...
Блок кода |
---|
esr(config-security-zone-pair-rule)# action permit |
check output-interface
Данной командой разрешается очистка фаервол сессий, в случае если выходной интерфейс изменен.
Синтаксис
check output-interface
no check output-interface
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
clear ip firewall counters
Данной командой осуществляется сброс счетчиков правил Firewall.
Синтаксис
clear ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear ip firewall counters trusted self |
...
Данной командой осуществляется удаление активных IP-сессий.
Синтаксис
clear ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]
...
outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear ip firewall sessions vrf VRF1 |
...
Данной командой осуществляется сброс счетчиков правил Firewall.
Синтаксис
clear ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [<ORDER>] ] ]
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будут очищены счетчики только по данному правилу.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear ipv6 firewall counters trusted self |
...
Данной командой осуществляется удаление активных IPv6-сессий.
Синтаксис
clear ipv6 firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR> ] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ]
...
outside-destination-port – ключ для указания TCP/UDP-порта назначения в отправляемых пакетах.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
Блок кода |
---|
esr# clear ipv6 firewall sessions vrf VRF1 |
...
Данная команда используется для изменения описания конфигурируемой зоны или пары зон безопасности. Использование отрицательной формы команды (no) удаляет установленное описание.
Синтаксис
description <DESCRIPTION>
...
<DESCRIPTION> – описание зоны безопасности, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE
CONFIG-SECURITY-ZONE-PAIR
...
Использование отрицательной формы команды (no) деактивирует правило.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) включает функцию Firewall на сетевом интерфейсе.
Синтаксис
[no] ip firewall disable
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-TE
CONFIG-TWE
...
Использование отрицательной формы команды (no) устанавливает режим работы межсетевого экрана по умолчанию.
Синтаксис
ip firewall mode <MODE>
no ip firewall mode
...
Значение по умолчанию
stateful
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config-if-gi)# ip firewall mode stateless |
...
Использование отрицательной формы команды (no) отключает счетчики сессий.
Синтаксис
[no] ip firewall sessions counters
...
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions counters |
...
Использование отрицательной формы команды (no) включает фильтрацию.
Синтаксис
[no] ip firewall sessions allow-unknown
...
Значение по умолчанию
Включено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions allow-unknown |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions generic-timeout <TIME>
...
Значение по умолчанию
60 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions generic-timeout 60 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions icmp-timeout <TIME>
...
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions icmp-timeout 60 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions icmpv6-timeout <TIME>
...
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions icmpv6-timeout 60 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions max-expect <COUNT>
...
<COUNT> – размер таблицы, принимает значения [1..8553600].
Значение по умолчанию
256
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions max-expect 512 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Scroll Pagebreak |
---|
Синтаксис
ip firewall sessions max-tracking <COUNT>
...
Значение по умолчанию
512000
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions max-tracking 256000 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-connect-timeout <TIME>
...
Значение по умолчанию
60 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions tcp-connect-timeout 120 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-disconnect-timeout <TIME>
...
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions tcp-disconnect-timeout 10 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-estabilished-timeout <TIME>
...
Значение по умолчанию
120 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions tcp-estabilished-timeout 3600 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions tcp-latecome-timeout <TIME>
...
Значение по умолчанию
120 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions tcp-latecome-timeout 10 |
...
Использование отрицательной формы команды (no) отключает функцию отслеживания сессий уровня приложений для отдельных протоколов.
Синтаксис
ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> | session-lifetime <TIME> ] }
no ip firewall sessions tracking { <PROTOCOL> | sip [ port <OBJECT-GROUP-SERVICE> ] | all }
...
Отключено для всех протоколов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions tracking ftp |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions udp-assured-timeout <TIME>
...
Значение по умолчанию
180 секунд.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions udp-assured-timeout 3600 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions udp-wait-timeout <TIME>
...
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# ip firewall sessions udp-wait-timeout 60 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] application <OBJ-GROUP-APPLICATION>
...
<OBJ-GROUP-APPLICATION> – имя профиля приложений, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address { address-range { <ADDR>[-<ADDR>] |
...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
...
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-mac { mac <ADDR> | object-group <OBJ-GROUP-MAC-NAME> }
no match destination-mac
...
При указании значения «any» правило будет срабатывать для любого MAC-адреса получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
При использовании параметра «not» правило будет срабатывать для трафика, не измененного сервисом трансляции IP-адресов и портов получателя. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-nat
no match destination-nat
...
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) удаляет назначение.
Синтаксис
match [not] destination-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] fragment
no match fragmen
...
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] icmp { <ICMP_TYPE> <ICMP_CODE> | <OPTION> }
...
- administratively-prohibited;
- alternate-address;
- conversion-error;
- dod-host-prohibited;
- dod-network-prohibited;
- echo;
- echo-reply;
- host-isolated;
- host-precedence;
- host-redirect;
- host-tos-redirect;
- host-tos-unreachable;
- host-unknown;
- host-unreachable;
- information-reply;
- information-request;
- mask-reply;
- mask-request;
- network-redirect;
- network-tos-redirect;
- network-tos-unreachable;
- network-unknown;
- network-unreachable;
- option-missing;
- packet-too-big;
- parameter-problem;
- port-unreachable;
- precedence;
- protocol-unreachable;
- reassembly-timeout;
- router-advertisement;
- router-solicitation;
- source-quench;
- source-route-failed;
- time-exceeded;
- timestamp-reply;
- timestamp-request;
- traceroute.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] ip-option
no match ip-option
...
