Настройка интерфейса командной строки производится на уровне settings cli. Чтобы задать уровень детализации диагностики используется следующая команда:
info — ошибки, предупреждения и дополнительная информация.
Для отображения настроек CLI:
Admin@nodename# show settings cli
Общие настройки UserGate
Общие настройки сервера UserGate задаются на уровне settings general. Структура команды для настройки одного из разделов (<settings-module>):
Admin@nodename# set settings general <settings-module>
Доступна настройка следующих разделов:
Параметр
Описание
admin-console
Настройки интерфейса (уровень settings general admin-console):
timezone: часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п.
language: язык интерфейса:
ru — русский.
en — английский.
webaccess: режим аутентификации веб-консоли:
password: аутентификация по имени и паролю.
cert: аутентификация по X.509-сертификату.
uc-profile: выбор профиля пользовательских сертификатов.
web-ssl-profile: выбор профиля SSL для построения защищенного канала доступа к веб-консоли. Подробнее о профилях SSL смотрите в разделе Настройка профилей SSL.
response-pages-ssl-profile: выбор профиля SSL для построения защищенного канала для отображения страниц блокировки доступа к веб-ресурсам и страницы авторизации Captive-портала. Подробнее о профилях SSL смотрите в разделе Настройка профилей SSL.
api-session-lifetime: время ожидания сеанса администратора в секундах.
server-time
Настройка параметров установки точного времени (уровень settings general server-time):
ntp-enabled: включение/отключение использования NTP-серверов:
on.
off.
primary-ntp-server: указание основного ntp-сервера.
lldp: настроить использование протокола канального уровня Link Layer Discovery Protocol (LLDP), который позволяет сетевому оборудованию, работающему в локальной сети, оповещать устройства о своём существовании, передавать им свои характеристики, а также получать от них аналогичную информацию. При настройке необходимо задать значения:
transmit-delay — задержка передачи, указывается время ожидания устройства перед отправкой объявлений соседям после изменения TLV в протоколе LLDP или состояния локальной системы, например, изменение имени хоста или адреса управления. Может принимать значения от 1 до 3600; задаётся в секундах.
transmit-hold — значение мультипликатора удержания; произведение значений transmit delay и transmit hold определяет время жизни (TTL) пакетов LLDP. Может принимать значения от 1 до 100.
cache
Настройка кэша прокси-сервера (уровень settings general cache):
caching-mode: включение или отключение кэширования.
on.
off.
exclusions: список URL, которые не будут кэшироваться. Для удаления исключений:
Admin@nodename# delete settings general cache exclusions [ <URL> ]
max-cacheable-size: максимальный размер объектов, которые будут кэшироваться (указывается в Мбайт).
ram-size: размер оперативной памяти, отведенный под кэширование (указывается в Мбайт).
log-analyzer
Настройки модуля Log Analyzer (уровень settings general log-analyzer):
use-local-stat-server — использование локального Log Analyzer:
on.
off.
proxy-portal
Настройки для предоставления доступа к внутренним ресурсам компании с помощью веб-портала (уровень settings general proxy-portal):
enabled: включение/отключение использования веб-портала:
on.
off.
hostname: имя хоста.
port: порт.
auth-profile: выбор профиля аутентификации. Подробнее о настройке профилей авторизации с использованием CLI читайте в разделе Настройка профилей аутентификации.
auth-template: выбор шаблона страницы авторизации.
portal-template: выбор шаблона портала.
enable-ldap: выбор домена AD/LDAP на странице авторизации:
on.
off.
use-captcha: показ CAPTCHA:
on.
off.
ssl-profile: выбор профиля SSL. Подробнее о настройке профилей аутентификации с использованием CLI читайте в разделе Настройка профилей SSL.
certificate: выбор сертификата.
auth-mode: выбор метода аутентификации. Доступны следующие методы:
aaa — аутентификация через логин/пароль локальных пользователей или аутентификация пользователей на AAA сервере.
pki — аутентификация посредством X.509 сертификатов.
user-cert-profile — выбор профиля пользовательских сертификатов при аутентификации посредством сертификатов.
pcap
Admin@nodename# set settings general pcap packet-capture-mode <parameter>
Настройка захвата пакетов (уровень settings general pcap):
no-capture: без захвата.
