Настройка правил NAT и маршрутизации

PASS

OK

Действие для создания правила с помощью UPL.

enabled

Включение/отключение правила:

• enabled(yes) или enabled(true) — включение правила;

• enabled(no) или enabled(false) — отключение правила.

name

Название правила NAT.

Например, name("NAT rule example").

desc

Описание правила.

Например, desc("NAT rule example set via CLI").

nat

Тип правила.

snat_target_ip

IP-адрес, на который будет заменен адрес источника. Адрес указывается в кавычках.

Например, snat_target_ip ("1.1.1.1").

rule_log

Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:

• rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;

• rule_log(session) — журналировать начало сессии.

src.zone

Зона источника трафика.

Например, для указания зоны Trusted: src.zone = Trusted.

Подробнее о настройке зон с использованием интерфейса командной строки — в разделе Зоны.

src.ip

Добавление списков IP-адресов, доменов источника, или MAC-адресов.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

Для указания MAC-адресов источников используйте: src.ip = 02:00:00:00:00:00.

user

Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.

Могут быть использованы пользователи типа Any, Unknown, Known.

Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе Настройка LDAP-коннектора.

Примеры добавления пользователей в правило:

• user = known;

• user = user1;

• user = "testd.local\\user2";

• user = (user1, "testd.local\\user2").

dst.zone

Зона назначения трафика.

Для указания зоны назначения трафика, например Untrusted: dst.zone = Untrusted.

Подробнее о настройке зон с использованием интерфейса командной строки — в разделе Зоны.

dst.ip

Добавление списков IP-адресов, доменов назначения, или MAC-адресов.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

Для указания MAC-адресов назначения используйте: dst.ip = 02:00:00:00:00:00.

service

Тип сервиса. Можно указать сервис или группу сервисов (подробнее — в разделах Настройка сервисов и Настройка групп сервисов).

Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).

Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.

PASS

OK

Действие для создания правила с помощью UPL.

enabled

Включение/отключение правила:

• enabled(yes) или enabled(true) — включение правила;

• enabled(no) или enabled(false) — отключение правила.

name

Название правила NAT.

Например, name("NAT rule example").

desc

Описание правила.

Например, desc("NAT rule example set via CLI").

nonat

Тип правила.

rule_log

Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:

• rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;

• rule_log(session) — журналировать начало сессии.

src.zone

Зона источника трафика.

Например, указание зоны Trusted: src.zone = Trusted.

Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.

src.ip

Добавление адресов источника трафика в виде списков IP-адресов, доменов источника, или MAC-адресов.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI — в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

Для указания MAC-адресов источников используйте строку вида: src.ip = 02:00:00:00:00:00.

user

Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.

Могут быть использованы пользователи типа Any, Unknown, Known.

Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе Настройка LDAP-коннектора.

Примеры добавления пользователей в правило:

• user = known;

• user = user1;

• user = "testd.local\\user2";

• user = (user1, "testd.local\\user2").

dst.zone

Зона назначения трафика.

Например, указание зоны Untrusted: dst.zone = Untrusted.

Подробнее о настройке зон с использованием интерфейса командной строки — в разделе Зоны.

dst.ip

Добавление списков IP-адресов или доменов назначения.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI — в разделе Настройка IP-адресов.

Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

service

Тип сервиса. Можно указать сервис или группу сервисов. Подробнее о создании сервисов или групп сервисов — в разделах Настройка сервисов и Настройка групп сервисов).

Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).

Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.

PASS

OK

Действие для создания правила с помощью UPL.

enabled

Включение/отключение правила:

• enabled(yes) или enabled(true) — включение правила;

• enabled(no) или enabled(false) — включение правила.

name

Название правила DNAT.

Например, name("DNAT rule example").

desc

Описание правила.

Для описание правила используйте: desc("DNAT rule example created via CLI").

dnat

Тип правила.

snat_target_ip

IP-адрес, на который будет заменён адрес источника. Адрес указывается в кавычках.

Например, snat_target_ip ("1.1.1.1").

rule_log

Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:

• rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;

• rule_log(session) — журналировать начало сессии.

src.zone

Зона источника трафика.

Например, чтобы указать зону Trusted: src.zone = Trusted.

Подробнее о настройке зон с использованием интерфейса командной строки — в разделе Зоны.

src.ip

Добавление списков IP-адресов, доменов источника, или MAC-адресов.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

Для указания MAC-адресов источников используйте: src.ip = 02:00:00:00:00:00.

src.geoip

Указание Geo IP источника; необходимо указать код страны. Например, src.geoip = RU.

Коды названий стран доступны по ссылке: ISO 3166-1.

Количество Geo IP, которое может быть указано, не более 15.

user

Список пользователей или групп, для которых применяется данное правило. 

Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.

Могут быть использованы пользователи типа Any, Unknown, Known.

Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе Настройка LDAP-коннектора.

