...
Данная команда используется для отключения функции Firewall глобально на всех сетевых интерфейсах.
Использование отрицательной формы команды (no) включает функцию Firewall глобально.
Синтаксис
[no] ip firewall disableПараметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall disable |
ip firewall disable
Данная команда используется для отключения функции Firewall на сетевом интерфейсе.
Использование отрицательной формы команды (no) включает функцию Firewall на сетевом интерфейсе.
Синтаксис
[no] ip firewall disable
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
...
CONFIG-WIREGUARD-SERVER
CONFIG-WIREGUARD-PEER
Пример
| Блок кода |
|---|
esr(config-if-gi)# ip firewall disable |
...
Использование отрицательной формы команды (no) устанавливает режим работы межсетевого экрана по умолчанию.
Синтаксис
ip firewall mode <MODE>
no ip firewall mode
Параметры
<MODE> – режим работы межсетевого экрана, может принимать значения:
...
Значение по умолчанию
stateful
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall mode stateless |
ip firewall sessions
...
counters
Командой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда, когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов. Включение счетчиков снижает производительность маршрутизатора.
Команды для просмотра счетчиков и сессий описаны в разделах show ip firewall counters, show ip firewall sessions, show ipv6 firewall counters и show ipv6 firewall sessions.
Использование отрицательной формы команды (no) отключает счетчики сессий.
Синтаксис
Данной командой настраивается фильтрация пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения.
Использование отрицательной формы команды (no) включает отбрасывание всех неизвестных сессий.
Синтаксис
ip firewall sessions unknown <ACTION>[no] ip firewall sessions unknowncounters
Параметры
<ACTION> – правило обработки неизвестных сессий для межсетевого экрана:
- permit – разрешить неизвестные сессии.
- deny – отбрасывать неизвестные сессии.
- reject – отбрасывать неизвестные сессии и отправлять обратно пакет с ошибкой.
Команда не содержит параметров.
Значение по умолчанию
rejectОтключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions unknown permitcounters |
ip firewall sessions
...
generic-timeout
Данной командой определяется время жизни сессии для неподдерживаемых протоколов, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий
Командой выполняется включение счетчиков сессий для NAT и Firewall. Счетчики увеличиваются только тогда, когда устанавливается новая сессия. Для установленных сессий увеличения значений счетчиков не происходит при прохождении пакетов. Включение счетчиков снижает производительность маршрутизатора.
Команды для просмотра счетчиков и сессий описаны в разделах show ip firewall counters, show ip firewall sessions, show ipv6 firewall counters и show ipv6 firewall sessions.
Использование отрицательной формы команды (no) отключает счетчики сессий. устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions generic-timeout <TIME>no[no] ip firewall sessions counters
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip firewall sessions counters |
ip firewall sessions generic-timeout
Данной командой определяется время жизни сессии для неподдерживаемых протоколов, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip firewall sessions generic-timeout <TIME>no ip firewall sessions generic-timeoutПараметры
generic-timeoutПараметры
<TIME<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].
Значение по умолчанию
60 секунд.
Необходимый уровень привилегий
...
<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
...
<TIME> – время жизни ICMPv6-сессии, принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
...
- ESR-1511, ESR-1700, ESR-3100, ESR-3200L, ESR-3200, ESR-33003250, vESR – 8553600 ESR-3300, ESR-3350, vESR – 8553600
- ESR-1500 – 2430000
- ESR-1000, ESR-1200 – 3130000
- ESR-200 – 2259000
- ESR-100 – 1574000
Scroll Pagebreak - ESR-3x – 3260000
- ESR-2x – 2940000
- ESR-15 – 300000
- ESR-1x – 440000
Значение по умолчанию
256
Необходимый уровень привилегий
...
- ESR-1511, ESR-1700, ESR-3100, ESR-3200L, ESR-3200, ESR-3250, ESR-3300, ESR-3350, vESR – 8553600– 8553600
- ESR-1500 – 2430000
- ESR-1000, ESR-1200 – 3130000
- ESR-200 – 2259000
- ESR-100 – 1574000
- ESR-3x – 3260000
- ESR-2x – 2940000
- ESR-15 – 300000
- ESR-1x – 440000
Значение по умолчанию
ESR-1x, ESR-15 – 64000
Для остальных моделей – 512000
...
<TIME> – время жизни TCP-сессии в состоянии «соединение устанавливается», принимает значения в секундах [1..8553600].
Значение по умолчанию
60 секунд.
Необходимый уровень привилегий
...
<TIME> – время жизни TCP-сессии в состоянии «соединение закрывается», принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд
Необходимый уровень привилегий
...