one-packet: один пакет.
previous: предшествующие пакеты.
previous-and-following: предшествующие и последующие пакеты.
previous-packets: количество предшествующих пакетов (от 4 до 30 пакетов).
following-packets: количество последующих пакетов (от 2 до 15 пакетов).
change-tracker
Настройка учёта изменений (уровень settings general change-tracker):
enabled: включение/отключение учёта изменений.
on.
off.
event-tracker-types: типы изменений задаются администратором. Для удаления типа изменения используется команда:
Admin@nodename# delete settings general change-tracker event-tracker-types [ type1 ... ]
management-center
Admin@nodename# set settings general management-center <parameters>
Настройка агента UserGate Management Center (уровень settings general management-center):
mc-address: адрес сервера UserGate Management Center.
device-code: уникальный код устройства для подключения устройства к UserGate Management Center.
updates-schedule
Настройка расписания скачивания обновлений программного обеспечения и библиотек (уровень settings general updates-schedule).
Для расписания обновления программного обеспечения UserGate:
Admin@nodename# set settings general updates-schedule software schedule <schedule/disabled>
Расписание скачивания обновлений библиотек может быть единым:
Admin@nodename# set settings general updates-schedule all-libraries schedule <schedule/disabled>
или может быть настроено отдельно для каждого элемента:
Admin@nodename# set settings general updates-schedule libraries [ lib-module ... ] schedule <schedule/disabled>
Время задаётся в crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
Команда для просмотра расписания обновлений:
Admin@nodename# show settings general updates-schedule
upstream-proxy
Настройка перенаправления HTTP трафика на вышестоящий прокси-сервер:
enabled — включение/выключение перенаправления трафика на вышестоящий прокси-сервер (on/off).
mode — тип вышестоящего прокси-сервера (HTTP(S)/SOCKS5).
ip — IP-адрес вышестоящего прокси-сервера.
port — порт вышестоящего прокси-сервера.
auth — аутентификация на вышестоящем прокси-сервере (on/off).
name — логин на вышестоящем прокси-сервере.
password — пароль на вышестоящем прокси-сервере.
Настройка управления устройством
Настройка диагностики
На уровне settings radmin можно включить или отключить удалённый доступ к серверу для технической поддержки UserGate (Radmin). Команда включения/отключения Radmin:
Admin@nodename# set settings radmin enabled <on | off>
Для просмотра состояния Radmin:
Admin@nodename# show settings radmin
Параметры диагностики сервера, необходимые службе технической поддержки при решении проблем, задаются на уровне settings loglevel. C помощью следующей команды можно установить необходимы уровень детализации диагностики (отключено; только ошибки; ошибки и предупреждения; ошибки, предупреждения и дополнительная информация; максимум детализации):
Admin@nodename# set settings loglevel value <off | error | warning | info | debug>
Для просмотра состояния уровня детализации диагностики:
Admin@nodename# show settings loglevel
value : error
Настройка Radmin-emergency
Для активации удаленного помощника при возникновении проблемы с программным ядром узла администратор может зайти в CLI под учетной записью корневого администратора, которая была создана при инициализации UserGate. Обычно это учетная запись Admin, хотя может быть и другой. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля — пароль корневого администратора. Команда включения/отключения удалённого доступа к серверу для технической поддержки в таких случаях:
Admin@nodename# set radmin-emergency enabled <on | off>
Параметр
Описание
interface
Название интерфейса.
ip-addr
IP-адрес и маска интерфейса.
gateway-address
IP-адрес шлюза.
Настройка операций с сервером
Следующая команда позволяет определить канал обновлений:
Admin@nodename# set settings device-mgmt updates-channel <stable | beta>
Для просмотра наличия обновлений и выбранного канал обновления используется команда:
Admin@nodename# show settings device-mgmt updates-channel
Управление резервным копированием
Создание резервной копии устройства осуществляется на уровне settings device-mgmt. Для создания правила резервного копирования и выгрузки файлов на внешние серверы (FTP/SSH) используется следующая команда:
Включение/отключение правила создания резервной копии устройства.
name
Название правила резервного копирования.
description
Описание правила резервного копирования.
type
Выбор удалённого сервера для экспорта файлов:
ssh.
ftp.
address
IP-адрес удалённого сервера.
port
Порт сервера.
login
Учётная запись на удалённом сервере.
password
Пароль учётной записи.
path
Путь на сервере, куда будут выгружены файлы.
schedule
Расписание экспорта файлов резервных копий.