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] protocol <TYPE>
...
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } |
object-group <OBJ-GROUP-NETWORK-NAME> | any }
no match source-address
...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } |
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match source-address-port
...
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-mac { mac <ADDR> | object-group <OBJ-GROUP-MAC-NAME> }
no match source-mac
...
При указании значения «any» правило будет срабатывать для любого MAC-адреса источника.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
...
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
[no] ports firewall enable
...
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-BRIDGE
Пример
Блок кода |
---|
esr(config-bridge)# ports firewall enable |
...
Данная команда меняет шаг между созданными правилами.
Синтаксис
rearrange <VALUE>
Параметры
<VALUE> – шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
...
Данная команда меняет номер правила.
Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
...
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
...
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра "all", то будут удалены все правила для конфигурируемой пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
...
Использование отрицательной формы команды (no) удаляет заданную зону безопасности.
Синтаксис
[no] security zone [ <NAME> | all ]
...
<NAME> – имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все зоны безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security zone trusted esr(config-security-zone)# |
...
Данная команда используется для добавления выбранного сетевого интерфейса в зону безопасности. Использование отрицательной формы команды (no) удаляет интерфейс из зоны.
Синтаксис
security-zone <NAME>
no security-zone
...
<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-TE
CONFIG-TWE
...
Использование отрицательной формы команды (no) удаляет указанную группу правил.
Синтаксис
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE> [ vrf <VRF> ]
...
Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
Блок кода |
---|
esr(config)# security zone-pair trusted self esr(config)# security zone-pair any self vrf VRF |
...
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ip firewall counters Zone-pair Rule Action Pkts Bytes Description ------------------------------ ---------- --------------- ---------- ---------- -------------------- any/any default deny 0 0 -- trusted/self 1 permit 0 0 From local to router trusted/trusted 1 permit 0 0 -- |
...
Данная команда используется для просмотра активных IP-сессий.
Синтаксис
show ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]
...
expected – команда для отображения сессий, ожидающих обработки других сессий.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ip firewall sessions Codes: E - expected, U - unreplied, A - assured, C - confirmed Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status ----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------ icmp 22 10.0.22.3 10.0.22.15 10.0.22.3 10.0.22.15 1 84 C udp 19 192.168.0.15:138 192.168.0.37:138 192.168.0.15:138 192.168.0.37:138 5 1100 UC |
...
Данной командой отображается настройка функционала отслеживания сессий уровня приложений.
Синтаксис
show ip firewall sessions tracking
...
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ip firewall sessions tracking Tracking Status: FTP: Enabled H.323: Enabled GRE: Enabled PPTP: Enabled NETBIOS-NS: Enabled SIP: Enabled |
...
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ipv6 firewall counters trusted self Zone-pair Rule Action Pkts Bytes Description ------------------------------ ---------- --------------- ---------- ---------- -------------------- any/any default deny 0 0 -- trusted/self 1 permit 0 0 From local to router trusted/trusted 1 permit 0 0 -- |
...
Данная команда используется для просмотра активных IPv6-сессий.
Синтаксис
show ipv6 firewall sessions [ vrf <VRF> ] [summary] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR>] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ expected ] [ summary ]
...
summary – выводит суммарную статистику по IPv6-сессиям.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show ipv6 firewall sessions esr-15# show ipv6 firewall sessions Codes: E - expected, U - unreplied, A - assured, C - confirmed Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status ----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------ icmp6 13 fc00::2 fc00::1 fc00::2 fc00::1 -- -- C tcp 112 [fc00::2]:42156 [fc00::1]:22 [fc00::2]:42156 [fc00::1]:22 -- -- AC |
...
Данная команда используется для просмотра интерфейсов, входящих в зону безопасности.
Синтаксис
show security zone [<NAME>]
...
<NAME> – имя зоны, задаётся строкой до 31 символа.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security zone Zone name Interfaces ------------- ------------------------------------------ trusted gi1/0/2-6, bridge 1, openvpn(open_test) untrusted gi1/0/1, te1/0/1-2, bridge 2, pptp(p) |
...
Данная команда используется для просмотра списка пар зон.
Синтаксис
show security zone-pair
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security zone-pair From zone To zone VRF Description ------------- ------------- -------------------------------- ------------------------------------------- trusted untrusted -- Transit zone-pair trusted trusted -- -- trusted self WAN-2 From WAN-2 untrusted self WAN-1 From WAN-1 |
...
Данная команда используется для просмотра правил для пары зон безопасности.
Синтаксис
show security zone-pair configuration <SOURCE-ZONE> <DESTINATION-ZONE> [<ORDER>]
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
Блок кода |
---|
esr# show security zone-pair configuration trusted self Order: 1 Description: -- Matching pattern: Protocol: icmp Fragment: IP options: Source MAC: any Destination MAC: any Source address: 10.0.34.12 Destination address: 10.0.34.90 Destination NAT: -- Application: -- Action: Permit Status: Enabled -------------------------------------------------------------------------------- |
...