Настройка правил инспектирования туннелей производится на уровне security-policy tunnel-inspection. Подробнее о структуре команд читайте в разделе UserGate Policy Language.
Для создания правила инспектирования туннелей используется команда:
Например: desc("Tunnel inspection rule example configured via CLI").
service
Тип туннеля:
service = gre: инспектирование туннелей GRE.
service = gtpu: инспектирование туннелей GTP-U.
service = ipsec_null: инспектирование нешифрованных IPsec-туннелей
src.zone
Зона источника трафика.
Для указания зоны источника, например, Trusted: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip
Добавление списков IP-адресов или доменов источника.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
src.geoip
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU).
Коды названий стран доступны по ссылке ISO 3166-1.
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
dst.zone
Зона назначения трафика, например, dst.zone = "Tunnel inspection zone".
Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
dst.ip
Добавление списков IP-адресов или доменов назначения.
Для указания списка IP-адресов: dst.ip =lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.
Для указания списка доменов назначения: dst.ip =lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
dst.geoip
Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU).
Коды названий стран доступны по ссылке ISO 3166-1.
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
Для редактирования правил инспектирования туннелей используется команда:
Admin@nodename# set security-policy tunnel-inspection <position> upl-rule
Для просмотра всех созданных правил инспектирования туннелей используется команда:
Admin@nodename# show security-policy tunnel-inspection
Для просмотра определенного правила инспектирования туннелей используется команда:
Admin@nodename# show security-policy tunnel-inspection <position>