Примеры добавления пользователей в правило:

• user = known;

• user = user1;

• user = "testd.local\\user2";

• user = (user1, "testd.local\\user2").

dst.zone

Зона назначения трафика.

Например, для указания зоны Untrusted: dst.zone = Untrusted.

Подробнее о настройке зон с использованием интерфейса командной строки — в разделе Зоны.

dst.ip

Добавление списков IP-адресов или доменов назначения.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

service

Тип сервиса. Можно указать сервис или группу сервисов (подробнее — в разделах Настройка сервисов и Настройка групп сервисов).

Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).

Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.

target_ip

Адрес назначения DNAT.

Для указания адреса назначения: target_ip("1.1.1.1").

target_snat

Изменение IP-адреса источника на адрес UserGate:

• target_snat(yes) или target_snat(true);

• target_snat(no) или target_snat(false).

PASS

OK

Действие для создания правила с помощью UPL.

enabled

Включение/отключение правила:

• enabled(yes) или enabled(true) — включение правила;

• enabled(no) или enabled(false) — отключение правила.

name

Название правила DNAT.

Например, name("DNAT rule example").

desc

Описание правила.

Например, desc("DNAT rule example created via CLI").

dnat

Тип правила.

snat_target_ip

IP-адрес, на который будет заменён адрес источника. Адрес указывается в кавычках.

Например, snat_target_ip ("1.1.1.1").

rule_log

Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:

• rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;

• rule_log(session) — журналировать начало сессии.

src.zone

Зона источника трафика.

Например, чтобы указать зону Trusted: src.zone = Trusted.

Подробнее о настройке зон с использованием интерфейса командной строки — в разделе Зоны.

src.ip

Добавление списков IP-адресов, доменов источника, или MAC-адресов.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

Для указания MAC-адресов источников используйте: src.ip = 02:00:00:00:00:00.

src.geoip

Указание GeoIP источника; необходимо указать код страны. Например, src.geoip = RU.

Коды названий стран доступны по ссылке: ISO 3166-1.

Количество GeoIP, которое может быть указано, не более 15.

user

Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.

Могут быть использованы пользователи типа Any, Unknown, Known.

Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе Настройка LDAP-коннектора.

Примеры добавления пользователей в правило:

• user = known;

• user = user1;

• user = "testd.local\\user2";

• user = (user1, "testd.local\\user2").

dst.zone

Зона назначения трафика.

Для указания зоны назначения, например, Untrusted: dst.zone = Untrusted.

Подробнее о настройке зон с использованием интерфейса командной строки — в разделе Зоны.

dst.ip

Добавление списков IP-адресов или доменов назначения.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

service

Тип сервиса. Можно указать сервис или группу сервисов (подробнее — в разделах Настройка сервисов и Настройка групп сервисов).

Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).

Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.

target_ip

Адрес назначения DNAT.

Для указания адреса назначения: target_ip("1.1.1.1").

target_snat

Изменение IP-адреса источника на адрес UserGate:

• target_snat(yes) или target_snat(true);

• target_snat(no) или target_snat(false).

PASS

OK

Действие для создания правила с помощью UPL.

enabled

Включение/отключение правила:

• enabled(yes) или enabled(true) — включение правила;

• enabled(no) или enabled(false) — отключение правила.

name

Название правила порт-форвардинга.

Например, name("Port forwarding rule example").

desc

Описание правила.

Для создания описание правила используйте: desc("Port forwarding rule example created via CLI").

port_mapping

Тип правила.

snat_target_ip

IP-адрес, на который будет заменён адрес источника. Адрес указывается в кавычках.

Например, snat_target_ip ("1.1.1.1").

rule_log

Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:

• rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;

• rule_log(session) — журналировать начало сессии.

src.zone

Зона источника трафика.

Для указания зоны источника: src.zone = Trusted.

Подробнее о настройке зон с использованием интерфейса командной строки — в разделе Зоны.

src.ip

Добавление списков IP-адресов, доменов источника, или MAC-адресов.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

Для указания MAC-адресов источников используйте: src.ip = 02:00:00:00:00:00.

src.geoip

Указание GeoIP источника; необходимо указать код страны. Например, src.geoip = RU.

Коды названий стран доступны по ссылке: ISO 3166-1.

Количество GeoIP, которое может быть указано, не более 15.

user

Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.

Могут быть использованы пользователи типа Any, Unknown, Known.

Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе Настройка LDAP-коннектора.

Примеры добавления пользователей в правило:

• user = known;

• user = user1;

• user = "testd.local\\user2";

• user = (user1, "testd.local\\user2").

dst.ip

Добавление списков IP-адресов или доменов назначения.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

port_map

Переназначение портов публикуемых сервисов.

Для переназначения портов необходимо указать сетевой протокол (tcp, udp, smtp, smtps), оригинальный и новый порты назначения. Например, port_map(tcp, 2000, 2100).

