Для перехода в режим конфигурации используется команда:
Admin@nodename> configure
После перехода в режим конфигурации командная строка будет выглядеть следующим образом:
Admin@nodename#
Для просмотра подсказки о текущих возможных значениях или для автодополнения команд необходимо нажать клавишу Tab. В подсказке могут использоваться следующие вспомогательные символы:
* — обязательное поле в командах create и ряде других команд;
+ — необязательное/вариативное поле;
> — вложенное поле, после его введения предыдущий список полей становится недоступным, появляется новый список полей, которые можно ввести.
Например:
Admin@nodename# set network virtual-router default
* name Name
+ description Description
+ interfaces List of network interfaces attached to this virtual router
> bgp BGP router
> multicast-router Multicast router
> ospf OSPF router
> rip RIP router
> routes List of static network routes
Общая структура команд в режиме конфигурации
Команды интерфейса командной строки имеют следующую структуру:
<action> <level> <filter> <configuration_info>
где:
<action> — действие, которое необходимо выполнить.
<level> — уровень конфигурации; уровни соответствуют разделам веб-интерфейса NGFW.
<filter> — идентификатор объекта, к которому происходит обращение.
<configuration_info> — значение параметров, которые необходимо применить к объекту <filter>.
|
Наименование
|
Описание
|
|
<action>
|
В режиме конфигурации доступны следующие действия:
-
execute — выполнение команд, которые не относятся к конфигурации UserGate (ping, date, traceroute и т.п.) Команда доступна независимо от уровня конфигурации (<level>).
-
set — редактирование всех объектов, а также включение различных параметров, например, radmin.
-
end — переход на один уровень выше.
-
show — отображение текущих значений. Можно использовать на любом уровне конфигурации — будет отображено всё, что находится глубже текущего уровня.
-
edit — переход на какой-либо уровень конфигурации. Уровень конфигурации будет отображён под командной строкой.
-
top — возврат на самый верхний уровень конфигурации.
-
exit — выход из режима конфигурации.
-
export — экспорт конфигурации.
-
import — импорт конфигурации.
-
create — создание новых объектов.
-
delete — удаление объекта или параметра из списка параметров.
-
debug — включение журналирования событий протоколов динамической маршрутизации.
Например, для просмотра информации о всех интерфейсах необходимо выполнить команду:
Admin@nodename# show network interface
С использованием следующей команды производится переход на уровень network interface. Текущий уровень будет отображён над командной строкой:
Admin@nodename# edit network interface
[ network interface ]
Admin@nodename#
После перехода на уровень network interface для отображения всех интерфейсов используется команда show без указания уровня:
Admin@nodename# show
adapter:
port0
interface-name : port0
node-name : utmcore@dineanoulwer
zone : Management
enabled : on
ip-addresses : 192.168.56.3/24
iface-mode : dhcp
...
...
...
Для возвращения c уровня network interface обратно на общий уровень режима конфигурации необходимо набрать команду end 2 раза:
[ network interface ]
Admin@nodename# end
[ network ]
Admin@nodename# end
Admin@nodename#
Для возврата на самый верхний уровень конфигурации с помощью одной команды можно использовать команду top:
[ network interface ]
Admin@nodename# top
Admin@nodename#
|
|
<level>
|
Уровни в командной строке повторяют веб-интерфейс UserGate NGFW:
-
security-policy — соответствует разделу веб-интерфейса Политики безопасности.
-
network — соответствует разделу веб-интерфейса Сеть.
-
settings — соответствует разделу веб-интерфейса UserGate.
-
global-portal — соответствует разделу веб-интерфейса Глобальный портал.
-
network-policy — соответствует разделу веб-интерфейса Политики сети.
-
vpn — соответствует разделу веб-интерфейса VPN.
-
users — соответствует разделу веб-интерфейса Пользователи и устройства.
-
libraries — соответствует разделу веб-интерфейса Библиотеки.
-
monitoring — соответствует разделу веб-интерфейса Диагностика и мониторинг.
-
waf — соответствует разделу веб-интерфейса WAF.
|
|
<filter>
|
Идентификатор объекта, к которому происходит обращение. Идентификация происходит по имени объекта. Если имеются объекты с одинаковыми именами или удобнее идентифицировать объект по другому параметру, то используются круглые скобки, в которых необходимо указать <configuration_info> (рассмотрено далее в разделе). В результате будет найден объект, для которого совпали все поля, указанные в круглых скобках.
Например, необходимо вывести информацию об интерфейсе port0 на другом узле кластера. Если использовать команду:
Admin@nodename# show network interface adapter port0
то будет отображена информация об интерфейсе port0 текущего узла UserGate. Чтобы отобразить информацию об интерфейсе port0 другого узла (например, с именем another_node), необходимо в скобках явно указать имя узла:
Admin@nodename# show network interface adapter ( node-name another_nodename interface port0 )
Важно! Круглые скобки должны быть отделены пробелами с обеих сторон.
|
|
<configuration_info>
|
Набор пар: параметр-аргумент. Параметр — имя поля, для которого нужно установить аргумент. Аргумент может быть одиночным или множественным.
