Правила NAT и маршрутизации настраиваются на уровне network-policy nat-routing. Правила создаются с помощью языка описания правил UPL. Подробнее о синтаксисе языка UPL — в разделе UserGate Policy Language.
При настройке правил NAT укажите следующие параметры.
Параметр
Описание
PASS
OK
Действие для создания правила с помощью UPL
enabled
Включение/отключение правила:
enabled(yes) или enabled(true) — включение правила;
enabled(no) или enabled(false) — отключение правила
name
Название правила NAT.
Например, name("NAT rule example")
desc
Описание правила.
Например, desc("NAT rule example set via CLI")
nat
Тип правила
snat_target_ip
IP-адрес, на который будет заменен адрес источника. Адрес указывается в кавычках.
Например, snat_target_ip ("1.1.1.1")
rule_log
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;
rule_log(session) — журналировать начало сессии
src.zone
Зона источника трафика.
Например, для указания зоны Trusted: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
src.ip
Добавление списков IP-адресов, доменов источника, или MAC-адресов.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL».
Для указания MAC-адресов источников используйте: src.ip = 02:00:00:00:00:00
user
Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.
Могут быть использованы пользователи типа Any, Unknown, Known.
Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе «Настройка LDAP-коннектора».
Примеры добавления пользователей в правило:
user = known;
user = user1;
user = "testd.local\\user2";
user = (user1, "testd.local\\user2")
dst.zone
Зона назначения трафика.
Для указания зоны назначения трафика, например Untrusted: dst.zone = Untrusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
dst.ip
Добавление списков IP-адресов, доменов назначения, или MAC-адресов.
Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL».
Для указания MAC-адресов назначения используйте: dst.ip = 02:00:00:00:00:00
При настройке правил NoNAT укажите следующие параметры.
Параметр
Описание
PASS
OK
Действие для создания правила с помощью UPL
enabled
Включение/отключение правила:
enabled(yes) или enabled(true) — включение правила;
enabled(no) или enabled(false) — отключение правила
name
Название правила NAT.
Например, name("NAT rule example")
desc
Описание правила.
Например, desc("NAT rule example set via CLI")
nonat
Тип правила
rule_log
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;
rule_log(session) — журналировать начало сессии
src.zone
Зона источника трафика.
Например, указание зоны Trusted: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
src.ip
Добавление адресов источника трафика в виде списков IP-адресов, доменов источника, или MAC-адресов.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI — в разделе «Настройка IP-адресов».
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL».
Для указания MAC-адресов источников используйте строку вида: src.ip = 02:00:00:00:00:00
user
Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.
Могут быть использованы пользователи типа Any, Unknown, Known.
Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе «Настройка LDAP-коннектора».
Примеры добавления пользователей в правило:
user = known;
user = user1;
user = "testd.local\\user2";
user = (user1, "testd.local\\user2")
dst.zone
Зона назначения трафика.
Например, указание зоны Untrusted: dst.zone = Untrusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
dst.ip
Добавление списков IP-адресов или доменов назначения.
Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI — в разделе «Настройка IP-адресов».
Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL»
Пример создания правила NoNAT с использованием UPL:
При настройке правил DNAT укажите следующие параметры.
Параметр
Описание
PASS
OK
Действие для создания правила с помощью UPL
enabled
Включение/отключение правила:
enabled(yes) или enabled(true) — включение правила;
enabled(no) или enabled(false) — включение правила
name
Название правила DNAT.
Например, name("DNAT rule example")
desc
Описание правила.
Для описание правила используйте: desc("DNAT rule example created via CLI")
dnat
Тип правила
snat_target_ip
IP-адрес, на который будет заменён адрес источника. Адрес указывается в кавычках.
Например, snat_target_ip ("1.1.1.1")
rule_log
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;
rule_log(session) — журналировать начало сессии
src.zone
Зона источника трафика.
Например, чтобы указать зону Trusted: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
src.ip
Добавление списков IP-адресов, доменов источника, или MAC-адресов.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL».
Для указания MAC-адресов источников используйте: src.ip = 02:00:00:00:00:00
src.geoip
Указание Geo IP источника; необходимо указать код страны. Например, src.geoip = RU.
Список пользователей или групп, для которых применяется данное правило.
Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.
Могут быть использованы пользователи типа Any, Unknown, Known.
Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе «Настройка LDAP-коннектора».