<TIME> – время жизни TCP-сессии в состоянии «соединение установлено», принимает значения в секундах [1..8553600].
Значение по умолчанию
120 секунд.
Необходимый уровень привилегий
...
<TIME> – время ожидания, принимает значения в секундах [1..8553600].
Значение по умолчанию
120 секунд.
Необходимый уровень привилегий
...
<TIME> – время жизни отслеживаемой SIP-сессии, по истечении которого она считается устаревшей и удаляется из таблицы отслеживаемых сессий. Принимает значения в секундах [1..8553600].
Значение по умолчанию
Отключено для всех протоколов.
...
<TIME> – время жизни UDP-сессии в состоянии «соединение подтверждено», принимает значения в секундах [1..8553600].
Значение по умолчанию
180 секунд.
Необходимый уровень привилегий
...
<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600].
Значение по умолчанию
30 секунд.
Необходимый уровень привилегий
...
| Блок кода |
|---|
esr(config)# ip firewall sessions udp-wait-timeout 60 |
...
ip firewall sessions unknown
Данной командой устанавливается профиль приложений, для которых должно срабатывать правило. Данная функция используется для фильтрации по приложениям (механизм DPI).При использовании параметра «not» правило будет срабатывать для приложений, которые не входят в указанный профильнастраивается фильтрация пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения.
Использование отрицательной формы команды (no) отменяет назначениевключает отбрасывание всех неизвестных сессий.
| Scroll Pagebreak |
|---|
Синтаксис
match [not] application <OBJ-GROUP-APPLICATION>no match applicationПараметры
<OBJ-GROUP-APPLICATION> – имя профиля приложений, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
ip firewall sessions unknown <ACTION>[no] ip firewall sessions unknownПараметры
<ACTION> – правило обработки неизвестных сессий для межсетевого экрана:
- permit – разрешить неизвестные сессии;
- deny – отбрасывать неизвестные сессии;
- reject – отбрасывать неизвестные сессии и отправлять обратно пакет с ошибкой.
Значение по умолчанию
reject
Необходимый уровень привилегий
15
Командный режим
CONFIGCONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# ip firewall matchsessions applicationunknown APP_DENYpermit |
match
...
application
Данной командой устанавливается профиль IP-адресов получателяприложений, для которых должно срабатывать правило. Данная функция используется для фильтрации по приложениям (механизм DPI).
При использовании параметра «not» правило будет срабатывать для IP-адресов получателяприложений, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address { address-range { <ADDR>[-<ADDR>] |<IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group <OBJ-GROUP-NETWORK-NAME> | any }no match destination-addressПараметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
application <OBJ-GROUP-APPLICATION>no match applicationПараметры
<OBJ-GROUP-APPLICATION> – имя профиля приложений, задаётся строкой до 31 символа.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match application APP_DENY |
match destination-address
Данной командой устанавливается профиль IP-адресов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для IP-адресов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address { address-range { <ADDR>[-<ADDR>] |<IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group { network <OBJ-GROUP-NETWORK-NAME> |
domain-name <OBJ-GROUP-DOMAIN-NAME> } | any }
no match destination-addressПараметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];
object-group network <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа;
object-group domain-name <OBJ-GROUP-DOMAIN-NAME> – имя профиля доменных имен, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-pair-zone-rule)# match destination-address object-group network remote_workspace |
match destination-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для связок IP-адресов и TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }no match destination-address-portПараметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения , номер порта, принимает значение [1..3265535]; <IPv6-ADDR/LEN> – IPv6. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения , номер порта, принимает значение [1..12865535];
object-group <OBJgroup <OBJ-GROUP-NETWORKADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа.
При указании значения «any» «any» правило будет срабатывать для любого IP-адреса получателяне будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-zone-rule)# match destination-address object-group remote_workspacelocal |
match destination-
...
mac
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов MAC-адрес получателя, для которых которого должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для связок IPMAC-адресов и TCP/UDP-портов получателя, которые не входят в указанный профильотличных от указанного.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address-portmac { address-portmac { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match destination-address-portПараметры
MAC-NAME> }
no match destination-mac
Параметры
<ADDR> – МАС-адрес получателя, задаётся в виде XX:XX:XX:XX:XX:XXaddress-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [000..FFFF], номер порта, принимает значение [1..65535];
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа.
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
FF];
object-group <OBJ-GROUP-MAC-NAME> – имя профиля MAC-адресов, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого MAC-адреса получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match destination-mac mac A8:F9:4B:AA:00:40 |
match destination-nat
Данной командой устанавливается ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.
При использовании параметра «not» правило будет срабатывать для трафика, не измененного сервисом трансляции IP-адресов и портов получателя. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-nat
no match destination-nat
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match destination-address object-group localnat |
match destination-
...
port
Данной командой устанавливается MAC-адрес профиль TCP/UDP-портов получателя, для которого которых должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для MACTCP/UDP-адресов портов получателя, отличных от указанногокоторые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет удаляет назначение.
Синтаксис
match [not] destination-macport { mac <ADDR>port-range <PORT>[-<PORT>] | object-group <OBJ<PORT-GROUP-MACSET-NAME> | any }
no match destination-macport
Параметры
<ADDR> – МАС-адрес получателя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
<PORT-SET-NAME> – имя профиля TCP/UDP-портовobject-group <OBJ-GROUP-MAC-NAME> – имя профиля MAC-адресов, задаётся строкой до 31 символа.
При указании значения «any» «any» правило будет срабатывать для любого MAC TCP/UDP-адреса порта получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match destination-macport mac A8:F9:4B:AA:00:40 |
match destination-nat
object-group ssh |
match fragment
Данной командой определяются фрагментированные пакеты, направленные на устройство. Команда применима только в правилах между зонами any self. Под действие правила попадают второй и последующие фрагменты пакета. Обработка пакетов этим правилом происходит до трансляции адресов DNATДанной командой устанавливается ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.
При использовании параметра «not» правило будет срабатывать для нефрагментированных пакетов.
трафика, не измененного сервисом трансляции IP-адресов и портов получателя. Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-natfragment
no match destination-natfragmen
Параметры
...
Отсутствуют.
Значение по умолчанию
ОтключеноКоманда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match destination-natfragment |
match
...
icmp
Данная команда используется для настройки параметров протокола ICMP, если он выбран командой «match protocol». Данной командой устанавливается тип и код сообщений протокола ICMPДанной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для TCP/UDP-портов получателя, которые не входят в указанный профильвсех типов и кодов сообщений протокола ICMP, кроме указанных.
Использование отрицательной формы команды (no) удаляет отменяет назначение.
Синтаксис
match [not] destination-porticmp { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any<ICMP_TYPE> <ICMP_CODE> | <OPTION> }
no match destination-porticmp
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строка до 31 символа.
<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];
<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match destination-port object-group ssh |
match fragment
Данной командой определяются фрагментированные пакеты, направленные на устройство. Команда применима только в правилах между зонами any self. Под действие правила попадают второй и последующие фрагменты пакета. Обработка пакетов этим правилом происходит до трансляции адресов DNAT.
При использовании параметра «not» правило будет срабатывать для нефрагментированных пакетов.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] fragment
no match fragmen
Параметры
Отсутствуют.
Значение по умолчанию
...
кода сообщения протокола ICMP;
<OPTION> – стандартные типы ICMP-сообщений, могут принимать значения:
- administratively-prohibited;
- alternate-address;
- conversion-error;
- dod-host-prohibited;
- dod-network-prohibited;
- echo;
- echo-reply;
- host-isolated;
- host-precedence;
- host-redirect;
- host-tos-redirect;
- host-tos-unreachable;
- host-unknown;
- host-unreachable;
- information-reply;
- information-request;
- mask-reply;
- mask-request;
- network-redirect;
- network-tos-redirect;
- network-tos-unreachable;
- network-unknown;
- network-unreachable;
- option-missing;
- packet-too-big;
- parameter-problem;
- port-unreachable;
- precedence;
- protocol-unreachable;
- reassembly-timeout;
- router-advertisement;
- router-solicitation;
- source-quench;
- source-route-failed;
- time-exceeded;
- timestamp-reply;
- timestamp-request;
- traceroute.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match fragment# match icmp 2 any |
match
...
icmp6
Данная команда используется для настройки параметров протокола ICMPICMP6, если он выбран командой «match protocol». Данной командой устанавливается тип и код сообщений протокола ICMPICMP6, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для всех типов и кодов сообщений протокола ICMPICMP6, кроме указанных.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] icmpicmp6 { <ICMP<ICMP6_TYPE> <ICMP<ICMP6_CODE> | <OPTION> }
no match icmpicmp6
Параметры
<ICMPICMP6_TYPE> – тип сообщения протокола ICMP ICMP6, принимает значения [0..255];
<ICMPICMP6_CODE> – код сообщения протокола ICMP ICMP6, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMPICMP6;
<OPTION> – стандартные типы ICMP ICMP6-сообщений, могут принимать значения:
...
