Интерфейс командной строки (CLI)

ID статьи: 91
Последнее обновление: 27 фев, 2024
Documentation:
Product: UserGate NGFW
Version: 6.1.9

UserGate позволяет создавать базовые настройки устройства с помощью интерфейса командной строки, или CLI (command line interface). С помощью CLI администратор может выполнить ряд диагностирующих команд, таких, как ping, nslookup, traceroute, осуществить настройку сетевых интерфейсов и зон, а также перезагрузить или выключить устройство.

CLI полезно использовать для диагностики сетевых проблем или в случае, когда доступ к веб-консоли утерян, например, некорректно указан IP-адрес интерфейса или ошибочно установлены параметры контроля доступа для зоны, запрещающие подключение к веб-интерфейсу.

Подключение к CLI можно выполнить через стандартные порты VGA/клавиатуры (при наличии таких портов на оборудовании UserGate), через последовательный порт или с помощью SSH по сети.

Для подключения к CLI с использованием монитора и клавиатуры необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Подключить монитор и клавиатуру к UserGate.

Подключить монитор к разъему VGA(HDMI), клавиатуру к разъему USB.

Шаг 2. Войти в CLI.

Войти в CLI, используя имя и пароль пользователя с правами Full administrator (по умолчанию Admin). Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm.

Для подключения к CLI с использованием последовательного порта необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Подключиться к UserGate.

Используя специальный кабель для последовательного порта или переходник USB-Serial, подключить свой компьютер к UserGate.

Шаг 2. Запустить терминал.

Запустить терминал, позволяющий подключение через последовательный порт, например, Putty для Windows или minicom для Linux. Установить подключение через последовательный порт, указав параметры подключения 115200 8n1.

Шаг 3. Войти в CLI.

Войти в CLI, используя имя и пароль пользователя с правами Full administrator (по умолчанию Admin). Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm.

Для подключения к CLI по сети с использованием протокола SSH необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Разрешить доступ к CLI (SSH) для выбранной зоны.

Разрешить доступ для протокола CLI по SSH в настройках зоны, к которой вы собираетесь подключаться для управления с помощью CLI. Будет открыт порт TCP 2200.

Шаг 2. Запустить SSH-терминал.

Запустить у себя на компьютере SSH-терминал, например, SSH для Linux или Putty для Windows. Указать в качестве адреса адрес UserGate, в качестве порта подключения - 2200, в качестве имени пользователя - имя пользователя с правами Full administrator (по умолчанию Admin). Для Linux команда на подключение должна выглядеть так:

ssh Admin@IPUserGate -p 2200

Шаг 3. Войти в CLI.

Войти в CLI, используя пароль пользователя, указанного на предыдущем шаге. Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm.

После успешного входа в CLI можно посмотреть список возможных команд с помощью команды help. Для подробного описания любой команды необходимо использовать синтаксис

help command

Например, для получения подробной справки по использованию команды настройки сетевого интерфейса iface необходимо выполнить

help iface

Полный список команд:

Наименование

Описание

help

Показывает список доступных команд.

exit

quit

Ctrl+D

Выйти из CLI.

cache ldap-clear

Очистка кэша LDAP-записей.

code-change-control

Набор команд для просмотра и настройки параметров защиты исполняемого кода продукта от потенциального несанкционированного изменения. Проверка целостности исполняемого кода происходит каждый раз после загрузки UserGate.

code-change-control show - показывает текущий режим работы. По умолчанию отслеживание несанкционированных изменений исполняемого кода отключено.

code-change-control set log - активирует режим отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.

code-change-control set block - активирует режим отслеживания несанкционированных изменений исполняемого кода. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate. Для возможности отключения созданного правила межсетевого экрана необходимо отключить отслеживание несанкционированных изменений.

code-change-control set off - отключает режим отслеживания несанкционированных изменений исполняемого кода. Требует указания пароля, который был задан при активации режима отслеживания исполняемого кода.

config-change-control

Набор команд для просмотра и настройки параметров защиты конфигурации (настроек) продукта от изменения. Перед активацией защиты конфигурации администратор производит настройку продукта в соответствии с требованиями организации, после чего "замораживает" настройки (режим log или block). Любое изменение настроек через веб-интерфейс, CLI или другими способами будет приводить к журналированию и/или блокировке транзитного трафика, в зависимости от выбранного режима.

