Оглавление | ||
---|---|---|
|
Якорь | ||||
---|---|---|---|---|
|
action
Данная команда используется для указания действия, которое должно быть применено для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
action { permit | deny | reject | netflow-sample | sflow-sample | rate-limit total pps <RATE> | session-limit [total <SESSION>] [per-source-host <SESSION>] } [log]
no action
Параметры
- permit – прохождение трафика разрешается;
- deny – прохождение трафика запрещается;
- reject – прохождение трафика запрещается, а также посылается отправителю ответ об ошибке;
- netflow-sample – прохождение трафика разрешается, осуществляется экспорт статистики по протоколу Netflow;
- sflow-sample – прохождение трафика разрешается, осуществляется экспорт статистики по протоколу sFlow;
- rate-limit total pps <RATE> – прохождение трафика разрешается, ограничивается количество обрабатываемых правилом пакетов в секунду. Команда применима только в правилах между зонами any self:
- <RATE> – количество пакетов в секунду, принимает значения [1..10000].
- <RATE> – количество пакетов в секунду, принимает значения [1..10000].
- session-limit [total <SESSION>] [per-source-host <SESSION>] – прохождение трафика разрешается и ограничивается число одновременных сессий трафика:
- total <SESSION> – ограничивается общее число сессий трафика, попадающих под данное правило:
- <SESSION> – число одновременных сессий, принимает значения [1..10000].
- [per-source-host <SESSION> – ограничивается число сессий трафика от одного хоста источника:
- <SESSION> – число одновременных сессий, принимает значения [1..10000].
- total <SESSION> – ограничивается общее число сессий трафика, попадающих под данное правило:
- log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу.
Предупреждение |
---|
Функционал session-limit доступен только на моделях ESR-30, ESR-31, ESR-3100, ESR-3200, ESR-3200L, ESR-3300. |
Значение по умолчанию
Действие не настроено, логирование отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# action permit |
clear ip firewall counters
Данной командой осуществляется сброс счетчиков правил Firewall.
Синтаксис
clear ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут очищены счетчики правил в указанном VRF;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear ip firewall counters trusted self |
clear ip firewall sessions
Данной командой осуществляется удаление активных IP-сессий.
Синтаксис
clear ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут удалены активные сессии в указанном VRF;
...
outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear ip firewall sessions vrf VRF1 |
clear ipv6 firewall counters
Данной командой осуществляется сброс счетчиков правил Firewall.
Синтаксис
clear ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут очищены счетчики правил в указанном VRF;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear ipv6 firewall counters trusted self |
clear ipv6 firewall sessions
Данной командой осуществляется удаление активных IPv6-сессий.
Синтаксис
clear ipv6 firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR> ] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут удалены активные сессии в указанном VRF;
...
outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear ipv6 firewall sessions vrf VRF1 |
description
Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности. Использование отрицательной формы команды (no) удаляет установленное описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание зоны безопасности, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE
CONFIG-ZONE-PAIR
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone)# description "Trusted interfaces" |
enable
Данная команда используется для активирования правила.
Использование отрицательной формы команды (no) деактивирует правило.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# enable |
Якорь | ||||
---|---|---|---|---|
|
ip firewall disable
Данная команда используется для отключения функции Firewall на сетевом интерфейсе.
Использование отрицательной формы команды (no) включает функцию Firewall на сетевом интерфейсе.
Синтаксис
[no] ip firewall disable
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-TWE
...
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
Блок кода |
---|
esr(config-if-gi)# ip firewall disable |
Якорь | ||||
---|---|---|---|---|
|
ip firewall mode
Данная команда используется для выбора режима работы межсетевого экрана.
Использование отрицательной формы команды (no) устанавливает режим работы межсетевого экрана по умолчанию.
Синтаксис
ip firewall mode <MODE>
no ip firewall mode
Параметры
<MODE> – режим работы межсетевого экрана, может принимать значения:
- stateful – режим, при котором маршрутизатор отслеживает сессии. Первые пакеты сессии проходят полный цикл проверки согласно правилам межсетевого экрана, а последующие пакеты сессии маршрутизируются без дополнительных проверок. В этом режиме, если "прямой" трафик разрешён, "ответный" трафик разрешается автоматически. Данное правило не распространяется на работу механизма DPI.
- stateless – режим, при котором маршрутизатор не отслеживает сессии. Каждый пакет проходит полный цикл проверки согласно правилам межсетевого экрана, что существенно снижает производительность оборудования. Использование данного режима допустимо только в условиях крайней необходимости.