- alternate-address;conversion-errorunreachable;
- dodbeyond-hostsource-prohibitedaddress;
- dod-network-prohibited;
- echo;
- echo-reply;
- host-isolated;
- host-precedence;
- host-redirect;
- host-tos-redirect;
- host-tos-unreachable;
- host-unknown;
- host-unreachable;
- information-reply;
- information-request;
- mask-reply;
- mask-request;
- network-redirect;
- network-tos-redirect;
- network-tos-unreachable;
- network-unknown;
- network-unreachable;
- error-in-p-route;
- error-source-routing-header;
- headers-too-long;
- multicast-listener-done;
- multicast-listener-query;
- multicast-listener-report;
- neighbor-advertisement;
- neighbor-solicitation;
- no-communication;
- no-routeoption-missing;
- packet-too-big;
- parameter-problem;
- port-unreachable;
- precedencereassembly-timeout;
- protocol-unreachableredirect;
- reassemblyreject-timeoutroute;
- router-advertisement;
- router-solicitation;
- source-quench;
- source-route-failed;
- time-exceeded;
- timestamp-reply;
- timestamp-request;
- traceroute.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match icmpicmp6 2 any |
match ip-option
Данной командой определяются пакеты, содержащие опции в IP-заголовках. Команда применима только в правилах между зонами any self.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] ip-option
no match ip-option
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match ip-options |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] protocol <TYPE>
...
match [not] protocol-id <ID>
no match protocol-id
Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, icmp6, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdprsvp, l2tp, gre.
При указании значения «any» правило будет срабатывать для любых протоколов;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match protocol udp |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } |
object-group { network <OBJ-GROUP-NETWORK-NAME> | domain-name <OBJ-GROUP-DOMAIN-NAME> } | any }
no match source-address Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];
object-group <OBJgroup network <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа;
object-group domain-name <OBJ-GROUP-DOMAIN-NAME> – имя профиля доменных имен, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match source-address object-group network remote |
match source-address-port
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } |
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match source-address-portПараметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов; IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; номер порта, принимает значение [1..65535]; <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; номер порта, принимает значение [1..65535];
...
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match source-address-port object-group admin |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-mac { mac <ADDR> | object-group <OBJ-GROUP-MAC-NAME> }
no match source-macПараметры
mac <ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
...
При указании значения «any» правило будет срабатывать для любого MAC-адреса источника.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match source-mac mac A8:F9:4B:AA:00:40 |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }no match source-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателяотправителя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR-RULE
Пример
| Блок кода |
|---|
esr(config-security-zone-pair-rule)# match source-port object-group telnet |
...
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
[no] ports firewall enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
15
Командный режим
CONFIG-BRIDGE
Пример
| Блок кода |
|---|
esr(config-bridge)# ports firewall enable |
...
Данная команда меняет шаг между созданными правилами.
Синтаксис
rearrange <VALUE>
Параметры
<VALUE> – шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
Пример
| Блок кода |
|---|
esr(config-security-zone-pair)# rearrange 10 |
...
Данная команда меняет номер правила.
Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
Параметры
<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
Пример
| Блок кода |
|---|
esr(config-security-zone-pair)# renumber rule 13 100 |
...
Использование отрицательной формы команды (no) удаляет указанное правило.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1..10000]. Если при удалении используется значение параметра "all", то будут удалены все правила для конфигурируемой пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SECURITY-ZONE-PAIR
Пример
| Блок кода |
|---|
esr(config-security-zone-pair)# rule 10 esr(config-security-zone-pair-rule)# |
...
Использование отрицательной формы команды (no) удаляет заданную зону безопасности.
Синтаксис
[no] security zone [ <NAME> | all ]
Параметры
<NAME> – имя создаваемой зоны безопасности, задаётся строкой до 12 символов. При выполнении отрицательной формы команды со значением параметра «all» будут удалены все зоны безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security zone trusted esr(config-security-zone)# |
...
Данная команда используется для добавления выбранного сетевого интерфейса в зону безопасности. Использование отрицательной формы команды (no) удаляет интерфейс из зоны.
Синтаксис
security-zone <NAME>
no security-zone
Параметры
<NAME> – имя зоны безопасности, задаётся строкой до 12 символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
...
CONFIG-WIREGUARD-SERVER
CONFIG-WIREGUARD-PEER
Пример
| Блок кода |
|---|
esr(config-if-gi)# security-zone trusted |
...
Использование отрицательной формы команды (no) удаляет указанную группу правил.
Синтаксис
[no] security zone-pair <SOURCE-ZONE> <DESTINATION-ZONE> [ vrf <VRF> ]
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик. Допустимые варианты зон:
...