Одиночный аргумент — значение, соответствующее параметру. Если строка содержит пробелы, то необходимо использовать кавычки.
Например, необходимо создать группу с именем VPN users:
Admin@nodename# create users group "VPN users"
Множественные аргументы используются для установки множества значений какого-либо параметра; записываются в квадратных скобках и разделяются пробелами.
Например, необходимо в группу VPN users добавить пользователей user1 и user2. Параметру users необходимо задать аргумент [ user1 user2 ]:
Admin@nodename# set users group "VPN users" users [ user1 user2 ]
Важно! Квадратные скобки должны быть отделены пробелами с обеих сторон.
|
Команды execute
Команды имеет следующую структуру:
Admin@nodename# execute <command-name>
Доступны следующие команды:
|
Параметр
|
Описание
|
|
update
|
Обновление:
|
|
traceroute
|
Трассировка соединения до определённого хоста. Доступны параметры:
-
host <ip-or-domain> — IP-адрс или имя домена, для которого производится трассировка.
-
interface <iface-name> — интерфейс, с которого будут отправляться пакеты.
-
not-map-ip — не искать hostname для IP-адреса при отображении.
-
use-icmp-echo — использовать ICMP echo.
-
port — указать порт вместо порта по умолчанию (1 — 65535).
-
min-interval — минимальный интервал между пакетами.
Admin@nodename# execute traceroute hostname <hostname>
|
|
license
|
Команда регистрации продукта имеет следующую структуру:
Admin@nodename# execute license activate <pin-code>
Укажите код активации продукта вместо <pin-code>.
|
|
logs
|
|
|
termination
|
Закрытие сессий администраторов. Подробнее читайте в разделе Настройка сессий администраторов.
|
|
cache
|
Очистка кэша LDAP-записей:
|
|
check-geoip
|
Проверка принадлежности IP-адреса по текущей базе GeoIP.
|
|
ping
|
Выполнение ping определенного хоста. Можно задать следующие параметры:
-
host — IP-адрес или доменное имя хоста.
-
count — количество отправляемых echo-запросов. Если параметр не задан, то отправка пакетов будет происходить, пока соединение не будет прервано пользователем (чтобы прервать отправку: Ctrl+C).
-
numeric — не резолвить имена.
-
timestamp — отображение временных меток.
-
interval — интервал времени, через который будет производиться отправка пакетов; указывается в секундах.
-
ttl — время жизни пакета.
-
interface — адрес выбранного интерфейса будет использоваться в качестве адреса источника для выполнения ping.
-
mtu — размер mtu отправляемых пакетов.
-
virtual-router — имя виртуального маршрутизатора.
Admin@nodename# execute ping hostname <hostname> count <number>
|
|
reboot
|
Перезагрузка сервера UserGate.
|
|
date
|
Просмотр текущих даты и времени на сервере.
|
|
shutdown
|
Выключение сервера UserGate.
|
|
netcheck
|
Проверка доступности стороннего HTTP/HTTPS-сервера. Могут быть использованы следующие параметры:
-
address — доменное имя хоста для проверки доступности по TCP или URL для HTTP.
-
dns-ip — IP-адрес сервера DNS.
-
dns-tcp — использование TCP вместо UDP для DNS-запроса.
-
check-cert — проверка SSL-сертификата
-
type — проверка доступности по:
-
data — запрос содержимого сайта. По умолчанию запрашиваются только заголовки.
-
timeout — максимальный таймаут ожидания ответа от веб-сервера.
-
user-agent — параметр для указания типа браузера (useragent). На некоторых сайтах может быть разрешен доступ только с определенных браузеров. Значение параметра указывается в двойных кавычках.
Admin@nodename# execute netcheck type tcp address <host-domain-name> data on
Admin@nodename# execute netcheck address <host-domain-name>
|
|
dig
|
Проверка записи DNS домена.
-
host — доменное имя хоста или IP-адрес для реверсивного поиска.
-
reverse-lookup — получение хоста по IP-адресу.
-
dns — указание IP-адреса DNS-сервера.
-
tcp — использование протокола TCP вместо UDP.
Admin@nodename# execute dig hostname <host-domain-name>
Admin@nodename# execute dig hostname <IP-address> reverse-lookup on
|
|
configurate-cluster
|
Генерирование секретного кода, необходимого для добавления нового узла в кластер конфигурации:
Admin@nodename# execute configurate-cluster generate-secret-key <parameter>
-
secret — ключ для генерации секретного кола в формате [0-9a-zA-Z]+#[0-9a-zA-Z]+ (например, example#key).