Значение по умолчанию
stateful
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config-if-gi)# ip firewall mode stateless |
ip firewall sessions counters
Командой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда, когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов. Включение счетчиков снижает производительность маршрутизатора.
Команды для просмотра счетчиков и сессий описаны в разделах ESR. Управление Firewall, ESR. Управление Firewall, ESR. Управление Firewall и ESR. Управление Firewall.show ip firewall counters, show ip firewall sessions, show ipv6 firewall counters и show ipv6 firewall sessions.
Использование отрицательной формы команды (no) отключает счетчики сессий.
Синтаксис
[no] ip firewall sessions counters
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions counters |
ip firewall sessions allow-unknown
Данной командой отключается фильтрация пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения.
Использование отрицательной формы команды (no) включает фильтрацию.
Синтаксис
[no] ip firewall sessions allow-unknown
Параметры
Команда не содержит параметров.
Значение по умолчанию
Включено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions allow-unknown |
ip firewall sessions generic-timeout
Данной командой определяется время жизни сессии для неподдерживаемых протоколов, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions generic-timeout <TIME>
no ip firewall sessions generic-timeout
Параметры
<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].
Значение по умолчанию
60 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions generic-timeout 60 |
ip firewall sessions icmp-timeout
Данной командой определяется время жизни ICMP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions icmp-timeout <TIME>
no ip firewall sessions icmp-timeout
Параметры
<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions icmp-timeout 60 |
ip firewall sessions icmpv6-timeout
Данной командой определяется время жизни ICMPv6-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions icmpv6-timeout <TIME>
no ip firewall sessions icmpv6-timeout
Параметры
<TIME> – время жизни ICMPv6-сессии, принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions icmpv6-timeout 60 |
ip firewall sessions max-expect
Данной командой определяется размер таблицы сессий, ожидающих обработки.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions max-expect <COUNT>
no ip firewall sessions max-expect
Параметры
<COUNT> – размер таблицы, принимает значения [1..8553600].
Значение по умолчанию
256
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions max-expect 512 |
ip firewall sessions max-tracking
Данной командой определяется размер таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Scroll Pagebreak |
---|
Синтаксис
ip firewall sessions max-tracking <COUNT>
no ip firewall sessions max- tracking
Параметры
<COUNT> – размер таблицы, принимает значения [1..8553600].
Значение по умолчанию
512000
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions max-tracking 256000 |
ip firewall sessions tcp-connect-timeout
Данной командой определяется время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-connect-timeout <TIME>
no ip firewall sessions tcp-connect-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии «соединение устанавливается», принимает значения в секундах [1..8553600].
Значение по умолчанию
60 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions tcp-connect-timeout 120 |
ip firewall sessions tcp-disconnect-timeout
Данной командой определяется время жизни TCP-сессии в состоянии «соединение закрывается», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-disconnect-timeout <TIME>
no ip firewall sessions tcp-disconnect-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии «соединение закрывается», принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions tcp-disconnect-timeout 10 |
ip firewall sessions tcp-estabilished-timeout
Данной командой определяется время жизни TCP-сессии в состоянии «соединение установлено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-estabilished-timeout <TIME>
no ip firewall sessions tcp-estabilished-timeout
Параметры
<TIME> – время жизни TCP-сессии в состоянии «соединение установлено», принимает значения в секундах [1..8553600].
Значение по умолчанию
120 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions tcp-estabilished-timeout 3600 |
ip firewall sessions tcp-latecome-timeout
Данной командой определяется время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-latecome-timeout <TIME>
no ip firewall sessions tcp-latecome-timeout
Параметры
<TIME> – время ожидания, принимает значения в секундах [1..8553600].
Значение по умолчанию
120 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions tcp-latecome-timeout 10 |
ip firewall sessions tracking
Данной командой включается функция отслеживания сессий уровня приложений для отдельных протоколов.
Использование отрицательной формы команды (no) отключает функцию отслеживания сессий уровня приложений для отдельных протоколов.
Синтаксис
ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> | session-lifetime <TIME> ] }
no ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] | all }
Параметры
<PROTOCOL> – протокол уровня приложений, сессии которого должны отслеживаться, принимает значения [ftp, h323, pptp, netbios-ns];
...
<TIME> – время жизни отслеживаемой SIP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий. Принимает значения в секундах [1..8553600].
Значение по умолчанию
Отключено для всех протоколов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions tracking ftp |
ip firewall sessions udp-assured-timeout
Данной командой определяется время жизни UDP-сессии в состоянии «соединение подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions udp-assured-timeout <TIME>
no ip firewall sessions udp-assured-timeout
Параметры
<TIME> – время жизни UDP-сессии в состоянии «соединение подтверждено», принимает значения в секундах [1..8553600].