Проверка целостности конфигурации происходит каждые несколько минут после загрузки UserGate.

config-change-control show - показывает текущий режим работы. По умолчанию отслеживание изменений конфигурации отключено.

config-change-control set log - активирует режим отслеживания изменений конфигурации. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.

config-change-control set block - активирует режим отслеживания изменений конфигурации. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate. Для отключения созданного правила межсетевого экрана необходимо сбросить состояние блокировки с помощью следующей команды:

config-change-control set off - отключает режим отслеживания изменений конфигурации. Требует указания пароля, который был задан при активации режима отслеживания конфигурации.

date

Посмотреть текущее время на сервере.

device

Набор команд для изменения параметров устройства.

  • device passwd - позволяет сменить пароль пользователю, залогиненному в CLI-консоль.

  • device config -list - показывает список доступных опций для настройки.

  • device config -get - посмотреть текущее значение параметра.

  • device config -set - изменить значение параметра.

Список доступных параметров:

  • module_l7_enabled - включение/отключение загрузки модуля L7. По умолчанию модуль загружен.

    Важно! После изменения данного параметра требуется перезагрузка устройства UserGate.

  • module_idps_enabled - включение/отключение загрузки модуля idps. По умолчанию модуль загружен.

    Важно! После изменения данного параметра требуется перезагрузка устройства UserGate.

  • module_h323_enabled - включение/отключение загрузки модуля h323; модуль необходимо включать для сопоставления сигнального соединения и соединения передачи данных в случае использования NAT. По умолчанию модуль выгружен.

  • fw_drop_invalid - включение/отключение блокировки пакетов с невалидным набором параметров в полях заголовка. Включение данной опции существенно понижает производительность межсетевого экрана. Рекомендуется оставить данную настройку в выключенном состоянии.

  • fw_established - включение/отключение создания одного общего правила межсетевого экрана для обратных пакетов.

  • module_sip_enabled - включение/отключение загрузки модуля sip; модуль необходимо включать для сопоставления сигнального соединения и соединения передачи данных в случае использования NAT. По умолчанию модуль выгружен.

  • module_sunrpc_enabled - включение/отключение загрузки модуля sunrpc. По умолчанию модуль выгружен.

  • module_ftp_alg_enabled - включение/отключение загрузки модуля ftp; модуль необходимо включать для сопоставления сигнального соединения и соединения передачи данных в случае использования NAT. По умолчанию модуль выгружен.

    Важно! Модуль нужно включать для пассивного режима работы FTP.

  • fastpath - включение/отключение модуля ускоренной обработки сетевого трафика. По умолчанию данная настройка включена. В случае отключения модуля ускоренной обработки сетевого трафика, модуль будет отключен при перезагрузки устройства.  

  • ha_auth_type - включение подписи IPsec Authentication Header для служебных пакетов VRRP в кластере отказоустойчивости. Для включения подписи необходимо использовать команду:

    device config -set ha_auth_type ah

    Для отключения проверки:

    device config -set ha_auth_type pass

gateway

Посмотреть или задать значения шлюза. Смотрите gateway help для детальной информации.

iface

Набор команд для просмотра и настройки параметров сетевого интерфейса. Смотрите iface help для детальной информации.

Следующие параметры команды iface позволяют управлять пересылкой пакетов directed broadcast, приходящих на указанный интерфейс:

iface config -name port X -link-info 'bc_forwarding=1' -enabled true

iface config -name port X -link-info 'bc_forwarding=1' -enabled false

Следующие параметры команды iface включают механизм Proxy ARP, UserGate будет отвечать на ARP-запросы адресов, не относящихся к сети интерфейса:

iface config -name port X -link-info 'proxy_arp=1' -enabled true

Следующие параметры команды iface включают механизм Proxy ARP, UserGate будет отвечать на ARP-запросы адресов, относящихся к сети интерфейса:

iface config -name port X -link-info 'proxy_arp_pvlan=1' -enabled true

license

Посмотреть информацию о лицензии.

netcheck

Проверить доступность стороннего HTTP/HTTPS-сервера.

netcheck [-t TIMEOUT] [-d] URL

Опции:

-t – максимальный таймаут ожидания ответа от веб-сервера

-d – запросить содержание сайта. По умолчанию запрашиваются только заголовки.

node

Набор команд для просмотра и настройки узлов кластера. Смотрите node help для детальной информации.

nslookup

Выполнить определение IP-адреса по имени хоста.

ping

Выполнить ping определенного хоста.

proxy

Набор команд для просмотра и настройки параметров прокси-сервера. Позволяет настроить такие параметры, как добавление заголовков HTTP - via и forwarded, а также настройки таймаутов на подключение к сайтам и на загрузку контента:

  • add_via_enabled – добавлять HTTP заголовок via. По умолчанию отключено.

