...
- permit – прохождение трафика разрешается;
- deny – прохождение трафика запрещается;
- reject – прохождение трафика запрещается, а также посылается отправителю ответ об ошибке;
- netflow-sample – прохождение трафика разрешается, осуществляется экспорт статистики по протоколу Netflow;
- sflow-sample – прохождение трафика разрешается, осуществляется экспорт статистики по протоколу sFlow;
- rate-limit total pps <RATE> – прохождение трафика разрешается, ограничивается количество обрабатываемых правилом пакетов в секунду. Команда применима только в правилах между зонами any для наборов правил в зону self:
- <RATE> – количество пакетов в секунду, принимает значения [1..10000].
- <RATE> – количество пакетов в секунду, принимает значения [1..10000].
- session-limit [total <SESSION>] [per-source-host <SESSION>] – прохождение трафика разрешается и ограничивается число одновременных сессий трафика:
- total <SESSION> – ограничивается общее число сессий трафика, попадающих под данное правило:
- <SESSION> – число одновременных сессий, принимает значения [1..10000].
- [per-source-host <SESSION> – ограничивается число сессий трафика от одного хоста источника:
- <SESSION> – число одновременных сессий, принимает значения [1..10000].
- total <SESSION> – ограничивается общее число сессий трафика, попадающих под данное правило:
- log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу.
...
CONFIG-WIREGUARD-SERVER
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
| Блок кода |
|---|
esr(config-if-gi)# ip firewall disable |
...
| Блок кода |
|---|
esr(config)# ip firewall mode stateless |
ip firewall sessions
...
allow-unknown
Данной командой отключается фильтрация пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения
Командой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда, когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов. Включение счетчиков снижает производительность маршрутизатора.
Команды для просмотра счетчиков и сессий описаны в разделах Управление Firewall#show ip firewall counters, Управление Firewall#show ip firewall sessions, Управление Firewall#show ipv6 firewall counters и Управление Firewall#show ipv6 firewall sessions.
Использование отрицательной формы команды (no) отключает счетчики сессийвключает фильтрацию.
Синтаксис
[no] ip firewall sessions countersallow-unknown
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions counters |
ip firewall sessions allow-unknown
Включено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions allow-unknown |
ip firewall sessions counters
Командой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда, когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов. Включение счетчиков снижает производительность маршрутизатора.
Команды для просмотра счетчиков и сессий описаны в разделах show ip firewall counters, show ip firewall sessions, show ipv6 firewall counters и show ipv6 firewall sessionsДанной командой отключается фильтрация пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения.
Использование отрицательной формы команды (no) включает фильтрациюотключает счетчики сессий.
Синтаксис
[no] ip firewall sessions allow-unknowncounters
Параметры
Команда не содержит параметров.
Значение по умолчанию
ВключеноОтключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions allow-unknowncounters |
ip firewall sessions generic-timeout
...
CONFIG-WIREGUARD-SERVER
CONFIG-WIREGUARD-TUNNEL-PEER
Пример
| Блок кода |
|---|
esr(config-if-gi)# security-zone trusted |
...
| Блок кода |
|---|
esr(config)# security zone-pair trusted self esr(config)# security zone-pair any self vrf VRF |
...
show ip firewall counters
...
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
...
| Блок кода |
|---|
esr# show ip firewall counters Zone-pair Rule Action Pkts Bytes Description ------------------------------ ---------- --------------- ---------- ---------- -------------------- any/any default deny 0 0 -- trusted/self 1 permit 0 0 From local to router trusted/trusted 1 permit 0 0 -- |
...
show ip firewall sessions
Данная команда используется для просмотра активных IP-сессий.
...