Примеры добавления пользователей в правило:
user = known;
user = user1;
user = "testd.local\\user2";
user = (user1, "testd.local\\user2")
dst.zone
Зона назначения трафика.
Например, для указания зоны Untrusted: dst.zone = Untrusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
dst.ip
Добавление списков IP-адресов или доменов назначения.
Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL»
target_ip
Адрес назначения DNAT.
Для указания адреса назначения: target_ip("1.1.1.1")
target_snat
Изменение IP-адреса источника на адрес UserGate:
target_snat(yes) или target_snat(true);
target_snat(no) или target_snat(false)
Пример создания правила DNAT с использованием UPL:
При настройке правил NoDNAT укажите следующие параметры.
Параметр
Описание
PASS
OK
Действие для создания правила с помощью UPL
enabled
Включение/отключение правила:
enabled(yes) или enabled(true) — включение правила;
enabled(no) или enabled(false) — отключение правила
name
Название правила DNAT.
Например, name("DNAT rule example")
desc
Описание правила.
Например, desc("DNAT rule example created via CLI")
dnat
Тип правила
snat_target_ip
IP-адрес, на который будет заменён адрес источника. Адрес указывается в кавычках.
Например, snat_target_ip ("1.1.1.1")
rule_log
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;
rule_log(session) — журналировать начало сессии
src.zone
Зона источника трафика.
Например, чтобы указать зону Trusted: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
src.ip
Добавление списков IP-адресов, доменов источника, или MAC-адресов.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL».
Для указания MAC-адресов источников используйте: src.ip = 02:00:00:00:00:00
src.geoip
Указание GeoIP источника; необходимо указать код страны. Например, src.geoip = RU.
Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.
Могут быть использованы пользователи типа Any, Unknown, Known.
Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе «Настройка LDAP-коннектора».
Примеры добавления пользователей в правило:
user = known;
user = user1;
user = "testd.local\\user2";
user = (user1, "testd.local\\user2")
dst.zone
Зона назначения трафика.
Для указания зоны назначения, например, Untrusted: dst.zone = Untrusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
dst.ip
Добавление списков IP-адресов или доменов назначения.
Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL»
target_ip
Адрес назначения DNAT.
Для указания адреса назначения: target_ip("1.1.1.1")
target_snat
Изменение IP-адреса источника на адрес UserGate:
target_snat(yes) или target_snat(true);
target_snat(no) или target_snat(false)
Пример создания правила DNAT с использованием UPL:
При настройке правил трансляции портов укажите следующие параметры.
Параметр
Описание
PASS
OK
Действие для создания правила с помощью UPL
enabled
Включение или отключение правила:
enabled(yes) или enabled(true) — включение правила;
enabled(no) или enabled(false) — отключение правила
name
Название правила трансляции портов.
Например, name("Port forwarding rule example")
desc
Описание правила.
Для создания описание правила используйте: desc("Port forwarding rule example created via CLI")
port_mapping
Тип правила.
snat_target_ip
IP-адрес, на который будет заменён адрес источника. Адрес указывается в кавычках.
Например, snat_target_ip ("1.1.1.1")
rule_log
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;
rule_log(session) — журналировать начало сессии
src.zone
Зона источника трафика.
Для указания зоны источника: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
src.ip
Добавление списков IP-адресов, доменов источника, или MAC-адресов.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL».
Для указания MAC-адресов источников используйте: src.ip = 02:00:00:00:00:00
src.geoip
Указание GeoIP источника; необходимо указать код страны. Например, src.geoip = RU.
Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.
Могут быть использованы пользователи типа Any, Unknown, Known.
Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе «Настройка LDAP-коннектора».
Примеры добавления пользователей в правило:
user = known;
user = user1;
user = "testd.local\\user2";
user = (user1, "testd.local\\user2")
dst.ip
Добавление списков IP-адресов или доменов назначения.
Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL»
port_map
Переназначение портов публикуемых сервисов.
Для переназначения портов необходимо указать сетевой протокол (tcp, udp, smtp, smtps), оригинальный и новый порты назначения. Например, port_map(tcp, 2000, 2100).
Следующие порты не могут быть использованы для переназначения, поскольку они уже используются внутренними службами SWG: 2200, 8001, 4369, 9000-9100
target_ip
Адрес назначения DNAT.