  • add_forwarded_enabled – добавлять HTTP заголовок forwarded. По умолчанию отключено.

  • add_xforwarded_enabled - добавлять HTTP заголовок X-Forwarded-For. По умолчанию отключено.

  • http_connection_timeout – время ожидания, выделяемое на подключение http. По умолчанию - 20 секунд.

  • http_loading_timeout – время ожидания, выделяемое на загрузку контента http. По умолчанию - 60 секунд.

  • proxy_host_rfc - разрешить использование протокола HTTP PROXY 1.1 без указания параметра host. Данный режим противоречит RFC, но необходим для совместимости с некоторыми программами. По умолчанию установлено значение strict (соблюдать RFC).

  • fmode_enabled (boolean) - включает режим ускорения загрузки контента. Может быть несовместим с работой некоторых сайтов. По умолчанию отключен.

  • icap_wait_timeout - время в секундах, которое сервер UserGate ждет ответа от ICAP-сервера. Если ответ сервера не был получен в заданный промежуток времени, то в случае, если действие правила Переслать и игнорировать, UserGate отправит данные пользователю без модификации, если же действие правила Переслать, UserGate не отдаст данные пользователю. Значение по умолчанию - 10 секунд.

  • smode_enabled (boolean) – включает режим SYN Proxy. По умолчанию выключен.

  • legacy_ssl_enabled (boolean) – отключает поддержку дешифрования протокола SSL TLSv1.3. При включении данного режима UserGate поддерживает работу протоколов TLSv1.0-TLSv1.2. Если режим отключен, то поддерживается работа только TLSv1.0-TLSv1.3. По умолчанию отключен.

Рекомендуется не изменять значения по умолчанию. Смотрите proxy help для детальной информации.

radmin

Включить или отключить удаленный доступ к серверу для технической поддержки UserGate.

radmin_e

Включить или отключить удаленный доступ к серверу для технической поддержки UserGate, в случаях, когда сервер UserGate завис.

В случаях, когда произошла проблема с ядром UserGate, может пропасть возможность авторизации в CLI. Для активации удаленного помощника в таких случаях администратор может зайти в CLI под учетной записью корневого администратора, которая была создана при инициализации UserGate. Обычно это учетная запись Admin, хотя может быть и другой. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля - пароль корневого администратора.

reboot

Перезагрузить сервер UserGate.

route

Создать, изменить, удалить маршрут.

shutdown

Выключить сервер UserGate.

telemetry

Набор команд для просмотра и настройки режима работы телеметрии. Телеметрия позволяет отправлять разработчику анонимную статистику, такую как, популярность веб-сайтов, веб-сайты с неизвестной категорией, вирусные атаки, события СОВ, активность малваре. Данные телеметрии имеют вид обезличенных данных и не содержат персональную информацию. Отправка телеметрии активирована по умолчанию.

telemetry show – показать текущий режим.

telemetry set -enabled true – активировать телеметрию.

telemetry set -enabled false – отключить отсылку телеметрической информации.

traceroute

Выполнить трассировку соединения до определенного хоста.

usersession

Команда для сброса авторизации указанного пользователя.

usersession terminate -ipv4 IP_ADDRESS – сбрасывает авторизацию для указанного IP_ADDRESS.

webaccess

Набор команд для просмотра режима авторизации веб-консоли. Позволяет вернуть режим По имени и паролю при невозможности авторизоваться с помощью сертификатов.

zone

Набор команд для просмотра и настройки параметров зоны. Смотрите zone help для детальной информации.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 91
Последнее обновление: 27 фев, 2024
Ревизия: 11
Просмотры: 10886
Комментарии: 0
Теги