Следующие порты не могут быть использованы для переназначения, поскольку они уже используются внутренними службами NGFW: 2200, 8001, 4369, 9000-9100.

target_ip

Адрес назначения DNAT.

Например, target_ip("1.1.1.1").

target_snat

Изменение IP-адреса источника на адрес UserGate:

• target_snat(yes) или target_snat(true);

• target_snat(no) или target_snat(false).

PASS

OK

Действие для создания правила с помощью UPL.

enabled

Включение/отключение правила:

• enabled(yes) или enabled(true) — включение правила;

• enabled(no) или enabled(false) — отключение правила.

name

Название правила.

Например, name("Policy-based routing rule example").

desc

Описание правила.

Для создания описание правила используйте: desc("Policy-based routing rule example set via CLI").

route

Тип правила.

gateway

Выбор одного из существующих шлюзов. Например, gateway("1.1.1.1").

О добавлении шлюзов с использованием интерфейса командной строки — в разделе Настройка шлюзов.

scenario

Сценарий, который должен быть активным для срабатывания правила.

Для указания сценария используйте: scenario = "Example of a scenario".

Подробнее о настройке сценариев с использованием интерфейса командной строки — в разделе Настройка сценариев.

rule_log

Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:

• rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;

• rule_log(session) — журналировать начало сессии.

src.zone

Зона источника трафика.

Для указания зоны источника: src.zone = Trusted.

Подробнее о настройке зон с использованием интерфейса командной строки — в разделе Зоны.

src.ip

Добавление списков IP-адресов, MAC-адресов или доменов источника.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

Для указания MAC-адресов источников, например 02:00:00:00:00:00, используйте: src.ip = 02:00:00:00:00:00.

src.geoip

Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU).

Коды названий стран доступны по ссылке ISO 3166-1.

Количество Geo IP, которое может быть указано, не более 15.

user

Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.

Могут быть использованы пользователи типа Any, Unknown, Known.

Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе Настройка LDAP-коннектора.

Примеры добавления пользователей в правило:

• user = known;

• user = user1;

• user = "testd.local\\user2";

• user = (user1, "testd.local\\user2").

dst.ip

Добавление списков IP-адресов, доменов назначения.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

dst.geoip

Указание GeoIP назначения; необходимо указать код страны. Например, dst.geoip = RU.

Коды названий стран доступны по ссылке: ISO 3166-1.

Количество GeoIP, которое может быть указано, не более 15.

service

Тип сервиса. Можно указать сервис или группу сервисов (подробнее — в разделах Настройка сервисов и Настройка групп сервисов).

Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).

Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.

PASS

OK

Действие для создания правила с помощью UPL.

enabled

Включение/отключение правила:

• enabled(yes) или enabled(true) — включение правила;

• enabled(no) или enabled(false) — отключение правила.

name

Название правила типа network mapping.

Например, name("Network mapping rule example").

desc

Описание правила.

Для создания описание правила используйте: desc("Network mapping rule example set via CLI").

netmap

Тип правила.

rule_log

Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:

• rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена;

• rule_log(session) — журналировать начало сессии.

src.zone

Зона источника трафика.

Для указания зоны источника: src.zone = Trusted.

Подробнее о настройке зон с использованием интерфейса командной строки — в разделе Зоны.

src.ip

Добавление списков IP-адресов, доменов источника, или MAC-адресов.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

Для указания MAC-адресов источников используйте: src.ip = 02:00:00:00:00:00.

src.geoip

Указание GeoIP источника; необходимо указать код страны. Например, src.geoip = RU.

Коды названий стран доступны по ссылке: ISO 3166-1.

Количество GeoIP, которое может быть указано, не более 15.

user

Пользователи или группы пользователей (локальные или доменные), для которых применяется правило.

Могут быть использованы пользователи типа Any, Unknown, Known.

Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе Настройка LDAP-коннектора.

Примеры добавления пользователей в правило:

• user = known;

• user = user1;

• user = "testd.local\\user2";

• user = (user1, "testd.local\\user2").

dst.ip

Добавление списков IP-адресов или доменов назначения.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе Настройка IP-адресов.

Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе Настройка списков URL.

dst.geoip

Указание GeoIP назначения; необходимо указать код страны. Например, dst.geoip = RU.

Коды названий стран доступны по ссылке: ISO 3166-1.

Количество GeoIP, которое может быть указано, не более 15.

service

Тип сервиса. Можно указать сервис или группу сервисов (подробнее — в разделах Настройка сервисов и Настройка групп сервисов).

Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).

Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.

target_ip

Параметр подмены сетей; адрес сети, на которую будет производится замена. Например, target_ip("1.1.1.0").

direction

Параметр подмены сетей. Направление:

• direction(input) — входящий, подменяется IP-сеть назначения. Будут изменены IP-адреса назначения в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в значении target_ip.

• direction(output) — исходящий, подменяется IP-сеть источника. Будут изменены IP-адреса источника в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в значении target_ip.