Если при удалении используется значение параметра «all», то будут удалены все конфигурируемые пары зон безопасности.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# security zone-pair trusted self esr(config)# security zone-pair any self vrf VRF |
...
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ip firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip firewall counters Zone-pair Rule Action Pkts Bytes Description ------------------------------ ---------- --------------- ---------- ---------- -------------------- any/any default deny 0 0 -- trusted/self 1 permit 0 0 From local to router trusted/trusted 1 permit 0 0 -- |
...
Данная команда используется для просмотра активных IP-сессий.
Синтаксис
show ip firewall sessions [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR>] [ outside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ] [ configuration ] [ expected ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
...
expected – команда для отображения сессий, ожидающих обработки других сессий.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip firewall sessions
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
icmp 22 10.0.22.3 10.0.22.15 10.0.22.3 10.0.22.15 1 84 C
udp 19 192.168.0.15:138 192.168.0.37:138 192.168.0.15:138 192.168.0.37:138 5 1100 UC |
...
Данной командой отображается настройка функционала отслеживания сессий уровня приложений.
Синтаксис
show ip firewall sessions tracking
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip firewall sessions tracking
Tracking Status:
FTP: Enabled
H.323: Enabled
GRE: Enabled
PPTP: Enabled
NETBIOS-NS: Enabled
SIP: Enabled |
...
Данная команда используется для просмотра статистики по пакетам, проходящим между зонами, для которых не установлена сессия.
Синтаксис
show ipv6 firewall counters [ vrf <VRF> ] [ <SOURCE-ZONE> [ <DESTINATION-ZONE> [ <ORDER> ] ] ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены счетчики правил в указанном VRF;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ipv6 firewall counters trusted self Zone-pair Rule Action Pkts Bytes Description ------------------------------ ---------- --------------- ---------- ---------- -------------------- any/any default deny 0 0 -- trusted/self 1 permit 0 0 From local to router trusted/trusted 1 permit 0 0 -- |
...
Данная команда используется для просмотра активных IPv6-сессий.
Синтаксис
show ipv6 firewall sessions [ vrf <VRF> ] [summary] [ protocol <TYPE> ] [ inside-source-address <IPV6-ADDR>] [ outiside-source-address <IPV6-ADDR> ] [ inside-destination-address <IPV6-ADDR> ] [ outside-destination-address <IPV6-ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ expected ] [ summary ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены активные сессии в указанном VRF;
...
summary – выводит суммарную статистику по IPv6-сессиям.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ipv6 firewall sessions
esr-15# show ipv6 firewall sessions
Codes: E - expected, U - unreplied,
A - assured, C - confirmed
Prot Aging Inside source Inside destination Outside source Outside destination Pkts Bytes Status
----- ---------- --------------------- --------------------- --------------------- --------------------- ---------- ---------- ------
icmp6 13 fc00::2 fc00::1 fc00::2 fc00::1 -- -- C
tcp 112 [fc00::2]:42156 [fc00::1]:22 [fc00::2]:42156 [fc00::1]:22 -- -- AC |
...
Данная команда используется для просмотра интерфейсов, входящих в зону безопасности.
Синтаксис
show security zone [<NAME>]
Параметры
<NAME> – имя зоны, задаётся строкой до 31 символа.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security zone Zone name Interfaces ------------- ------------------------------------------ trusted gi1/0/2-6, bridge 1, openvpn(open_test) untrusted gi1/0/1, te1/0/1-2, bridge 2, pptp(p) |
...
Данная команда используется для просмотра списка пар зон.
Синтаксис
show security zone-pair
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security zone-pair From zone To zone VRF Description ------------- ------------- -------------------------------- ------------------------------------------- trusted untrusted -- Transit zone-pair trusted trusted -- -- trusted self WAN-2 From WAN-2 untrusted self WAN-1 From WAN-1 |
...
Данная команда используется для просмотра правил для пары зон безопасности.
Синтаксис
show security zone-pair configuration <SOURCE-ZONE> <DESTINATION-ZONE> [<ORDER>]
Параметры
<SOURCE-ZONE> – зона безопасности, из которой поступает трафик;
...
<ORDER> – номер правила, принимает значения [1..10000]. При указании номера правила будет показана информация только по данному правилу.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show security zone-pair configuration trusted self
Order: 1
Description: --
Matching pattern:
Protocol: icmp
Fragment:
IP options:
Source MAC: any
Destination MAC: any
Source address: 10.0.34.12
Destination address: 10.0.34.90
Destination NAT: --
Application: --
Action: Permit
Status: Enabled
-------------------------------------------------------------------------------- |
...