...
<NAME> – имя зоны изоляции, задается сторокой строкой до 12 символов.
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
...
match [not] destination-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group <OBJ-GROUP-NETWORK-NAME> | any }
no match destination-address
Параметры
<OBJ-GROUP-NETWORK-NAME> address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];
object-group <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресаадресов, задаётся строкой до 31 символа.
При указании значения «any» «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
...
| Блок кода |
|---|
esr(config-snat-rule)# match destination-address object-group remote |
match destination-address-port
...
match [not] destination-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match destination-address
Параметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535].
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа.
При указании значения «any» «any» правило не будет учитывать данный способ фильтрации.
...
| Блок кода |
|---|
esr(config-snat-rule)# match destination-address object-group local
|
match destination-port
...
match [not] destination-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }
no match destination-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
<PORT-SET-NAME> – имя профиля портаTCP/UDP-портов, задаётся строкой строка до 31 символа.
При указании значения «any» «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config-snat-rule)# match destination-port object-group ssh |
match icmp
Данная команда используется для настройки параметров протокола ICMP, если он выбран командой «match protocol». Командой устанавливается тип и код сообщений протокола ICMP, для которых должно срабатывать правило.
...
match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group <OBJ-GROUP-NETWORK-NAME> | any }
no match source-address
Параметры
<OBJ-address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];
object-group <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
При указании значения «any» «any» правило будет срабатывать для любого IP-адреса отправителяполучателя.
Значение по умолчанию
any
...
| Блок кода |
|---|
esr(config-snat-rule)# match source-address object-group local |
match source-address-port
...
match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
Параметры
<OBJ-address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535].
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа.
При указании значения «any» «any» правило не будет учитывать данный способ фильтрации.
...
| Блок кода |
|---|
esr(config-snat-rule)# match source-address-port object-group admin |
match source-port
Данной командой устанавливается профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило.
...
Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }
no match source-port
Параметры
<PORT-SET-NAME> – имя профиля порта, задаётся строкой port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строка до 31 символа.
При указании значения «any» «any» правило будет срабатывать для любого TCP/UDP-порта отправителяполучателя.
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config-snat-rule)# match source-port object-group telnet |
nat alg
Данная команда включает функцию трансляции IP-адресов в заголовках уровня приложений.
...
Синтаксис
show ip nat <TYPE> pools
| Scroll Pagebreak |
|---|
<TYPE> – тип пулов, для просмотра:
...
- source – группа правил для трансляции IP-адреса и TCP/UDP-порта отправителя;
- destination – группа правил для трансляции IP-адреса и TCP/UDP-порта получателя;.
[NAME] – имя группы правил, опциональный параметр. Если имя не задано – будет выведен список всех групп правил.
...
- inside-source-address – ключ для указания IP-адреса источника до трансляции;
- inside-destination-address – ключ для указания IP-адреса назначения на входе в маршрутизатор;
- outiside-source-address – ключ для указания IP-адреса источника после трансляции;
- outside-destination-address – ключ для указания IP-адреса назначения на выходе из маршрутизатора.
inside-source-port – ключ для указания TCP/UDP-порта отправителя до трансляции;
outside-source-port – ключ для указания TCP/UDP-порта отправителя после трансляции;
inside-destination-port – ключ для указания TCP/UDP-порта назначения до трансляции;
outside-destination-port – ключ для указания TCP/UDP-порта назначения после трансляции.
Для Destination NAT:
- inside-source-address – ключ для указания IP-адреса источника на выходе из маршрутизатора;
- inside-destination-address – ключ для указания IP-адреса назначения после трансляции;
- outiside-source-address – ключ для указания IP-адреса источника на входе в маршрутизатор;
- outside-destination-address – ключ для указания IP-адреса назначения до трансляции;
inside-source-port – ключ для указания TCP/UDP-порта отправителя до трансляции;
outside-source-port – ключ для указания TCP/UDP-порта отправителя после трансляции;
inside-destination-port – ключ для указания TCP/UDP-порта назначения до трансляции;
outside-destination-port – ключ для указания TCP/UDP-порта назначения после трансляции.
...