rule номер_правила {
      limit {
         connections {
           above мин_кол-во 
           group-by режим 
           mask маска 
           upto макс_кол-во 
         } 
      } 
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

мин_кол-во

Минимальное количество соединений. Значение должно находиться в диапазоне от 0 до 4294967295.

режим

Режим группировки соединений. Допустимые значения:

  • destination: группировка по IPv6-адресу получателя;
  • source: группировка по IPv6-адресу отправителя.

маска

Маска для группировки соединений по IP-адресу. Значение должно находиться в диапазоне от 0 до 128.

макс_кол-во

Максимальное количество соединений. Значение должно находиться в диапазоне от 0 до 4294967295.

Значение по умолчанию#

Ограничение не установлено.

Указания по использованию#

Данная команда позволяет указать параметры, ограничивающие количество соединений в правиле фильтрации трафика IPv6. При создании правила фильтрации, ограничивающего количество соединений, указание минимального или максимального числа соединений является обязательным. Может быть указано либо максимальное, либо минимальное количество соединений.

Форма set данной команды используется для указания параметров, ограничивающих количество соединений в правиле фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> limit packet-rate#

Указание параметров, ограничивающих частоту прохождения пакетов в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> limit packet-rate [burst <размер> | rate <частота>]
delete filter-ipv6 <имя> rule <номер_правила> limit packet-rate [burst | rate]
show filter-ipv6 <имя> rule <номер_правила> limit packet-rate [burst | rate]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter-ipv6 имя {
   rule номер_правила {
      limit {
         packet-rate {
            burst размер
            rate частота
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

размер

Размер буфера групп пакетов. Максимальное число пакетов, которые могут быть переданы со скоростью, превышающей указанную. По умолчанию установлено значение равное 1, которое не допускает передачи групп пакетов со скоростью превышающей установленную. Значение должно находиться в диапазоне от 1 до 10000.

частота

Частота прохождения сетевых пакетов, для которых было установлено соответствие критериям правила. Время может быть указано в следующих единицах: second (секунды), minute (минуты), hour (часы), а также day (дни). Допустимые значения для частоты прохождения сетевых пакетов приведены в таблице ниже:

Значение Описание
<1-10000> Число пакетов в секунду
<1-10000>/second Число пакетов в секунду
<1-600000>/minute Число пакетов в минуту
<1-36000000>/hour Число пакетов в час
<1-864000000>/day Число пакетов за день
Значение по умолчанию#

Ограничение не установлено.

Указания по использованию#

Данная команда используется для ограничения частоты прохождения сетевых пакетов, для которых установлено соответствие данному правилу. Для ограничения частоты прохождения входящих сетевых пакетов используется фильтр TBF (Token Bucket Filter), который позволяет административно задать требуемую пропускную способность, а также возможность ее превышения для коротких групп пакетов.

Для реализации TBF используется буфер (bucket), который постоянно заполняется маркерами (token) с установленной скоростью (token rate). Наиболее важным параметром буфера является его размер, то есть число маркеров, которое в нем может содержаться. Каждый прибывающий маркер сопоставляется с одним пакетом данных из очереди данных, после чего удаляется из буфера. При работе данного алгоритма возможны три различных варианта:

  • Данные прибывают со скоростью равной скорости входящих маркеров. В этом случае каждый пакет имеет соответствующий маркер и проходит очередь без задержки.
  • Данные прибывают со скоростью меньшей скорости поступления маркеров. В этом случае лишь часть существующих маркеров будет уничтожаться, таким образом, они станут накапливаться до размера буфера. Накопленные маркеры могут использоваться для передачи групп пакетов со скоростью, превышающей установленную скорость прибывающих маркеров. Данные прибывают быстрее, чем маркеры. Это означает, что в определенный момент в буфере не останется маркеров, что заставит алгоритм приостановить передачу данных. Эта ситуация называется "превышением". Если пакеты продолжают поступать, они начинают уничтожаться.

Форма set данной команды используется для указания параметров, ограничивающих частоту прохождения пакетов.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> log <состояние>#

Включение или отключение регистрации для действий правила фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> log <состояние>
delete filter-ipv6 <имя> rule <номер_правила> log <состояние>
show filter-ipv6 <имя> rule <номер_правила> log
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter-ipv6 имя {
   rule номер_правила {
      log состояние
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

состояние

Включение или отключение регистрации действий фильтра трафика. Допустимые значения:

  • enable: включить регистрацию действий;
  • disable: отключить регистрацию действий.
Значение по умолчанию#

Регистрация действий отключена.

Указания по использованию#

Данная команда используется для включения или отключения регистрации действия для указанного правила.

Примечание

Регистрация действия происходит только используемого фильтра, т.е такого фильтра, который применен к какой-либо политике. Эта политика, в свою очередь, должна быть применена к какому-либо направлению трафика. В противном случае фильтр считается настроенным, но не активным.

Сообщения регистрации для правил фильтрации трафика записываются в журнал регистрации от имени программы kernel с уровнем серьезности warning. При регистрации пакета в журнале регистрации указывается имя фильтра и его номер.

Например, для сетевого пакета который попадает под правило 10 фильтра трафика с именем test, в журнал регистрации будет помещена запись [test-10]. Если правило фильтра трафика было правилом исключения (атрибут exclude), то в журнал регистрации будет помещена запись [test-10-E].

Форма set данной команды позволяет включить регистрацию указанного правила.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> p2p <имя_приложения>#

Указание однорангового приложения для фильтрации его IPv6-пакетов на прикладном уровне.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> p2p <имя_приложения>
delete filter-ipv6 <имя> rule <номер_правила> p2p <имя_приложения>
show filter-ipv6 <имя> rule <номер_правила> p2p
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      p2p {
         имя_приложения 
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_приложения

Обязательный. Соответствие устанавливается для пакетов однорангового приложения. Допустимые значения приведены в таблице ниже:

Значение Описание
all Соответствие устанавливается для пакетов любого из приложений, перечисленных в данной таблице
applejuice Соответствие устанавливается для пакетов приложения AppleJuice
bittorrent Соответствие устанавливается для пакетов приложения BitTorrent
directconnect Соответствие устанавливается для пакетов приложения Direct Connect
edonkey Соответствие устанавливается для пакетов приложения eDonkey/eMule
gnutella Соответствие устанавливается для пакетов приложения Gnutella
kazaa Соответствие устанавливается для пакетов приложения KaZaA
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания однорангового приложения, пакеты которого будут фильтроваться. Фильтрация происходит на прикладном уровне. Для пакетов, отправленных указанным приложением или предназначенных для него, будет установлено соответствие критериям данного правила. В правиле может быть указано несколько одноранговых приложений.

Форма set данной команды используется для указания однорангового приложения, к пакетам которого будет применяться правило.

Форма delete данной команды используется для удаления настройки однорангового приложения для указанного правила.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> probability <вероятность>#

Указание вероятности срабатывания правила в процентах.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> probability <вероятность>
delete filter-ipv6 <имя> rule <номер_правила> probability
show filter-ipv6 <имя> rule <номер_правила> probability
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter-ipv6 имя {
   rule номер_правила {
       probability вероятность
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

вероятность

Вероятность срабатывания правила в процентах. Обязательный параметр. Значение должно находиться в диапазоне от 1 до 99.

Значение по умолчанию#

Не установлено.

Указания по использованию#

Данная команда используется для указания вероятности срабатывания правила в процентах от 1 до 99.

Форма set данной команды используется для указания вероятности срабатывания правила.

Форма delete данной команды используется для удаления установленного значения.

Форма show данной команды используется для отображения установленного значения для вероятности срабатывания правила.

filter-ipv6 <имя> rule <номер_правила> protocol <протокол>#

Указание протокола для фильтрации пакетов.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> protocol <протокол>
delete filter-ipv6 <имя> rule <номер_правила> protocol <протокол>
show filter-ipv6 <имя> rule <номер_правила> protocol
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
filter-ipv6 имя {
   rule номер_правила {
      protocol протокол
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

протокол

Обязательный. Могут быть использованы любые наименования протоколов или их номера, определенные в файле /etc/protocols. Допустимые значения приведены в таблице ниже:

Значение Описание
all Соответствие устанавливается для всех протоколов IPv6
tcp_udp Соответствие устанавливается для протоколов TCP и UDP
<0-255> Соответствие устанавливается для указанного номера протокола IPv6
<text> Соответствие устанавливается для указанного имени протокола IPv6
!<0-255> Соответствие устанавливается для всех протоколов IPv6, кроме указанного
!<text> Соответствие устанавливается для всех протоколов IPv6, кроме указанного
Значение по умолчанию#

По умолчанию определены все протоколы.

Указания по использованию#

Данная команда используется для определения критерия соответствия на основе указанного протокола. Для пакетов указанного протокола будет установлено соответствие данному правилу.

Следует с осторожностью включать в набор правил более одного правила, определяющего исключения (правило, в котором указывается восклицательный знак "!"). Правила фильтра трафика выполняются по порядку, при этом последовательность правил, определяющих исключения, может привести к непредсказуемым результатам.

Форма set данной команды используется для указания протокола, к пакетам которого будет применяться указанное правило.

Форма delete данной команды используется для удаления установленного значения.

Форма show данной команды используется для отображения установленного значения.

filter-ipv6 <имя> rule <номер_правила> quota overall#

Настройка квотирования фильтрации пакетов по всему объёму данных или числу пакетов.

Синтаксис#
1
2
3
set filter-ipv6 <имя>  rule <номер_правила> quota overall [invert | mode <режим_квотирования> | upto <макс_число>]
delete filter-ipv6 <имя>  rule <номер_правила> quota overall [invert | mode | upto]
show filter-ipv6 <имя>  rule <номер_правила> quota overall [invert | mode | upto]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter-ipv6 имя {
   rule номер_правила {
      quota {
         overall {
            invert
            mode режим_квотирования
            upto макс_число
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

invert

Необязательное ключевое слово. Если оно не указано, то правило будет срабатывать до тех пор, пока заданное значение счётчика не будет превышено. Если ключевое слово invert указано, то поведение будет обратным: правило не будет срабатывать, пока заданное значение не будет превышено.

режим_квотирования

Определяет один из двух режимов квотирования:

  • bytes: квотирование по объёму данных;
  • packets: квотирование по числу пакетов.

макс_число

Определяет максимальный объём данных или число пакетов. Объём данных может быть указан в следующих единицах: kb (килобайты), mb (мегабайты), gb (гигабайты). Допустимые значения приведены в таблице ниже:

Значение Описание
<1-18446744073709551615> Максимальное количество пакетов, если указан режим packets (2^64 -1)
<1-18446744073709551615> Максимальный объём данных (в байтах), если указан режим bytes (2^64 -1)
<1-18014398509481983>kb Максимальный объём данных (в килобайтах), только для режима bytes (2^54 -1)
<1-17592186044415>mb Максимальный объём данных (в мегабайтах), только для режима bytes (2^44 -1)
<1-17179869183>gb Максимальный объём данных (в гигабайтах), только для режима bytes (2^34 -1)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать режим квотирования и объём квоты пакетов для правила фильтрации трафика IPv6 без учёта направления движения пакетов.

Форма set данной команды используется для указания режима квотирования и объёма квоты пакетов для правила фильтрации трафика.

Форма delete данной команды используется для удаления установленного значения.

Форма show данной команды используется для отображения установленного значения.

filter-ipv6 <имя> rule <номер_правила> quota per-connection#

Настройка квотирования фильтрации пакетов по объёму данных или числу пакетов на соединение.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> quota per-connection [count-direction <направление_движения> | mode <режим_квотирования >| upto <макс_число>]
delete filter-ipv6 <имя> rule <номер_правила> quota per-connection [count-direction | mode | upto]
show filter-ipv6 <имя> rule <номер_правила> quota per-connection [count-direction | mode | upto]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter имя {
   rule номер_правила {
      quota {
         per-connection {
            count-direction направление_движения
            mode режим_квотирования
            upto макс_число
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

направление_движения

Необязательный. Направление движения пакетов, которое стоит учитывать. Допустимые значения для направления движения пакетов приведены в таблице ниже:

Значение Описание
original Учитываются пакеты от инициатора соединения
reply Учитываются пакеты к инициатору соединения
both Учитываются пакеты для обоих направлений

По умолчанию учитываются пакеты для обоих направлений.

режим_квотирования

Определяет один из двух режимов квотирования:

  • bytes: квотирование по объёму данных;
  • packets: квотирование по числу пакетов.

макс_число

Определяет максимальный объём данных или число пакетов. Объём данных может быть указан в следующих единицах: kb (килобайты), mb (мегабайты), gb (гигабайты). Допустимые значения приведены в таблице ниже:

Значение Описание
<1-4294967295> Максимальное количество пакетов, если указан режим packets (2^32 -1)
<1-4294967295> Максимальный объём данных (в байтах), если указан режим bytes (2^32 -1)
<1-4194303>kb Максимальный объём данных (в килобайтах), только для режима bytes (2^22 -1)
<1-4095>mb Максимальный объём данных (в мегабайтах), только для режима bytes (2^12 -1)
<1-3>gb Максимальный объём данных (в гигабайтах), только для режима bytes (2^2 -1)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать режим квотирования и объём квоты пакетов для правила фильтрации трафика IPv6 с учётом направления движения пакетов.

Форма set данной команды используется для указания режима квотирования и объёма квоты пакетов для правила фильтрации трафика.

Форма delete данной команды используется для удаления установленного значения.

Форма show данной команды используется для отображения установленного значения.

filter-ipv6 <имя> rule <номер_правила> recent#

Установка соответствия для сетевых пакетов от недавно встречавшихся отправителей.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> recent [count <счетчик> | time <секунды>]
delete filter-ipv6 <имя> rule <номер_правила> recent [count | time]
show filter-ipv6 <имя> rule <номер_правила> recent [count | time]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
filter-ipv6 имя {
   rule номер_правила { 
     recent {
         count счетчик
         time секунды
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

счетчик

Обязательный. Количество пакетов с одинаковым IP-адресом отправителя, необходимое для срабатывания правила. Значение должно находиться в диапазоне от 1 до 20.

секунды

Обязательный. Количество времени, указываемое в секундах, в течение которого будет происходить подсчет пакетов от одного отправителя. Значение должно находиться в диапазоне от 1 до 4294967295.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет установить соответствие для сетевых пакетов, пришедших от недавно встречавшихся отправителей.

Форма set данной команды позволяет установить настройку для проверки соответствия на основе адресов недавно встречавшихся отправителей.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> sctp chunk-type#

Установка параметров протокола SCTP для проверки соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> sctp chunk-type [invert | logic <режим_сопоставления>| type <тип>]
delete filter-ipv6 <имя> rule <номер_правила> sctp chunk-type [invert | logic | type <тип>]
show filter-ipv6 <имя> rule <номер_правила> sctp chunk-type [logic | type]
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter-ipv6 имя {
   rule номер_правила {
      sctp {
         chunk-type {
            invert
            logic режим_сопоставления
            type {
               тип
            }
         }
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

invert

Необязательное ключевое слово. Если оно указано то производится инверсия сопоставления.

