Коралл-РА 2000-SBC
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Для перехода в данный режим необходимо в режиме конфигурирования выполнить команду firewall static.

SBC-[CONFIG]> firewall static

Entering static firewall mode

SBC-[CONFIG]-[FIREWALL]

Команда

Параметр

Значение

Действие

?



Показать перечень доступных команд

add profile

<PROF_NAME>

разрешено использовать буквы, цифры, символ '_', максимум 63 символf

Добавить профиль firewall

add rule default


<direction>


<ENABLE>

<RULE_NAME>

<S_IP>

<S_MASK>

<R_IP>

<R_MASK>

<PROTO>





<S_PORT_START>

<S_PORT_END>

<D_PORT_START>

<D_PORT_END>

<ICMP_TYPE>






<ACTION>




<P_IDX>


Input

output

enable/disable

Текст, макс. 63

символа AAA.BBB.CCC.DDD

AAA.BBB.CCC.DDD

AAA.BBB.CCC.DDD

AAA.BBB.CCC.DDD

any

tcp

udp

icmp

tcp+udp

1-65535

1-65535

1-65535

1-65535

none anyecho-reply destination- unreachable network-unreachable host-unreachable protocol-unreachable port-unreachable fragmentation-needed source-route-failed network-unknown host-unknown network-prohibited host-prohibited TOS-network- unreachable TOS- host-unreachable communication-prohibited host-precedence- violation precedence-cutoff source-quench redirect network-redirect host-redirect TOS-network-redirect TOS-host-redirect echo-request router-advertisement router-solicitation time-exceeded ttl-zero-during- transit ttl-zero-during- reassembly parameter-problem ip-header-bad required-option- missing timestamp-request timestamp-reply address-mask-request address-mask-reply

accept, drop, reject 




1-65535

Добавить правило firewall

Направление работы правила


Включение/отключение правила

Имя правила

IP-адрес источника

Маска подсети источника

IP-адрес получателя

Маска подсети получателя

Тип протокола






Начальный порт источника
Конечный порт источника

Начальный порт получателя

Конечный порт получателя

Тип пакета ICMP






Действие – действие, выполняемое данным правилом:

  • ACCEPT – пакеты, попадающие под данное правило, будут пропущены сетевым экраном firewall;
  • DROP – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall без какого-либо информирования стороны, передавшей пакет;
  • REJECT – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall, стороне, передавшей пакет, будет отправлен либо пакет TCP RST, либо ICMP destination unreachable.

Номер профиля firewall

add rule geoip


<direction>


<ENABLE>

<RULE_NAME>

<COUNTRY>

<PROTO>





<S_PORT_START>

<S_PORT_END>

<D_PORT_START>

<D_PORT_END>

<ICMP_TYPE>


input

output

enable/disable

Текст, макс. 63 символа

Название страны

Any

Tcp

Udp

icmp

tcp+udp

1-65535

1-65535

1-65535

1-65535

none

Добавить GeoIP-правило firewall

Направление работы правила


Включение/отключение правила

Имя правила

Страна, к которой принадлежит адрес Тип протокола






Начальный порт источника

Конечный порт источника

Начальный порт получателя

Конечный порт получателя

Тип пакета ICMP













<ACTION>





<P_IDX>

any
echo-reply destination- unreachable network-unreachable host-unreachable protocol-unreachable port-unreachable fragmentation-needed source-route-failed network-unknown host-unknown network-prohibited host-prohibited TOS-network-
unreachable TOS- host-unreachable communication- prohibited
host-precedence- violation precedence-cutoff source-quench redirect
network-redirect host-redirect TOS-network-redirect TOS-host-redirect echo-request
router-advertisement router-solicitation time-exceeded ttl-zero-during- transit
ttl-zero-during- reassembly parameter-problem ip-header-bad required-option- missing timestamp-request timestamp-reply address-mask-request address-mask-reply

accept, drop, reject





1-65535












Действие – действие выполняемое данным правилом:

  • ACCEPT – пакеты, попадающие под данное правило, будут пропущены сетевым экраном firewall;
  • DROP – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall без какого-либо информирования стороны, передавшей пакет;
  • REJECT – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall, стороне, передавшей пакет, будет отправлен либо пакет TCP RST, либо ICMP destination unreachable.

    Номер профиля firewall

add rule string


<direction>


<ENABLE>

<RULE_NAME>

<CONTENT>

<S_IP>

<S_MASK>

<R_IP>

<R_MASK>

<PROTO>





<S_PORT_START>

<S_PORT_END>

<D_PORT_START>

<D_PORT_END>

<ICMP_TYPE>


input

output

enable/disable

Текст, макс. 63 символа

Текст, макс. 127 символов

AAA.BBB.CCC.DDD

AAA.BBB.CCC.DDD

AAA.BBB.CCC.DDD

AAA.BBB.CCC.DDD

any

tcp

udp

icmp

tcp+udp

1-65535

1-65535

1-65535

1-65535

none any echo-reply destination- unreachable network-unreachable host-unreachable protocol-unreachable port-unreachable fragmentation-needed
source-route-failed

Добавить правило firewall - проверка строк.

Направление работы правила


Включение/отключение правила Имя правила

Имя правила

Текстовая строка, которая должна быть в пакете

IP-адрес источника

Маска подсети источника

IP-адрес получателя

Маска подсети получателя

Тип протокола





Начальный порт источника

Конечный порт источника

Начальный порт получателя

Конечный порт получателя

Тип пакета ICMP



<ACTION>







<P_IDX>

accept, drop, reject







1-65535

Действие – действие выполняемое данным правилом:

  • ACCEPT – пакеты, попадающие под данное правило, будут пропущены сетевым экраном firewall;
  • DROP – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall без какого-либо информирования стороны, передавшей пакет;
  • REJECT – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall, стороне, передавшей пакет, будет отправлен либо пакет TCP RST, либо ICMP destination unreachable.

    Номер профиля firewall

apply



Применить настройки firewall

config



Возврат в меню Configuration

del profile

<ID>

1-65535

Удалить профиль firewall

del rule

<ID>

1-65535

Удалить правило firewall

exit



Выход из данного подменю конфигурирования на уровень выше

modify profile

<ID>

<NAME>

1-65535

разрешено использовать буквы, цифры, символ '_'. Максимум 63 символ

Индекс профиля firewall

Ввод нового имени устройства

modify rule

<Type>

<ID>

<param>

action dport_end dport_start enable icmp-type name prof_id proto r_ip r_mask
s_ip s_mask sport_end sport_start traffic-type

1-65535

Новое значение согласно данного типа параметра

Изменить указанное правило firewall (один из параметров)

move down

<ID>

1-65535

Переместить правило вниз на одну позицию

move up

<ID>

1-65535

Переместить правило вверх на одну позицию

quit



Завершить данную сессию CLI

set interface

<IFACE_NAME>

<PROFILE ID>

Имя интерфейса

Назначить правило на сетевой интерфейс

PROFILE ID = 0 означает, что профиль не используется

show config



Показать конфигурацию

show net- interfaces



Показать параметры интерфейсов

show system



Показать системные параметры

  • Нет меток
Написать комментарий...