Значение по умолчанию
180 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions udp-assured-timeout 3600 |
ip firewall sessions udp-wait-timeout
Данной командой определяется время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions udp-wait-timeout <TIME>
no ip firewall sessions udp-wait-timeout
Параметры
<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions udp-wait-timeout 60 |
match application
Данной командой устанавливается профиль приложений, для которых должно срабатывать правило. Данная функция используется для фильтрации по приложениям (механизм DPI).
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] application <OBJ-GROUP-APPLICATION>
no match application
Параметры
<OBJ-GROUP-APPLICATION> – имя профиля приложений, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match application APP_DENY |
match destination-address
Данной командой устанавливается профиль IP-адресов получателя, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address { address-range { <ADDR>[-<ADDR>] |
...
no match destination-address
Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match destination-address object-group remote_workspace |
match destination-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов получателя, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match destination-address
Параметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535];
...
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match destination-address object-group local |
match destination-mac
Данной командой устанавливается MAC-адрес получателя, для которого должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-mac <ADDR>
no match destination-mac <ADDR>
Параметры
<ADDR> – МАС-адрес получателя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match destination-mac A8:F9:4B:AA:00:40 |
match destination-nat
Данной командой устанавливается ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.
При использовании параметра «not» правило будет срабатывать для трафика, не измененного сервисом трансляции IP-адресов и портов получателя. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-nat
no match destination-nat
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match destination-nat |
match destination-port
Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
match [not] destination-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }
no match destination-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match destination-port object-group ssh |
match fragment
Данной командой определяются фрагментированные пакеты, направленные на устройство. Команда применима только в правилах между зонами any self. Под действие правила попадают второй и последующие фрагменты пакета. Обработка пакетов этим правилом происходит до трансляции адресов DNAT.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] fragment
no match fragmen
Параметры
Отсутствуют.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-pair-rule)# match fragment |
match icmp
Данная команда используется для настройки параметров протокола ICMP, если он выбран командой «match protocol». Данной командой устанавливается тип и код сообщений протокола ICMP, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] icmp { <ICMP_TYPE> <ICMP_CODE> | <OPTION> }
no match icmp
Параметры
<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];
...
- administratively-prohibited;
- alternate-address;
- conversion-error;
- dod-host-prohibited;
- dod-network-prohibited;
- echo;
- echo-reply;
- host-isolated;
- host-precedence;
- host-redirect;
- host-tos-redirect;
- host-tos-unreachable;
- host-unknown;
- host-unreachable;
- information-reply;
- information-request;
- mask-reply;
- mask-request;
- network-redirect;
- network-tos-redirect;
- network-tos-unreachable;
- network-unknown;
- network-unreachable;
- option-missing;
- packet-too-big;
- parameter-problem;
- port-unreachable;
- precedence;
- protocol-unreachable;
- reassembly-timeout;
- router-advertisement;
- router-solicitation;
- source-quench;
- source-route-failed;
- time-exceeded;
- timestamp-reply;
- timestamp-request;
- traceroute.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match icmp 2 any |
match ip-option
Данной командой определяются пакеты, содержащие опции в IP-заголовках. Команда применима только в правилах между зонами any self.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] ip-option
no match ip-option
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-pair-rule)# match ip-options |
match protocol
Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] protocol <TYPE>
...
match [not] protocol-id <ID>
no match protocol-id
Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.
...
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match protocol udp |
match source-address
Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } |
object-group <OBJ-GROUP-NETWORK-NAME> | any }
no match source-address <OBJ-GROUP-NETWORK-NAME>
Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match source-address object-group remote |
match source-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов отправителя, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } |
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
Параметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535];
...
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match source-address-port object-group admin |
match source-mac
Данной командой устанавливается MAC-адрес отправителя, для которого должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-mac <ADDR>
no match source-mac <ADDR>
Параметры
<ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match source-mac A8:F9:4B:AA:00:40 |
match source-port
Данной командой устанавливается профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }
no match source-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR-RULE
Пример
Блок кода |
---|
esr(config-zone-rule)# match source-port object-group telnet |
ports firewall enable
Данная команда активирует фильтрацию и режим отслеживания сессий при прохождении пакетов между членами Bridge-интерфейса.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
[no] ports firewall enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-BRIDGE
Пример
Блок кода |
---|
esr(config-bridge)# ports firewall enable |
rearrange
Данная команда меняет шаг между созданными правилами.
Синтаксис
rearrange <VALUE>
Параметры
<VALUE> – шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
Блок кода |
---|
esr(config-zone-pair)# rearrange 10 |
renumber rule
Данная команда меняет номер правила.
Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
Параметры
<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
Блок кода |
---|
esr(config-zone-pair)# renumber rule 13 100 |
rule
Данная команда используется для создания правила и перехода в командный режим SECURITY ZONE PAIR RULE. Правила обрабатываются устройством в порядке возрастания их номеров.
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра "all", то будут удалены все правила для конфигурируемой пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG-ZONE-PAIR
Пример
Блок кода |
---|
esr(config-zone-pair)# rule 10 esr(config-zone-rule)# |
security zone
Данная команда используется для создания зон безопасности и перехода в режим конфигурирования зоны.
Использование отрицательной формы команды (no) удаляет заданную зону безопасности.
Синтаксис
[no] security zone [ <NAME> | all ]
Параметры
<NAME> – имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все зоны безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security zone trusted esr(config-zone)# |
security-zone
Данная команда используется для добавления выбранного сетевого интерфейса в зону безопасности. Использование отрицательной формы команды (no) удаляет интерфейс из зоны.
Синтаксис
security-zone <NAME>
no security-zone
Параметры
<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-TWE
...
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
Блок кода |
---|
esr(config-if-gi)# security-zone trusted |
security zone-pair
Данная команда используется для создания группы правил для пары зон безопасности.
Использование отрицательной формы команды (no) удаляет указанную группу правил.
Синтаксис
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE> [ vrf <VRF> ]
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик. Допустимые варианты зон:
...
Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security zone-pair trusted self esr(config)# security zone-pair any self vrf VRF |
Якорь | ||||
---|---|---|---|---|
|
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ip firewall counters trusted self Zone-pair Rule Action Pkts Bytes ------------------------------ ---------- --------------- ---------- ---------- any/any default deny 0 0 trusted/self 1 permit 0 0 trusted/trusted 1 permit 0 0 |
Якорь | ||||
---|---|---|---|---|
|
Данная команда используется для просмотра активных IP-сессий.
Синтаксис
show ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
...
expected – команда для отображения сессий, ожидающих обработки других сессий.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ip firewall sessions Prot Inside source Inside destination Outside source Outside destination Pkts Bytes --- ------------ ---------------- ------------- ---------------- ----- ---- vrrp 4.4.4.4 224.0.0.18 4.4.4.4 224.0.0.18 -- -- |
show ip firewall sessions tracking
Данной командой отображается настройка функционала отслеживания сессий уровня приложений.
Синтаксис
show ip firewall sessions tracking
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ip firewall sessions tracking Tracking Status: FTP: Enabled H.323: Enabled GRE: Enabled PPTP: Enabled NETBIOS-NS: Enabled SIP: Enabled |
Якорь | ||||
---|---|---|---|---|
|
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ipv6 firewall counters trusted self Zone-pair Rule Action Pkts Bytes ------------------------------ ---------- --------------- ---------- ---------- any/any default deny 0 0 trusted/self 1 permit 0 0 trusted/trusted 1 permit 0 0 |
Якорь | ||||
---|---|---|---|---|
|
Данная команда используется для просмотра активных IPv6-сессий.
Синтаксис
show ipv6 firewall sessions [ vrf <VRF> ] [summary] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR>] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ expected ] [ summary ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
...
summary – выводит суммарную статистику по IPv6-сессиям.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ipv6 firewall sessions Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ----- -------------- ------------------- -------------- -------------------- ----- ----- icmp6 fc00::2 fc00::2 fc00::2 fc00::2 -- -- icmp6 fc00::2 fc00::1 fc00::2 fc00::1 -- -- |
show security zone
Данная команда используется для просмотра интерфейсов, входящих в зону безопасности.
Синтаксис
show security zone [<NAME>]
Параметры
<NAME> – имя зоны, задаётся строкой до 31 символа.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security zone Zone name Interfaces ------------- ------------------------------------------ trusted gi1/0/2-6, bridge 1, openvpn(open_test) untrusted gi1/0/1, te1/0/1-2, bridge 2, pptp(p) |
show security zone-pair
Данная команда используется для просмотра списка пар зон.
Синтаксис
show security zone-pair
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security zone-pair From zone To zone ------------- ------------- trusted untrusted trusted trusted trusted self untrusted self |
show security zone-pair configuration
Данная команда используется для просмотра правил для пары зон безопасности.
Синтаксис
show security zone-pair configuration <SOURCE-ZONE> <DESTINATION-ZONE> [<ORDER>]
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security zone-pair configuration trusted self Order: 1 Description: -- Matching pattern: Protocol: tcp(6) Src-addr: any src-port: any Dest-addr: any dest-port: 23 0 0 |
...