режим_сопоставления

Обязательный. Логика обработки пакетов с указанными типами блоков. Допустимые значения для режима сопоставления пакетов с указанными типами блоков приведены в таблице ниже:

Значение Описание
any Соответствие устанавливается при совпадении любого из указанных типов
All Соответствие устанавливается при совпадении всех указанных типов
only Соответствие устанавливается при совпадении всех указанных типов и отсутствию иных типов

тип

Обязательный. Тип блока для сопоставления. Допустимые значения типов блоков приведены в таблице ниже:

Значение Описание
abort Разрыв ассоциации (ABORT, код 6)
asconf Смена адресной настройки (ASCONF, код 193)
asconf-ack Подтверждение адресной конфигурации (ASCONF ACK, код 128)
cookie-ack Подтверждение маркера (COOKIE ACK, код 11)
cookie-echo Маркерное отражение (COOKIE ECHO, код 10)
data Данные (DATA, код 0)
ecn-cwr Окно перегрузки уменьшено (CWR, код 13)
ecn-ecne Отражение явного уведомления о перегруженности (ECN ECHO, код 12)
error Ошибка взаимодействия (ERROR, код 9)
forward-tsn Смещение накопленного порядкового номера передачи (FORWARD TSN, код 192)
heartbeat Запрос состояния соединения (HEARTBEAT, код 4)
heartbeat-ack Подтверждение запроса проверки состояния соединения (HEARTBEAT ACK, код 5)
init Инициализация (INIT, код 1)
init-ack Подтверждение инициализации (INIT ACK, код 2)
sack Частичное подтверждение (SACK, код 3)
shutdown Закрытие ассоциации (SHUTDOWN, код 7)
shutdown-ack Подтверждение закрытия ассоциации (SHUTDOWN ACK, код 8)
shutdown-complete Окончание закрытия ассоциации (SHUTDOWN COMPLETE, код 14)

Одновременно можно задать более одно типа блоков.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать параметры протокола SCTP для проверки соответствия правилу фильтрации.

Предварительно должен быть определен протокол SCTP при помощи команды filter-ipv6 <имя> rule <номер_правила> protocol sctp.

Форма set используется для включения фильтрации по протоколу SCTP и указания параметров.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> source address <адрес>#

Указание адреса отправителя для проверки соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> source address <адрес>
delete filter-ipv6 <имя> rule <номер_правила> source address <адрес>
show filter-ipv6 <имя> rule <номер_правила> source address
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      source {
         address адрес
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

адрес

Адрес отправителя, используемый для проверки соответствия. Поддерживаемые значения приведены в таблице ниже:

Значение Описание
<h:h:h:h:h:h:h:h> Адрес IPv6
<h:h:h:h:h:h:h:h/x> Подсеть IPv6 (значение ::/0 соответствует любой сети)
<h:h:h:h:h:h:h:h>-<h:h:h:h:h:h:h:h> Диапазон IPv6-адресов
!<h:h:h:h:h:h:h:h> Соответствие будет установлено для всех IPv6-адресов, кроме указанного
!<h:h:h:h:h:h:h:h/x> Соответствие будет установлено для всех IPv6-адресов, кроме указанной подсети
!<h:h:h:h:h:h:h:h>-<h:h:h:h:h:h:h:h> Соответствие будет установлено для всех IPv6-адресов, кроме адресов, входящих в указанный диапазон
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать адрес отправителя в правиле фильтрации трафика IPv6.

В том случае если явно указаны адрес и номер порта, для пакета устанавливается соответствие критериям правила в том и только том случае, если совпадает как адрес, так и номер порта.

Форма set данной команды используется для указания адреса отправителя в правиле фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> source address-type <тип>#

Указание типа адреса отправителя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> source address-type <тип>
delete filter-ipv6 <имя> rule <номер_правила> source address-type <тип>
show filter-ipv6 <имя> rule <номер_правила> source address-type
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя { 
   rule номер_правила {
      source {
          address-type тип
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип

Тип адреса отправителя (источника). Данное правило будет применено к пакетам, тип адреса отправителя (источника) которых соответствует указанному. Допустимые значения приведены в таблице ниже:

Значение Описание
unspec Неопределённый адрес (::)
unicast Однонаправленный адрес
local Локальный адрес
multicast Мультивещательный адрес
anycast Близковещательный адрес (anycast)
unreachable Недостижимый адрес
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать тип адреса отправителя в правиле фильтрации трафика IPv6.

Форма set данной команды используется для создания настройки типа адреса источника для правила фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> source country <код_страны>#

Указание двухзначного кода страны отправителя в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> source country <код_страны>
delete filter-ipv6 <имя> rule <номер_правила> source country <код_страны>
show filter-ipv6 <имя> rule <номер_правила> source country
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      source {
         country код_страны
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

код_страны

Двузначный код страны отправителя.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания двухзначного кода страны отправителя в правиле фильтрации трафика IPv6. В одном правиле фильтрации может быть задано не более 16 стран.

Примечание

Необходимо иметь в виду, что данные о принадлежности IP диапазона к определенному региону берутся из общедоступных источников и могут не обладать 100% точностью. Для дополнения/исключения диапазонов рекомендуется использовать группы IP адресов (groups address-group) в правилах фильтрации.

Форма set данной команды используется для указания двухзначного кода страны источника в правиле фильтрации трафика IPv6.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для просмотра настройки.

filter-ipv6 <имя> rule <номер_правила> source local-group <имя_группы>#

Указание локальной группы МЭ для проверки соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> source local-group <имя_группы>
delete filter-ipv6 <имя> rule <номер_правила> source local-group <имя_группы>
show filter-ipv6 <имя> rule <номер_правила> source local-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      source {
         local-group имя_группы
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы

Имя локальной группы МЭ. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя группы
!<text> Все группы кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать локальную группу МЭ для сопоставления в правиле фильтрации трафика IPv6.

Форма set данной команды используется для указания локальной группы МЭ в правиле фильтрации трафика IPv6.

Форма delete данной команды используется для удаления локальной группы МЭ в правиле фильтрации трафика IPv6.

Форма show данной команды используется для отображения настройки локальной группы МЭ в правиле фильтрации трафика IPv6.

Примечание

При использовании политикой фильтра с заданными локальными пользователями/группами, такая политика может быть использована только в качестве системной.

filter-ipv6 <имя> rule <номер_правила> source local-user <имя_пользователя>#

Указание локального пользователя МЭ для проверки соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> source local-user <имя_пользователя>
delete filter-ipv6 <имя> rule <номер_правила> source local-user <имя_пользователя>
show filter-ipv6 <имя> rule <номер_правила> source local-user
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      source {
         local-user имя_пользователя 
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_пользователя

Имя локального пользователя МЭ. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя пользователя
!<text> Все пользователи кроме указанного
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать локального пользователя МЭ для сопоставления в правиле фильтрации трафика IPv6.

Форма set данной команды используется для указания локального пользователя МЭ в правиле фильтрации трафика IPv6.

Форма delete данной команды используется для удаления локального пользователя МЭ в правиле фильтрации трафика IPv6.

Форма show данной команды используется для отображения настройки локального пользователя МЭ в правиле фильтрации трафика IPv6.

Примечание

При использовании политикой фильтра с заданными локальными пользователями/группами, такая политика может быть использована только в качестве системной.

filter-ipv6 <имя> rule <номер_правила> source mac-address <mac-адрес>#

Указание MAC-адреса отправителя, по которому будет осуществляться проверка соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> source mac-address <mac-адрес>
delete filter-ipv6 <имя> rule <номер_правила> source mac-address <mac-адрес>
show filter-ipv6 <имя> rule <номер_правила> source mac-address
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      source {
         mac-address mac-адрес
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

mac-адрес

MAC-адрес для проверки соответствия. Адрес указывается в формате шести разделенных двоеточиями 8-битных шестнадцатеричных чисел, например 00:0a:59:9a:f2:ba.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать MAC-адрес источника, по которому будет осуществляться проверка соответствия пакета критериям правила фильтрации трафика.

Форма set данной команды используется для указания MAC-адреса отправителя в правиле фильтрации трафика.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> source port <порт>#

Указание номера сетевого порта отправителя для проверки соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя>rule  <номер_правила> source port <порт>
delete filter-ipv6 <имя>rule <номер_правила> source port <порт>
show filter-ipv6 <имя>rule <номер_правила> source port
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      source {
         port порт
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

порт

Порт отправителя для проверки соответствия. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя порта (любое из файла /etc/services)
<0-65535> Номер порта
<start>-<end> Диапазон портов

Возможно также задание списка через запятую, например: "22,telnet,http,123,1001-1005".

Возможно также задание инвертированного списка с помощью "!", например: "!22,telnet,http,123,1001-1005".

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать номера сетевого порта отправителя в правиле фильтрации трафика IPv6. Сетевой порт может быть указан только для протоколов TCP, UDP, SCTP и DCCP. Предварительно должен быть определен протокол при помощи команды filter-ipv6 <имя> rule <номер_правила> protocol <протокол>.

В том случае если явно указаны адрес и номер порта, для пакета устанавливается соответствие критериям правила в том и только том случае, если совпадает как адрес, так и номер порта.

Форма set данной команды используется для указания порта отправителя в правила фильтрации трафика IPv6.

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> state#

Указание состояний соединений, к которым применяется правило фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> state [established <состояние> | invalid <состояние> | new <состояние> | related <состояние>]
delete filter-ipv6 <имя> rule <номер_правила> state [established | invalid | new | related]
show filter-ipv6 <имя> rule <номер_правила> state
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter-ipv6 имя {
   rule номер_правила {
      state {
         established состояние
         invalid состояние
         new состояние
         related состояние
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

established состояние

Позволяет указать, следует ли применять данное правило к пакетам установленных соединений. Поддерживаются следующие значения:

  • enable: применить правило к пакетам установленных соединений;
  • disable: не применять правило к пакетам установленных соединений.
  • invalid состояние

Позволяет указать, следует ли применять данное правило к пакетам недействительных соединений. Поддерживаются следующие значения:

  • enable: применить правило к пакетам недействительных соединений;
  • disable: не применять правила к пакетам недействительных соединений.
  • new состояние

Позволяет указать, следует ли применять данное правило к пакетам новых соединений. Поддерживаются следующие значения:

  • enable: применить правило к пакетам новых соединений;
  • disable: не применять правило к пакетам новых соединений.
  • related состояние

Позволяет указать, следует ли применять данное правило к пакетам связанных соединений. Поддерживаются следующие значения:

  • enable: применить данное правило к пакетам связанных соединений;
  • disable: не применять данное правило к пакетам связанных соединений.
Значение по умолчанию#

Указанное правило применяется ко всем пакетам вне зависимости от состояния соединения.