Время задаётся в Crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
Редактирование существующего правила резервного копирования устройства UserGate производится с использованием следующей команды:
Admin@nodename# set settings device-mgmt settings-backup <rule-name>
Список параметров, доступных для изменения аналогичен списку параметров, доступных при создании правила.
Команда для удаления правила резервного копирования:
Команда для отображения правила резервного копирования:
Admin@nodename# show settings device-mgmt settings-backup <rule-name>
Также, для команд редактирования, удаления или отображения правил в качестве <filter> возможно использование не только названия правила, но и заданные в существующем правиле параметры (удобно, например, при наличии нескольких правил с одинаковым названием). Параметры, с использованием которых можно произвести идентификацию правила экспорта, аналогичны параметрам команды set.
Экспорт настроек
Создание и настройка правил экспорта настроек происходит на уровне settings device-mgmt settings-export.
Включение/отключение правила экспорта настроек сервера UserGate.
name
Название правила экспорта.
description
Описание правила экспорта.
type
Выбор удалённого сервера для экспорта настроек:
ssh.
ftp.
address
IP-адрес удалённого сервера.
port
Порт сервера.
login
Учётная запись на удалённом сервере.
password
Пароль учётной записи.
path
Путь на сервере, куда будут выгружены настройки.
schedule
Расписание экспорта настроек.
Время задаётся в Crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
Обновление существующего правила экспорта настроек сервера UserGate производится с использованием следующей команды:
Admin@nodename# set settings device-mgmt settings-export <rule-name>
Список параметров, доступных для изменения аналогичен списку параметров, доступных при создании правила.
Команда для отображения правила экспорта настроек:
Admin@nodename# show settings device-mgmt settings-export <rule-name>
Также, для команд обновления, удаления или отображения правил в качестве <filter> возможно использование не только названия правила, но и заданные в существующем правиле параметры (удобно, например, при наличии нескольких правил с одинаковым названием). Параметры, с использованием которых можно произвести идентификацию правила экспорта, аналогичны параметрам команды set.
Настройка защиты конфигурации от изменений
Для настройки параметров защиты конфигурации (настроек) продукта от изменения используйте следующую команду:
Admin@nodename# set settings change-control config <off | log | block>
Проверка целостности конфигурации происходит каждые несколько минут после загрузки UserGate.
log — активирует режим отслеживания изменений конфигурации. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.
off — отключает режим отслеживания изменений конфигурации. Требует указания пароля, который был задан при активации режима отслеживания конфигурации.
block — активирует режим отслеживания изменений конфигурации. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate.
Перед активацией защиты конфигурации администратор производит настройку продукта в соответствии с требованиями организации, после чего "замораживает" настройки (режим log или block). Любое изменение настроек через веб-интерфейс, CLI или другими способами будет приводить к журналированию и/или блокировке транзитного трафика, в зависимости от выбранного режима.
Для просмотра текущего режима защиты конфигурации от изменений:
Admin@nodename# show settings change-control config
Настройка защиты исполняемых файлов от изменения
Чтобы настроить защиту параметры защиты исполняемого кода продукта от потенциального несанкционированного изменения:
Admin@nodename# set settings change-control code <off | log | block>
Проверка целостности исполняемого кода происходит каждый раз после загрузки UserGate
log — активирует режим отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.
off — отключает режим отслеживания несанкционированных изменений исполняемого кода. Требует указания пароля, который был задан при активации режима отслеживания исполняемого кода.
block — активирует режим отслеживания несанкционированных изменений исполняемого кода. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate. Для возможности отключения созданного правила межсетевого экрана необходимо отключить отслеживание несанкционированных изменений.
Для просмотра текущего режима защиты исполняемых файлов:
Admin@nodename# show settings change-control code
Настройка режима ускоренной обработки сетевого трафика
Для включения/отключения режима ускоренной обработки трафика используется команда:
Admin@nodename# set settings fastpath enabled <on/off>
Для просмотра настройки режима ускоренной обработки трафика используется команда:
