Для перехода в данный режим необходимо в режиме конфигурирования выполнить команду firewall static.
SBC-[CONFIG]> firewall static Entering static firewall mode
SBC-[CONFIG]-[FIREWALL]
Команда | Параметр | Значение | Действие |
? | Показать перечень доступных команд | ||
add profile | <PROF_NAME> | разрешено использовать буквы, цифры, символ '_', максимум 63 символf | Добавить профиль firewall |
add rule default | <direction> <ENABLE> <RULE_NAME> <S_IP> <S_MASK> <R_IP> <R_MASK> <PROTO> <S_PORT_START> <S_PORT_END> <D_PORT_START> <D_PORT_END> <ICMP_TYPE> <ACTION>
| Input output enable/disable Текст, макс. 63 символа AAA.BBB.CCC.DDD AAA.BBB.CCC.DDD AAA.BBB.CCC.DDD AAA.BBB.CCC.DDD any tcp udp icmp tcp+udp 1-65535 1-65535 1-65535 1-65535 none anyecho-reply destination- unreachable network-unreachable host-unreachable protocol-unreachable port-unreachable fragmentation-needed source-route-failed network-unknown host-unknown network-prohibited host-prohibited TOS-network- unreachable TOS- host-unreachable communication-prohibited host-precedence- violation precedence-cutoff source-quench redirect network-redirect host-redirect TOS-network-redirect TOS-host-redirect echo-request router-advertisement router-solicitation time-exceeded ttl-zero-during- transit ttl-zero-during- reassembly parameter-problem ip-header-bad required-option- missing timestamp-request timestamp-reply address-mask-request address-mask-reply accept, drop, reject 1-65535 | Добавить правило firewall Направление работы правила Включение/отключение правила Имя правила IP-адрес источника Маска подсети источника IP-адрес получателя Маска подсети получателя Тип протокола
Начальный порт получателя Конечный порт получателя Тип пакета ICMP Действие – действие, выполняемое данным правилом:
Номер профиля firewall |
add rule geoip | <direction> <ENABLE> <RULE_NAME> <COUNTRY> <PROTO> <S_PORT_START> <S_PORT_END> <D_PORT_START> <D_PORT_END> <ICMP_TYPE> | input output enable/disable Текст, макс. 63 символа Название страны Any Tcp Udp icmp tcp+udp 1-65535 1-65535 1-65535 1-65535 none | Добавить GeoIP-правило firewall Направление работы правила Включение/отключение правила Имя правила Страна, к которой принадлежит адрес Тип протокола Начальный порт источника Конечный порт источника Начальный порт получателя Конечный порт получателя Тип пакета ICMP |
| any accept, drop, reject
|
| |
add rule string | <direction> <ENABLE> <RULE_NAME> <CONTENT> <S_IP> <S_MASK> <R_IP> <R_MASK> <PROTO> <S_PORT_START> <S_PORT_END> <D_PORT_START> <D_PORT_END> <ICMP_TYPE> | input output enable/disable Текст, макс. 63 символа Текст, макс. 127 символов AAA.BBB.CCC.DDD AAA.BBB.CCC.DDD AAA.BBB.CCC.DDD AAA.BBB.CCC.DDD any tcp udp icmp tcp+udp 1-65535 1-65535 1-65535 1-65535 none any echo-reply destination- unreachable network-unreachable host-unreachable protocol-unreachable port-unreachable fragmentation-needed | Добавить правило firewall - проверка строк. Направление работы правила Включение/отключение правила Имя правила Имя правила Текстовая строка, которая должна быть в пакете IP-адрес источника Маска подсети источника IP-адрес получателя Маска подсети получателя Тип протокола Начальный порт источника Конечный порт источника Начальный порт получателя Конечный порт получателя Тип пакета ICMP |
<ACTION> | accept, drop, reject | Действие – действие выполняемое данным правилом:
| |
apply | Применить настройки firewall | ||
config | Возврат в меню Configuration | ||
del profile | <ID> | 1-65535 | Удалить профиль firewall |
del rule | <ID> | 1-65535 | Удалить правило firewall |
exit | Выход из данного подменю конфигурирования на уровень выше | ||
modify profile | <ID> | 1-65535 | Индекс профиля firewall |
modify rule | <Type> | action dport_end dport_start enable icmp-type name prof_id proto r_ip r_mask 1-65535 Новое значение согласно данного типа параметра | Изменить указанное правило firewall (один из параметров) |
move down | <ID> | 1-65535 | Переместить правило вниз на одну позицию |
move up | <ID> | 1-65535 | Переместить правило вверх на одну позицию |
quit | Завершить данную сессию CLI | ||
set interface | <IFACE_NAME> | Имя интерфейса | Назначить правило на сетевой интерфейс PROFILE ID = 0 означает, что профиль не используется |
show config | Показать конфигурацию | ||
show net- interfaces | Показать параметры интерфейсов | ||
show system | Показать системные параметры |