Указания по использованию#

Данная команда позволяет указать состояния соединений, к пакетам которых будет применяться данное правило фильтрации трафика IPv6.

Established - состояние установленного соединения. Соединение считается установленным в том случае, когда был получен трафик в обоих направлениях.

Invalid - состояние недействительного соединения. Присваивается пакетам, которые не могут быть идентифицированы по каким-либо причинам. Такое возможно в случае нехватки ресурсов системы для обработки пакета; или если пакет не содержит сведений идентифицирующих состояние; или ошибки ICMP, которые не могут быт соотнесены ни с одним известным соединением. Обычно эти пакеты отбрасываются.

New - состояние нового соединения. Такое состояние характерно для пакетов, впервые встреченных системой, содержащих информацию о новом соединении. Для протокола TCP, это пакеты с установленным флагом SYN.

Related - состояние связанного соединения. Такое состояние характерно для соединений, инициированных на основе уже существующего установленного соединения. В качестве примера можно привести соединение для обмена данными протокола FTP, которое будет являться связанным по отношению к установленному управляющему соединению FTP.

Форма set данной команды позволяет указать тип пакетов, к которому будет применяться правило фильтрации трафика IPv6.

Форма delete данной команды позволяет восстановить поведение, принятое по умолчанию.

Форма show данной команды используется для отображения настройки.

Примечание

При использовании в конфигурации данного фильтра на устройстве производится дефрагментация пакетов. В случае дефрагментации пакетов фильтр фрагментации fragment не будет отрабатывать.

filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> case-insensitive#

Не учитывать регистр букв при фильтрации по подстрокам в IPv6-пакете.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> case-insensitive
delete filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> case-insensitive
show filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> case-insensitive
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      string номер_подстроки {
         case-insensitive
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

case-insensitive

При указании данного параметра поиск будет осуществляться без учета регистра букв в подстроке.

Значение по умолчанию#

По умолчанию регистр букв учитывается.

Указания по использованию#

При использовании этой команды при поиске подстроки в пакете IPv6 не учитывается регистр букв. Предварительно должна быть определена искомая подстрока при помощи команды filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> match <подстрока> или в шестнадцатеричной нотации при помощи команды filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>.

Форма set данной команды позволяет указать, что требуется не учитывать регистр букв при поиске подстроки.

Форма delete данной команды позволяет восстановить поведение, принятое по умолчанию.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> from <смещение>#

Установка смещения в пакете IPv6, начиная с которого будет осуществляться поиск подстроки.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> from <смещение>
delete filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> from
show filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> from
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      string номер_подстроки {
         from смещение
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

смещение

Смещение в байтах от начала пакета IPv6. Значение должно находиться в диапазоне от 0 до 65535.

Значение по умолчанию#

По умолчанию установлено значение 0, поиск подстроки осуществляется от начала пакета IPv6.

Указания по использованию#

Данная команда позволяет указать смещение в пакете IPv6, начиная от которого, будет осуществляться поиск подстроки. Предварительно должна быть определена искомая подстрока при помощи команды filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> match <подстрока> или в шестнадцатеричной нотации при помощи команды filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>.

Смещение, до которого осуществляется поиск, указывается при помощи команды filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> to <смещение>.

Форма set данной команды позволяет указать смещение в пакете IPv6, начиная с которого будет осуществляться поиск подстроки в пакете IPv6.

Форма delete данной команды позволяет удалить настройку и восстановить значение, принятое по умолчанию.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>#

Указание подстроки для поиска в шестнадцатеричном виде.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>
delete filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>
show filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> hex-match
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      string номер_подстроки {
         hex-match подстрока
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

подстрока

Подстрока для поиска в пакете IPv6. Значение указывается в следующем формате: текст|xx xx|текст, где шестнадцатеричное значение ограничено символом ' | ', а шестнадцатеричные блоки (xx), представляющие байт данных, могут быть разделены пробелами, например, |40 41 42 43|. Значение текст|xx xx|текст необходимо заключить либо в одинарные ('текст|xx xx|текст'), либо в двойные ("текст|xx xx|текст") кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет задать критерий соответствия для пакетов на основе подстроки для поиска в пакете IPv6, значение которой указывается в шестнадцатеричном виде.

Форма set данной команды позволяет указать значение подстроки для поиска в шестнадцатеричном виде.

Форма delete данной команды позволяет удалить настройку.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> match <подстрока>#

Указание подстроки для поиска.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> match <подстрока>
delete filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> match <подстрока>
show filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> match
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      string номер_подстроки {
         match подстрока
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

подстрока

Подстрока для поиска в пакете IPv6.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет задать критерий соответствия для пакетов на основе подстроки для поиска в пакете IPv6. Для того чтобы осуществлять поиск на основе нескольких подстрок, следует для одного правила фильтра трафика указать несколько узлов конфигурации string, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

Форма set данной команды позволяет указать значение подстроки для поиска.

