...
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match icmp 2 any |
match icmp6
Данная команда используется для настройки параметров протокола ICMP6, если он выбран командой «match protocol». Данной командой устанавливается тип и код сообщений протокола ICMP6, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для всех типов и кодов сообщений протокола ICMP6, кроме указанных.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] icmp6 { <ICMP6_TYPE> <ICMP6_CODE> | <OPTION> }no match icmp6Параметры
<ICMP6_TYPE> – тип сообщения протокола ICMP6, принимает значения [0..255];
<ICMP6_CODE> – код сообщения протокола ICMP6, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP6;
<OPTION> – стандартные типы ICMP6-сообщений, могут принимать значения:
- address-unreachable;
- beyond-source-address;
- echo;
- echo-reply;
- error-in-p-route;
- error-source-routing-header;
- headers-too-long;
- multicast-listener-done;
- multicast-listener-query;
- multicast-listener-report;
- neighbor-advertisement;
- neighbor-solicitation;
- no-communication;
- no-route;
- packet-too-big;
- parameter-problem;
- port-unreachable;
- reassembly-timeout;
- redirect;
- reject-route;
- router-advertisement;
- router-solicitation;
- time-exceeded.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match icmp6 2 any |
match ip-option
Данной командой определяются пакеты, содержащие опции в IP-заголовках. Команда применима только в правилах между зонами any self.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] ip-option
no match ip-option
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match ip-options |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] protocol <TYPE>
...
match [not] protocol-id <ID>
no match protocol-id
Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, icmp6, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rsvp, l2tp, gre.
...
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match protocol udp |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } |
object-group <OBJ-GROUP-NETWORK-NAME> | any }
no match source-address Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match source-address object-group remote |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } |
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match source-address-portПараметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов; IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; номер порта, принимает значение [1..65535]; <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; номер порта, принимает значение [1..65535];
...
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match source-address-port object-group admin |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-mac { mac <ADDR> | object-group <OBJ-GROUP-MAC-NAME> }
no match source-macПараметры
mac <ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
...
При указании значения «any» правило будет срабатывать для любого MAC-адреса источника.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match source-mac mac A8:F9:4B:AA:00:40 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }no match source-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match source-port object-group telnet |
...
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
[no] ports firewall enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-BRIDGE
Пример
| Блок кода |
|---|
esr(config-bridge)# ports firewall enable |
...
Данная команда меняет шаг между созданными правилами.
Синтаксис
rearrange <VALUE>
Параметры
<VALUE> – шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
Пример
| Блок кода |
|---|
esr(config-security-zone-pair)# rearrange 10 |
...
Данная команда меняет номер правила.
Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
Параметры
<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
Пример
| Блок кода |
|---|
esr(config-security-zone-pair)# renumber rule 13 100 |
...
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра "all", то будут удалены все правила для конфигурируемой пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
Пример
| Блок кода |
|---|
esr(config-security-zone-pair)# rule 10 esr(config-security-zone-pair-rule)# |
...
Использование отрицательной формы команды (no) удаляет заданную зону безопасности.
Синтаксис
[no] security zone [ <NAME> | all ]
Параметры
<NAME> – имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все зоны безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security zone trusted esr(config-security-zone)# |
...
Данная команда используется для добавления выбранного сетевого интерфейса в зону безопасности. Использование отрицательной формы команды (no) удаляет интерфейс из зоны.
Синтаксис
security-zone <NAME>
no security-zone
Параметры
<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
...
CONFIG-WIREGUARD-SERVER
CONFIG-WIREGUARD-PEER
Пример
| Блок кода |
|---|
esr(config-if-gi)# security-zone trusted |
...
Использование отрицательной формы команды (no) удаляет указанную группу правил.
Синтаксис
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE> [ vrf <VRF> ]
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик. Допустимые варианты зон:
...
Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security zone-pair trusted self esr(config)# security zone-pair any self vrf VRF |
...
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip firewall counters Zone-pair Rule Action Pkts Bytes Description ------------------------------ ---------- --------------- ---------- ---------- -------------------- any/any default deny 0 0 -- trusted/self 1 permit 0 0 From local to router trusted/trusted 1 permit 0 0 -- |
...
Данная команда используется для просмотра активных IP-сессий.
Синтаксис
show ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
...
expected – команда для отображения сессий, ожидающих обработки других сессий.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip firewall sessions
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
icmp 22 10.0.22.3 10.0.22.15 10.0.22.3 10.0.22.15 1 84 C
udp 19 192.168.0.15:138 192.168.0.37:138 192.168.0.15:138 192.168.0.37:138 5 1100 UC |
...
Данной командой отображается настройка функционала отслеживания сессий уровня приложений.
Синтаксис
show ip firewall sessions tracking
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip firewall sessions tracking
Tracking Status:
FTP: Enabled
H.323: Enabled
GRE: Enabled
PPTP: Enabled
NETBIOS-NS: Enabled
SIP: Enabled |
...
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ipv6 firewall counters trusted self Zone-pair Rule Action Pkts Bytes Description ------------------------------ ---------- --------------- ---------- ---------- -------------------- any/any default deny 0 0 -- trusted/self 1 permit 0 0 From local to router trusted/trusted 1 permit 0 0 -- |
...
Данная команда используется для просмотра активных IPv6-сессий.
Синтаксис
show ipv6 firewall sessions [ vrf <VRF> ] [summary] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR>] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ expected ] [ summary ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
...
summary – выводит суммарную статистику по IPv6-сессиям.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ipv6 firewall sessions
esr-15# show ipv6 firewall sessions
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
icmp6 13 fc00::2 fc00::1 fc00::2 fc00::1 -- -- C
tcp 112 [fc00::2]:42156 [fc00::1]:22 [fc00::2]:42156 [fc00::1]:22 -- -- AC |
...
Данная команда используется для просмотра интерфейсов, входящих в зону безопасности.
Синтаксис
show security zone [<NAME>]
Параметры
<NAME> – имя зоны, задаётся строкой до 31 символа.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security zone Zone name Interfaces ------------- ------------------------------------------ trusted gi1/0/2-6, bridge 1, openvpn(open_test) untrusted gi1/0/1, te1/0/1-2, bridge 2, pptp(p) |
...
Данная команда используется для просмотра списка пар зон.
Синтаксис
show security zone-pair
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security zone-pair From zone To zone VRF Description ------------- ------------- -------------------------------- ------------------------------------------- trusted untrusted -- Transit zone-pair trusted trusted -- -- trusted self WAN-2 From WAN-2 untrusted self WAN-1 From WAN-1 |
...
Данная команда используется для просмотра правил для пары зон безопасности.
Синтаксис
show security zone-pair configuration <SOURCE-ZONE> <DESTINATION-ZONE> [<ORDER>]
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security zone-pair configuration trusted self
Order: 1
Description: --
Matching pattern:
Protocol: icmp
Fragment:
IP options:
Source MAC: any
Destination MAC: any
Source address: 10.0.34.12
Destination address: 10.0.34.90
Destination NAT: --
Application: --
Action: Permit
Status: Enabled
-------------------------------------------------------------------------------- |
...