Справочник команд cli (02. 04. 2020) Версия по 5
 Скачать 3.5 Mb.
|
|
Синтаксис [no] ip firewall screen spy-blocking tcp-all-flag Параметры Команда не содержит параметров Справочник команд CLI (ESR) 498 Значение по умолчанию Выключено Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# ip firewall screen spy-blocking tcp-all-flag ip firewall screen spy-blocking tcp-no-flag Данная команда включает блокировку TCP-пакетов, с нулевым полем flags. Использование отрицательной формы команды (no) отключает блокировку TCP-пакетов, с нулевым полем flags. Синтаксис [no] ip firewall screen spy-blocking tcp-no-flag Параметры Команда не содержит параметров Значение по умолчанию Выключено Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# ip firewall screen spy-blocking tcp-no-flag Справочник команд CLI (ESR) 499 ip firewall screen suspicious-packets icmp-fragment Данная команда включает блокировку фрагментированных ICMP-пакетов. Использование отрицательной формы команды (no) отключает блокировку фрагментированных ICMP- пакетов Синтаксис [no] ip firewall screen suspicious-packets icmp-fragment Параметры Команда не содержит параметров Значение по умолчанию Выключено Необходимый уровень привилегий 10 Командный режим CONFIG Пример esr(config)# ip firewall screen suspicious-packets icmp-fragment ip firewall screen suspicious-packets ip-fragment Данная команда включает блокировку фрагментированных IP-пакетов. Использование отрицательной формы команды (no) отключает блокировку фрагментированных пакетов Синтаксис [no] ip firewall screen suspicious-packets ip-fragment Параметры Команда не содержит параметров Значение по умолчанию Выключено Справочник команд CLI (ESR) 500 Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# ip firewall screen suspicious-packets ip-fragment ip firewall screen suspicious-packets large-icmp Данная команда включает блокировку ICMP-пакетов длиной более 1024 байт. Использование отрицательной формы команды (no) отключает блокировку ICMP-пакетов длиной более 1024 байт. Синтаксис [no] ip firewall screen suspicious-packets large-icmp Параметры Команда не содержит параметров Значение по умолчанию Выключено Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# ip firewall screen suspicious-packets large-icmp ip firewall screen suspicious-packets syn-fragment Данная команда включает блокировку фрагментированных TCP-пакетов, с флагом SYN. Использование отрицательной формы команды (no) отключает блокировку фрагментированных TCP- пакетов , с флагом SYN. Справочник команд CLI (ESR) 501 Синтаксис [no] ip firewall screen suspicious-packets syn-fragment Параметры Команда не содержит параметров Значение по умолчанию Выключено Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# ip firewall screen suspicious-packets syn-fragment ip firewall screen suspicious-packets udp-fragment Данная команда включает блокировку фрагментированных UDP-пакетов. Использование отрицательной формы команды (no) отключает блокировку фрагментированных UDP- пакетов Синтаксис [no] ip firewall screen suspicious-packets udp-fragment Параметры Команда не содержит параметров Значение по умолчанию Выключено Необходимый уровень привилегий 15 Командный режим CONFIG Справочник команд CLI (ESR) 502 Пример esr(config)# ip firewall screen suspicious-packets udp-fragment ip firewall screen suspicious-packets unknown-protocols Данная команда включает блокировку пакетов , с ID протокола в заголовке IP равном 137 и более. Использование отрицательной формы команды (no) отключает блокировку пакетов, с ID протокола в заголовке IP равном 137 и более. Синтаксис [no] ip firewall screen suspicious-packets unknown-protocols Параметры Команда не содержит параметров Значение по умолчанию Выключено Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# ip firewall screen suspicious-packets unknown-protocols Управление оповещением о сетевых атаках ip firewall logging interval Данной командой устанавливается частота оповещения (по SNMP, syslog и в CLI) об обнаруженных и отраженных сетевых атаках . При детектировании атаки сообщение логируется мгновенно, но следующие оповещения о данной конкретной атаке будут логироваться через заданный интервал времени , если атака будет носить продолжительный характер. Использование отрицательной формы команды (no) возвращает таймер к значению по умолчанию. Синтаксис ip firewall logging interval no ip firewall logging interval Справочник команд CLI (ESR) 503 Параметры Значение по умолчанию 30 Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# ip firewall logging interval 60 logging firewall screen detailed Данной командой включается более детальный вывод сообщений по обнаруженным и отраженным сетевым атакам в CLI. Использование отрицательной формы команды (no) отключает детальный вывод сообщений. Синтаксис [no] logging firewall screen detailed Параметры Отсутствуют Значение по умолчанию Выключено Необходимый уровень привилегий 15 Командный режим CONFIG Справочник команд CLI (ESR) 504 • • • • • • Пример esr(config)# logging firewall screen detailed logging firewall screen dos-defense Данной командой включается механизм обнаружения и логирования DoS-атак через CLI, syslog и по SNMP. В связке с включенной защитой от атак будет производиться оповещение об отраженных DoS атаках Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженных и отраженных DoS-атак. Синтаксис [no] logging firewall screen dos-defense Параметры icmp-threshold; land; limit-session-destination; limit-session-source; syn-flood; udp-threshold; Подробное описание DoS-атак приведено в разделе Управление защитой от сетевых атак Значение по умолчанию Выключено Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# logging firewall screen dos-defense land Справочник команд CLI (ESR) 505 • • • • • • • • • • • • logging firewall screen spy-blocking Данной командой включается механизм обнаружения и логирования шпионской активности через CLI, syslog и по SNMP. В связке с включенной защитой от шпионской активности будет производиться оповещение о блокированной шпионской активности Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженной и блокированной шпионской активности Синтаксис [no] logging firewall screen spy-blocking { Параметры fin-no-ack; ip-sweep; port-scan; spoofing; syn-fin; tcp-all-flag; tcp-no-flag. destination-unreachable; echo-request; reserved; source-quench; time-exceeded. Подробное описание шпионских активностей приведено в разделе Управление защитой от сетевых атак Значение по умолчанию Выключено Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# logging firewall screen spy-blocking icmp-type echo-request Справочник команд CLI (ESR) 506 • • • • • • logging firewall screen suspicious-packets Данной командой включается механизм обнаружения нестандартных пакетов и логирования через CLI, syslog и по SNMP. В связке с включенной защитой от нестандартных пакетов будет производиться также оповещение о блокировке нестандартных пакетов Использование отрицательной формы команды (no) отключает механизм обнаружения и логирования обнаруженных и блокированных нестандартных пакетов Синтаксис [no] logging firewall screen suspicious-packets Параметры < PACKET_TYPE> – тип нестандартных пакетов, принимает значения: icmp-fragment; ip-fragment; large-icmp; syn-fragment; udp-fragment; unknown-protocols. Подробное описание защиты от нестандартных пакетов приведено в разделе Управление защитой от сетевых атак Значение по умолчанию Выключено Необходимый уровень привилегий 15 Командный режим CONFIG Пример esr(config)# logging firewall screen suspicious-packets icmp-fragment show ip firewall screens counters Данная команда позволяет просматривать статистику по обнаруженным сетевым атакам Синтаксис show ip firewall screens counters Справочник команд CLI (ESR) 507 Параметры Отсутствуют Необходимый уровень привилегий 10 Командный режим ROOT Пример esr# show ip firewall screens counters DDoS: Destination limit screen: -- Source limit screen: -- ICMP threshold screen: 1 UDP threshold screen: -- SYN flood screen: 0 Land attack screen: 1 Winnuke attack screen: -- Suspicious packets: ICMP fragmented screen: -- UDP fragmented screen: -- Large ICMP screen: 4 Fragmented SYN screen: -- Unknown protocol screen: -- Fragmented IP screen: -- Spying: Port scanning screen: -- IP sweep secreen: -- SYN-FIN screen: -- TCP all flags screen: -- FIN no ACK screen: -- TCP no flags screen: -- Spoofing screen: -- ICMP types: ICMP reserved screen: -- ICMP quench screen: -- ICMP echo request screen: -- ICMP time exceeded screen: -- ICMP unreachable screen: -- Справочник команд CLI (ESR) 508 • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 24 Управление NAT action destination-nat action source-nat description enable from ip address ip address-range ip nat proxy-arp ip port ip port-range match destination-address match destination-address-port match destination-port match icmp match protocol match source-address match source-address-port match source-port nat alg nat destination nat source persistent pool rearrange renumber rule ruleset show ip nat alg show ip nat pool show ip nat ruleset show ip nat translations show ip nat proxy-arp to action destination-nat Данной командой выполняется трансляция адреса и порта получателя для трафика , удовлетворяющего заданным критериям Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис action destination-nat { off | pool no action destination-nat Параметры off – трансляция отключена. Трафик, попадающий под заданные критерии, не будет изменен; pool , будет изменен IP-адрес и TCP/UDP-порт получателя на значения, выбранные из пула ; Справочник команд CLI (ESR) 509 netmap , будет изменен IP-адрес получателя на IP-адрес из указанной подсети. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. Значение по умолчанию none Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULE Пример esr(config-dnat-rule)# action destination-nat netmap 10.10 10.0 / 24 action source-nat Данной командой назначается тип действия «трансляция адреса и порта отправителя» и параметры трансляции для трафика , удовлетворяющего критериям, заданным командами «match». Использование отрицательной формы команды (no) устанавливает значение по умолчанию. Синтаксис action source-nat { off | pool – LAST_PORT] } no action source-nat Параметры off – трансляция отключена. Трафик, попадающий под заданные критерии, не будет изменен; pool , будет изменен IP-адрес и/или TCP/UDP-порт отправителя на значения, выбранные из пула; netmap , будет изменен IP-адрес отправителя на IP-адрес из указанной подсети. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]; static – включение статического NAT, доступно при использовании netmap; interface [FIRST_PORT – LAST_PORT] – задаёт трансляцию в IP-адрес интерфейса. У трафика, попадающего под заданные критерии , будет изменён IP-адрес отправителя на IP-адрес интерфейса, через который данный трафик был получен . Если дополнительно задан диапазон TCP/UDP-портов, то трансляция будет происходить только для TCP/UDP-портов отправителя, входящих в указанный диапазон портов Справочник команд CLI (ESR) 510 Значение по умолчанию none Необходимый уровень привилегий 10 Командный режим CONFIG-SNAT-RULE Пример esr(config-snat-rule)# action source-nat netmap 10.10 10.0 / 24 description Данной командой задаётся описание Использование отрицательной формы команды (no) удаляет описание. Синтаксис description no description Параметры Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULESET CONFIG-SNAT-RULESET CONFIG-DNAT-RULE CONFIG-SNAT-RULE CONFIG-DNAT-POOL CONFIG-SNAT-POOL Пример esr(config-snat-ruleset)# description "test ruleset" Справочник команд CLI (ESR) 511 enable Данной командой активируется конфигурируемое правило Отрицательная форма команды (no) деактивирует использование правила. Синтаксис [no] enable Параметры Команда не содержит параметров Значение по умолчанию Правило выключено Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULE CONFIG-SNAT-RULE Пример esr(config-snat-rule)# enable from Данной командой ограничивается область применения группы правил . Правила будут применяться только для трафика , идущего из определенной зоны или интерфейса. Использование отрицательной формы команды (no) удаляет ограничение области применения группы правил Синтаксис from { zone no from Параметры Типы и порядок именования интерфейсов маршрутизатора ; Типы и порядок именования туннелей маршрутизатора ; Справочник команд CLI (ESR) 512 default – обозначает группу правил для всего трафика, источник которого не попал под критерии других групп правил Значение по умолчанию none Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-RULESET Пример esr(config-dnat-ruleset)# from zone untrusted ip address Данной командой устанавливается внутренний IP-адрес, на который будет заменяться IP-адрес получателя Использование отрицательной формы команды (no) удаляет заданный IP-адрес. Синтаксис ip address no ip address Параметры Необходимый уровень привилегий 10 Командный режим CONFIG-DNAT-POOL Пример esr(config-dnat-pool)# ip address 10.10 10.10 Группа правил со значением «default» параметра «from» может быть только одна. Справочник команд CLI (ESR) 513 ip address-range Данной командой задаётся диапазон внешних IP-адресов, на которые будет заменяться IP-адрес отправителя Использование отрицательной формы команды (no) удаляет заданный диапазон адресов. Синтаксис ip address-range no ip address-range Параметры [0..255]; [0..255]. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для трансляции используется только IP-адрес начала диапазона. Необходимый уровень привилегий 10 |