Форма delete данной команды позволяет удалить настройку.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> negation#

Установка соответствия на основе отсутствия указанной подстроки в пакете IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> negation
delete filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> negation
show filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> negation
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      string номер_подстроки {
         negation
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

При указании команды соответствие будет устанавливаться для пакетов, в которых отсутствует указанная подстрока. Предварительно должна быть определена искомая подстрока при помощи команды filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> match <подстрока> или в шестнадцатеричной нотации при помощи команды filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>.

Форма set данной команды позволяет указать, что соответствие будет устанавливаться для пакетов, в которых отсутствует указанная подстрока.

Форма delete данной команды позволяет удалить настройку.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> to <смещение>#

Установка смещения в пакете IPv6, до которого будет осуществляться поиск подстроки.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> to <смещение>
delete filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> to
show filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> to
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      string номер_подстроки {
         to смещение
      } 
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

номер_подстроки

Множественный узел. Численный идентификатор подстроки. Для установки соответствия на основе нескольких подстрок, следует создать соответствующее количество узлов string в одном правиле фильтра трафика, в этом случае соответствие будет установлено только для пакетов, в которых будут обнаружены все указанные подстроки.

смещение

Смещение в байтах от начала пакета IPv6. Значение должно находиться в диапазоне от 0 до 65535.

Значение по умолчанию#

По умолчанию поиск подстроки осуществляется до конца пакета IPv6.

Указания по использованию#

Данная команда позволяет указать смещение в пакете IPv6, до которого, будет осуществляться поиск подстроки. Предварительно должна быть определена искомая подстрока при помощи команды filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> match <подстрока> или в шестнадцатеричной нотации при помощи команды filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> hex-match <подстрока>.

Смещение, от которого начинается поиск, указывается при помощи команды filter-ipv6 <имя> rule <номер_правила> string <номер_подстроки> from <смещение>.

Форма set данной команды позволяет указать смещение в пакете IPv6, до которого будет осуществляться поиск подстроки в пакете IPv6.

Форма delete данной команды позволяет удалить настройку и восстановить значение, принятое по умолчанию.

Форма show данной команды используется для отображения настройки.

filter-ipv6 <имя> rule <номер_правила> tcp flags <флаг>#

Указание флагов TCP для проверки соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила>  tcp flags <флаг>
delete filter-ipv6 <имя> rule <номер_правила>  tcp flags
show filter-ipv6 <имя> rule <номер_правила> tcp flags
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      tcp {
         flags флаг
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

флаг

Указание флагов TCP для проверки соответствия. Поддерживаются следующие значения: SYN, ACK, FIN, RST, URG, PSH и ALL. При указании нескольких флагов, они должны быть указаны через запятую. Например, при указании "SYN, !ACK, !FIN, !RST" будет установлено соответствие только в том случае, если установлен флаг SYN и не установлены флаги ACK, FIN, RST. Указание ALL может быть использовано для проверки того, что установлены все флаги, указание !ALL используется для проверки того, что не установлено ни одного флага. При указании перед значением флага восклицательного знака ("!") соответствие будет установлено в том случае, если флаг не установлен.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет проверять соответствие сетевых пакетов критериям правила фильтрации трафика IPv6 на основе флагов TCP. Предварительно должен быть определен протокол TCP для правила фильтрации при помощи команды filter-ipv6 <имя> rule <номер_правила> protocol tcp.

Форма set данной команды используется для указания флагов TCP на основе которых будет осуществляться проверка соответствия.

Форма delete данной команды позволяет восстановить поведение по умолчанию.

Форма show данной команды позволяет отобразить настройку.

filter-ipv6 <имя> rule <номер_правила> tcp mss <значение>#

Указание максимального размера сегмента для проверки соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> tcp mss <значение>
delete filter-ipv6 <имя> rule <номер_правила> tcp mss
show filter-ipv6 <имя> rule <номер_правила> tcp mss
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      tcp {
         mss значение
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

значение

Максимальный размер сегмента. Допустимые значения приведены в таблице ниже:

Значение Описание
<x> Одиночное значение (где x - целое в диапазоне от 0 до 65535)
<x>-<y> Диапазон значений (где x, y - целое в диапазоне от 0 до 65535, x < y)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет проверять соответствие сетевых пакетов IPv6 критериям правила на основе указанного максимального размера сегмента. Предварительно должен быть определен протокол TCP для правила фильтрации при помощи команды filter-ipv6 <имя> rule <номер_правила> protocol tcp.

Форма set данной команды используется для указания максимального размера сегмента, на основе которых будет осуществляться проверка соответствия.

Форма delete данной команды позволяет восстановить поведение по умолчанию.

Форма show данной команды позволяет отобразить установленное в текущий момент значение максимального размера сегмента.

filter-ipv6 <имя> rule <номер_правила> tcp option <опция>#

Указание опции TCP для проверки соответствия в правиле фильтрации трафика IPv6.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> tcp option <опция>
delete filter-ipv6 <имя> rule <номер_правила> tcp option
show filter-ipv6 <имя> rule <номер_правила> tcp option
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
filter-ipv6 имя {
   rule номер_правила {
      tcp {
         option опция
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

опция

Проверка на наличие/отсутствие указанной опции TCP в пакете. Допустимые значения приведены в таблице ниже:

Значение Описание
<х> Номер опции TCP (где x - целое в диапазоне от 1 до 255)
md5 Имитовставка с использованием алгоритма MD5 (номер 19)
mss Максимальный размер сегмента (номер 2)
sack-permitted Разрешение выборочного подтверждения (номер 4)
sack Выборочное подтверждение (номер 5)
timestamp Временная отметка (номер 8)
wscale Масштабирование окна (номер 3)
!<y> Проверка отсутствия заданной опции ( - любое значение, приведенное выше)
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет проверять наличие/отсутствие в сетевых пакетах указанной опции TCP. Предварительно должен быть определен протокол TCP для правила фильтрации при помощи команды filter-ipv6 <имя> rule <номер_правила> protocol tcp.

Форма set данной команды используется для указания опции, на основании которой будет осуществляться проверка соответствия.

Форма delete данной команды позволяет удалить заданное значение опции.

Форма show данной команды позволяет отобразить установленное в текущий момент значение проверяемой опции.

filter-ipv6 <имя> rule <номер_правила> time#

Применение правил фильтрации трафика с учетом даты и времени.

Синтаксис#
1
2
3
set filter-ipv6 <имя> rule <номер_правила> time [monthdays <дни_месяца> | startdate <дата> | starttime <время> | stopdate <дата> | stoptime <время> | utc | weekdays <дни_недели>]
delete filter-ipv6 <имя> rule <номер_правила>  time
show filter-ipv6 <имя> rule <номер_правила> time
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
filter-ipv6 имя {
   rule номер_правила {
      time {
         monthdays дни_месяца
         startdate дата
         starttime время
         stopdate дат
         stoptime время
         utc
         weekdays дни_недели
      }
   }
}
Параметры#

имя

Имя фильтра трафика.

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

дни_месяца

Дни месяца, в которые применяется указанное правило. Поддерживаются следующие значения: дни месяца (с 1 по 31), указанные через запятую (например, 3,15,24). Может быть указан восклицательный знак ("!") для указания отрицания списка значений (например, !3,15,24). В данном случае правило фильтрации трафика будет применяться ежедневно, кроме указанных дней месяца.

startdate дата Дата (и, в случае необходимости, время) начала периода действия правила. Указывается в следующем формате:

  • гггг-мм-дд (например, 2020-04-21);
  • гггг-мм-ддTчч:мм:сс (время, при необходимости указания, отделяется символом "T", например, 2020-04-21T16:45:00)

Время указывается в 24-часовом формате (значение должно находиться в диапазоне от 00:00:00 до 23:59:59). В том случае если время явно не указано, по умолчанию устанавливается начало указанного дня (т.е., 00:00:00). Для указания окончания периода действия правила используется параметр stopdate.

starttime время

Время начала периода, в течение которого правило будет применяться. Указывается в следующем формате:

  • чч:мм:сс (например, 16:45:00).

Время указывается в 24-часовом формате (значение должно находиться в диапазоне от 00:00:00 до 23:59:59). Для указания времени окончания периода действия правила используется параметр stoptime.

stopdate дата

Дата (и, в случае необходимости, время) окончания периода действия правила. Указывается в следующем формате:

  • гггг-мм-дд (например, 2020-04-21);
  • гггг-мм-ддTчч:мм:сс (время, при необходимости указания, отделяется символом "T", например, 2020-04-21T16:45:00).

Время указывается в 24-часовом формате (значение должно находиться в диапазоне от 00:00:00 до 23:59:59). В том случае если время явно не указано, по умолчанию устанавливается начало указанного дня (т.е., 00:00:00). Для указания начала периода действия правила используется параметр startdate.

stoptime время

Время окончания периода, в течение которого правило будет применяться. Указывается в следующем формате:

  • чч:мм:сс(например, 16:45:00).

Время указывается в 24-часовом формате (значение должно находиться в диапазоне от 00:00:00 до 23:59:59). Для указания времени начала периода действия правила используется параметр starttime.

utc

При указании данного параметра время, заданное при помощи параметров startdate, stopdate, starttime, и stoptime, должно быть интерпретировано как время UTC, а не как местное время.

дни_недели

Дни недели, по которым указанное правило будет применяться. Поддерживаются следующие значения: Mon, Tue, Wed, Thu, Fri, Sat и Sun.

Дни недели могут быть указаны через запятую (например: Mon,Wed,Fri).

Для указания отрицания списка значений может быть указан восклицательный знак "!" (например, !Mon,Wed,Fri). В данном случае правило фильтрации трафика будет применяться ежедневно, кроме указанных дней недели.

Значение по умолчанию#

Правило применяется постоянно без учета даты и времени.

Указания по использованию#

Данная команда используется для ограничения времени, в течение которого применяется указанное правило фильтрации трафика.

Все параметры являются необязательными. В случае указания нескольких параметров объединяются логическим И.

Форма set данной команды используется для указания периода действия правила фильтрации трафика IPv6.

Форма delete данной команды используется для восстановления поведения по умолчанию.

Форма show данной команды используется для отображения настройки периода действия правила фильтрации трафика.