-
expiration-time — срок действия кода в секундах .
-
request-limit — срок действия запроса на генерацию кода.
Важно! Для использования данной команды необходимо наличие лицензии на модуль Cluster, иначе будет отображена ошибка.
|
|
mc-force-disconnect
|
Команда аварийного отключения узла от MC, с которым он был интегрирован. В зависимости от выбранного аргумента импортированные из MC объекты сохраняются локально или удаляются:
-
keep — отключение от MC с сохранением всех импортированных из MC объектов (библиотеки, правила итд.). Импортированные из MC объекты конвертируются в локальные.
-
delete — отключение от MC с удалением всех импортированных из MC объектов (библиотеки, правила итд.). Импортированные объекты, которые в настоящий момент используются, конвертируются в локальные.
Admin@nodename# execute mc-force-disconnect keep
Admin@nodename# execute mc-force-disconnect delete
|
|
firewall
|
Операции с межсетевым экраном:
|
|
restore-mac
|
Восстановление mac-адреса интерфейса.
|
Часть представленных выше команд, кроме команд обновления, регистрации продукта, управления сессиями администраторов и очистки кэша, также доступны в режиме диагностики и мониторинга. Для их выполнения используется команда:
Admin@nodename> <command-name>
Команды import
Импорт доступен в разделах Настройки, Пользователи, Сеть, Политики сети, Политики безопасности, Глобальный портал, VPN, WAF.
В разделе настроек UserGate доступен импорт сертификатов. Подробнее читайте в разделе Настройка сертификатов.
В разделах Пользователи, Сеть, Политики сети, Политики безопасности, Глобальный портал, VPN, WAF доступен импорт правил, написанных на UPL. При использовании импорта, все существующие правила будут заменены на указанные; можно указать сразу несколько правил.
В разделе Пользователи доступен импорт правил Captive-портала. Подробнее о добавлении правил читайте в соответствующем разделе Настройка Captive-портала.
В разделе Сеть доступен импорт правил DNS. Подробнее читайте в разделе Настройка правил DNS.
В разделе Политики сети доступен импорт правил межсетевого экрана, NAT и маршрутизации, пропускной способности, балансировки нагрузки. Подробнее читайте в соответствующих разделах Настройка правил межсетевого экрана, Настройка правил NAT и маршрутизации, Настройка правил пропускной способности. Настройка балансировки нагрузки.
В разделе Политики безопасности доступен импорт правил контентной фильтрации, веб-безопасности, инспектирования туннелей, инспектирования SSL, инспектирования SSH, сценариев, защиты почтового трафика, ICAP-правил и правил защиты DoS. О добавлении правил читайте в соответствующих разделах Настройка фильтрации контента, Настройка веб-безопасности, Настройка правил инспектирования туннелей, Настройка инспектирования SSL, Настройка инспектирования SSH, Настройка сценариев, Настройка правил защиты почтового трафика, Настройка правил ICAP, Настройка правил защиты DoS.
В разделе Глобальный портал доступен импорт правил веб-портала и reverse-прокси. Подробнее о создании правил читайте в разделах Настройка веб-портала и Настройка правил reverse-прокси.
В разделе VPN доступен импорт серверных и клиентских правил, о добавлении которых написано в разделах Настройка серверных правил и Настройка клиентских правил.
Команды export
Доступен экспорт сертификатов и элементов библиотек.
Подробнее об экспорте сертификатов смотрите в разделе Настройка сертификатов.
Для экспорта доступны следующие элементы библиотек: IP-адреса, Useragent браузеров, списки URL, категории URL, изменённые категории URL, типы контента, морфология, почтовые адреса и номера телефонов. Для экспорта элемента библиотеки используется команда:
Admin@nodename# export libraries <library-name> <list-name>
где:
<library-name> — название библиотеки элементов (IP-адреса, Списки URL и т.д.).
<list-name> — название элемента библиотеки.
Команда debug
Команда debug позволяет включать журналирование событий протоколов маршрутизации. События записываются в debug-лог. Их просмотр также возможен в режиме мониторинга в консоли CLI (подробнее — в разделе Диагностика и мониторинг).
Для включения журналирования конкретного протокола маршрутизации используется команда:
Admin@nodename# debug <protocol> <parameters>
Поддерживаются следующие протоколы:
|
Параметр
|
Описание
|
|
rip
|
Протокол RIP.
|
|
bgp
|
Протокол BGP.
|
|
igmp
|
Протокол IGMP
|
|
pim
|
Протокол PIM.
|
|
ospf
|
Протокол OSPF.
|
|
bfd
|
Протокол BFD.
|
|
msdp
|
Протокол MSDP.
|
|
mroute
|
Таблица мультикаст-маршрутизации mroute.
|
|
ssmpingd
|
Инструмент тестирования мультикаст-вещания ssmpingd.
|