Например, target_ip("1.1.1.1")
target_snat
Изменение IP-адреса источника на адрес узла UserGate:
target_snat(yes) или target_snat(true);
target_snat(no) или target_snat(false)
Пример создания правила трансляции портов с использованием UPL:
Для настройки правил маршрутизации на основе политик (policy-based routing, PBR) укажите следующие параметры.
Параметр
Описание
PASS
OK
Действие для создания правила с помощью UPL
enabled
Включение/отключение правила:
enabled(yes) или enabled(true) — включение правила;
enabled(no) или enabled(false) — отключение правила
name
Название правила.
Например, name("Policy-based routing rule example")
desc
Описание правила.
Для создания описание правила используйте: desc("Policy-based routing rule example set via CLI")
route
Тип правила.
gateway
Выбор одного из существующих шлюзов. Например, gateway("1.1.1.1").
О добавлении шлюзов с использованием интерфейса командной строки — в разделе «Настройка шлюзов»
scenario
Сценарий, который должен быть активным для срабатывания правила.
Для указания сценария используйте: scenario = "Example of a scenario".
Подробнее о настройке сценариев с использованием интерфейса командной строки — в разделе «Настройка сценариев»
rule_log
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;
rule_log(session) — журналировать начало сессии
src.zone
Зона источника трафика.
Для указания зоны источника: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
src.ip
Добавление списков IP-адресов, MAC-адресов или доменов источника.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL».
Для указания MAC-адресов источников, например 02:00:00:00:00:00, используйте: src.ip = 02:00:00:00:00:00
src.geoip
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU).
Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.
Могут быть использованы пользователи типа Any, Unknown, Known.
Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе «Настройка LDAP-коннектора».
Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL»
dst.geoip
Указание GeoIP назначения; необходимо указать код страны. Например, dst.geoip = RU.
Пример создания и редактирования правила PBR с использованием UPL:
Admin@nodename# create network-policy nat-routing 7 upl-rule OK \
... route \
... gateway("def") \
... name("testpbr1") \
... enabled(true) \
... rule_log(session) \
...
Admin@nodename# set network-policy nat-routing 7 upl-rule OK \
... service = (HTTPS, HTTP) \
...
Admin@nodename# set network-policy nat-routing 7 upl-rule OK \
... user = "CN=Users1,DC=LOCAL"
Admin@nodename# show network-policy nat-routing 7
% ----------------- 7 -----------------
OK \
user = "CN=Users1,DC=LOCAL" \
service = (HTTPS, HTTP) \
gateway(def) \
direction(input) \
rule_log(session) \
enabled(true) \
id("0585a95f-4707-4c11-840d-44643bc2c799") \
name(testpbr1)\
route
Настройка правил трансляции адресов сетей
При настройке правил трансляции адресов сетей (network mapping) укажите следующие параметры.
Параметр
Описание
PASS
OK
Действие для создания правила с помощью UPL
enabled
Включение или отключение правила:
enabled(yes) или enabled(true) — включение правила;
enabled(no) или enabled(false) — отключение правила
name
Название правила.
Например, name("Network mapping rule example").
desc
Описание правила.
Для создания описание правила используйте: desc("Network mapping rule example set via CLI")
netmap
Тип правила.
rule_log
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;
rule_log(session) — журналировать начало сессии
src.zone
Зона источника трафика.
Для указания зоны источника: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
src.ip
Добавление списков IP-адресов, доменов источника, или MAC-адресов.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL».
Для указания MAC-адресов источников используйте: src.ip = 02:00:00:00:00:00
src.geoip
Указание GeoIP источника; необходимо указать код страны. Например, src.geoip = RU.
Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.
Могут быть использованы пользователи типа Any, Unknown, Known.
Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе «Настройка LDAP-коннектора».
Примеры добавления пользователей в правило:
user = known;
user = user1;
user = "testd.local\\user2";
user = (user1, "testd.local\\user2")
dst.ip
Добавление списков IP-адресов или доменов назначения.
Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов».
Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL»
dst.geoip
Указание GeoIP назначения; необходимо указать код страны. Например, dst.geoip = RU.
Параметр подмены сетей; адрес сети, на которую будет производится замена. Например, target_ip("1.1.1.0")
direction
Параметр подмены сетей. Направление:
direction(input) — входящий, подменяется IP-сеть назначения. Будут изменены IP-адреса назначения в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в значении target_ip.
direction(output) — исходящий, подменяется IP-сеть источника. Будут изменены IP-адреса источника в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в значении target_ip
Пример создания правила трансляции адресов сетей с использованием UPL:
