...
action { permit | deny | reject | netflow-sample | sflow-sample | rate-limit total pps <RATE> | session-limit <>[total <> <SESSION>] [per-source-host <SESSION>] } [log]
no action
Параметры
- permit – прохождение трафика разрешается;
- deny – прохождение трафика запрещается;
- reject – прохождение трафика запрещается, а также посылается отправителю ответ об ошибке;
- netflow-sample – прохождение трафика разрешается и осуществляется экспорт статистики по протоколу Netflow;
- sflow-sample – прохождение трафика разрешается и осуществляется экспорт статистики по протоколу sFlow;
- rate-limit total pps
- <RATE>
- session-limit
- <>
- <>
- <RATE> – прохождение трафика разрешается и ограничивается количество обрабатываемых правилом пакетов в секунду. Команда применима только в правилах между зонами any self
- <RATE> – количество пакетов в секунду, принимает значения [1..10000].
- <RATE> – количество пакетов в секунду, принимает значения [1..10000].
- session-limit [total <SESSION>] [per-source-host <SESSION>] – прохождение трафика разрешается и ограничивается число одновременных сессий трафика.
- total <SESSION> - ограничивается общее число сессий трафика попадающих под данное правило
<SESSION> число обновременных сессий , принимает значения [1..10000]. - [per-source-host <SESSION> - ограничивается число сессий трафика от одного хоста источника
<SESSION> число обновременных сессий , принимает значения [1..10000].
- total <SESSION> - ограничивается общее число сессий трафика попадающих под данное правило
- log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу.
Предупреждение |
---|
Функционал session-limit доступен только на моделях ESR-3x, ESR-3100 и ESR-3200 |
Значение по умолчанию
Действие не настроено, логирование отключено.
...
Блок кода |
---|
esr(config-bridge)# ports firewall enable |
rate-limit pps
Данная команда ограничивает количество обрабатываемых правилом пакетов в секунду. Команда применима только в правилах между зонами any self и при условии действия action permit в этом правиле.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
rate-limit pps <RATE>
no rate-limit
Параметры
<PPS> – количество пакетов в секунду, принимает значения [1..10000].
Значение по умолчанию
Не ограничено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-if-gi)# rate-limit pps 200 |
rearrange
Данная команда меняет шаг между созданными правилами.
Синтаксис
rearrange <VALUE>
Параметры
<VALUE> – шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
Блок кода |
---|
esr(config-zone-pair)# rearrange 10 |
...
Данная команда меняет номер правила.
Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
Параметры
<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
Блок кода |
---|
esr(config-zone-pair)# renumber rule 13 100 |
...
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра "all", то будут удалены все правила для конфигурируемой пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
Блок кода |
---|
esr(config-zone-pair)# rule 10 esr(config-zone-rule)# |
...
Использование отрицательной формы команды (no) удаляет заданную зону безопасности.
Синтаксис
[no] security zone [ <NAME> | all ]
Параметры
<NAME> – имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все зоны безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security zone trusted esr(config-zone)# |
...
Данная команда используется для добавления выбранного сетевого интерфейса в зону безопасности. Использование отрицательной формы команды (no) удаляет интерфейс из зоны.
Синтаксис
security-zone <NAME>
no security-zone
Параметры
<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
...
CONFIG-OPENVPN-SERVER
CONFIG-PPTP-SERVER
Пример
Блок кода |
---|
esr(config-if-gi)# security-zone trusted |
...
Использование отрицательной формы команды (no) удаляет указанную группу правил.
Синтаксис
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE>
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
<DESTINATION-ZONE> – зона безопасности, в которую поступает трафик. На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self». Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security zone-pair trusted self |
...
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ip firewall counters trusted self Zone-pair Rule Action Pkts Bytes ------------------------------ ---------- --------------- ---------- ---------- any/any default deny 0 0 trusted/self 1 permit 0 0 trusted/trusted 1 permit 0 0 |
...
Данная команда используется для просмотра активных IP-сессий.
Синтаксис
show ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
...
expected – команда для отображения сессий, ожидающих обработки других сессий.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ip firewall sessions Prot Inside source Inside destination Outside source Outside destination Pkts Bytes --- ------------ ---------------- ------------- ---------------- ----- ---- vrrp 4.4.4.4 224.0.0.18 4.4.4.4 224.0.0.18 -- -- |
...
Данной командой отображается настройка функционала отслеживания сессий уровня приложений.
Синтаксис
show ip firewall sessions tracking
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ip firewall sessions tracking Tracking Status: FTP: Enabled H.323: Enabled GRE: Enabled PPTP: Enabled NETBIOS-NS: Enabled SIP: Enabled |
...
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ipv6 firewall counters trusted self Zone-pair Rule Action Pkts Bytes ------------------------------ ---------- --------------- ---------- ---------- any/any default deny 0 0 trusted/self 1 permit 0 0 trusted/trusted 1 permit 0 0 |
...
Данная команда используется для просмотра активных IPv6-сессий.
Синтаксис
show ipv6 firewall sessions [ vrf <VRF> ] [summary] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR>] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ expected ] [ summary ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
...
summary – выводит суммарную статистику по IPv6-сессиям.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ipv6 firewall sessions Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ----- -------------- ------------------- -------------- -------------------- ----- ----- icmp6 fc00::2 fc00::2 fc00::2 fc00::2 -- -- icmp6 fc00::2 fc00::1 fc00::2 fc00::1 -- -- |
...
Данная команда используется для просмотра интерфейсов, входящих в зону безопасности.
Синтаксис
show security zone [<NAME>]
Параметры
<NAME> – имя зоны, задаётся строкой до 31 символа.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security zone Zone name Interfaces ------------- ------------------------------------------ trusted gi1/0/2-6, gi1/0/8-24, bridge 1 untrusted gi1/0/1, te1/0/1-2, bridge 2 |
...
Данная команда используется для просмотра списка пар зон.
Синтаксис
show security zone-pair
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security zone-pair From zone To zone ------------- ------------- trusted untrusted trusted trusted trusted self untrusted self |
...
Данная команда используется для просмотра правил для пары зон безопасности.
Синтаксис
show security zone-pair configuration <SOURCE-ZONE> <DESTINATION-ZONE> [<ORDER>]
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security zone-pair configuration trusted self Order: 1 Description: -- Matching pattern: Protocol: tcp(6) Src-addr: any src-port: any Dest-addr: any dest-port: 23 0 0 |
...