Программа предназначена для переноса конфигурации с Cisco ASA, Cisco FPR, Check Point, Fortigate, Huawei, MikroTik на NGFW (версий 5, 6, 7, 8), DCFW и Management Center версии 7.1 и выше.
Программа работает в Ubuntu версии 24.04 или выше. Обращаем ваше внимание: если вы запускаете данную программу в Ubuntu более старой версии или в другой разновидности Linux, вы делаете это на свой страх и риск. Компания UserGate в этом случае ничем вам не может помочь.
Для работы программы на зоне интерфейса, используемого для веб-косоли администратора, необходимо включить сервис xml-rpc. Если используется зона Management, то это делать не надо, так как сервис xml-rpc на интерфейсе Management включён по умолчанию. Исключением является версия 5. На ней необходимо включить данный сервис на зоне Management.
Открыть веб-консоль администратора таким образом: https://<usergate_ip>:8001/?features=zone-xml-rpc
В настройках нужной зоны активировать сервис "XML-RPC для управления".
Экспорт конфигурации:
Скачайте архив universal_converter.zip и распакуйте его. Файл universal_converter сделайте исполняемым.
Запустите программу universal_converter. Программа выполняется в графической среде. В текущей директории будут созданы каталоги для хранения всех выгруженных конфигураций и каталоги для конфигураций всех вендоров.
Выбрать пункт - Экспорт конфигурации.
Далее выберите вердора, конфигурацию которого экспортируете, и нажмите кнопку "Экспорт".
Появиться окно, в котором необходимо указать каталог для экспортируемой конфигурации и каталог, куда будут помещены файлы экспортированной конфигурации в формате UserGate NGFW. После этого данные каталоги будут созданы.
После экспорта проверьте вывод программы на предмет обнаруженных ошибок.
Можно сохранить лог экспорта в файл export.log. Файл создаётся в выбранном каталоге экспорта конфигурации.
Для Cisco ASA:
8.1. Переименуйте файл конфигурации Cisco ASA в cisco_asa.cfg и скопируйте его в каталог data_cisco_asa/<имя_которое_вы_задали_на_предыдущем_шаге>
Для Cisco FPR:
9.1. Переименуйте файл конфигурации Cisco FPR в cisco_fpr.cfg и скопируйте его в каталог data_cisco_fpr/<имя_которое_вы_задали_на_предыдущем_шаге>
Для Check Point:
10.1. Выгрузите конфигурацию Check Point show package
10.2. Разархивируйте полученный файл и скопируйте все файлы в каталог data_checkpoint/<имя_которое_вы_задали_на_предыдущем_шаге>.
10.3. Запустите на CheckPoint команду save configuration config_cp.txt
10.4. Файл config_cp.txt поместите в тот же каталог: data_checkpoint/<имя_которое_вы_задали_на_предыдущем_шаге>.
Для Fortigate:
11.1. Переименуйте файл конфигурации Fortigate в fortigate.cfg и скопируйте его в каталог data_fortigate/<имя_которое_вы_задали_на_предыдущем_шаге>
Для Huawei:
12.1. Переименуйте файл конфигурации Huawei в huawei.cfg и скопируйте его в каталог data_huawei/<имя_которое_вы_задали_на_предыдущем_шаге>
Для MikroTik:
13.1. Переименуйте файл конфигурации MikroTic в mikrotik.cfg и скопируйте его в каталог data_mikrotik/<имя_которое_вы_задали_на_предыдущем_шаге>
Импорт конфигурации:
Можно импортировать всю конфигурацию, только выбранную группу разделов или отдельный раздел. Если вы не импортируете всё сразу в пакетном режиме, сначала импортируйте содержимое библиотеки, локальных пользователей и группы пользователей и только затем нужные разделы конфигурации.
Если у вас используются собственные сертификаты, то перед импортом необходимо импортировать их или создать с теми же именами.
После импорта проверьте вывод программы на наличие сообщений, выделенных цветом. Исправьте конфигурацию в соответствие с рекомендациями.
Можно сохранить лог импорта в файл import.log. Файл создаётся в выбранном каталоге импорта конфигурации.
Импорт конфигурации на UG NGFW и DCFW:
Перед началом работы на новой версии UserGate NGFW или DCFW необходимо настроить DNS, интерфейс Untrusted (для выхода в интернет), шлюз, произвести активацию корректным ПИН-кодом. После этого дождаться обновления библиотек и списков.
Запустить программу universal_converter.
Выбрать пункт - Импорт конфигурации на UG NGFW|DCFW.
Программа попросит выбрать каталог для импорта конфигурации, затем появиться окно авторизации. Проверьте, что у администратора, логин которого используете, в профиле включены все разрешения для API. Укажите ip-адрес NGFW/DCFW и login/пароль администратора.
Можно импортировать всю конфигурацию, только выбранную группу разделов или отдельный раздел.
Перед импортом убедитесь, что в на NGFW/DCFW существуют необходимые зоны зоны. Они необходимы для корректного создания VLAN, subnet DHCP и VRF. Рекомендуется в первую очередь импортировать зоны, и только затем импортировать всё.
Если у Вас используются сервера аутентификации (LDAP, NTLM, RADIUS, TACACS, SAML), то необходимо в первую очередь импортировать настройки DNS, затем используемые сервера аутентификации и профили аутентификации. После этого ввести пароль в серверах аутентификации, загрузить keytab-файл, если используется авторизация kerberos и проверить работу данных серверов аутентификации.
Импорт некоторых разделов конфигурации может идти долго. Не надо думать что "программа зависла". Надо дождаться окончания импорта.
Импорт на версию UG NGFW 5:
8.1. На версию 5 не импортируются VLAN-ы, Маршруты, OSPF, BGP.
8.2. При импорте не переносятся группы сервисов и IP-адресов, так как в версии 5 группы не поддерживаются.
8.3. На версию 5 не возможно импортировать содержимое календарей. Содержимое надо добавить руками.
8.4. На версию 5 не возможно импортировать содержимое URL категорий. Содержимое надо добавить руками.
Импорт на версию UG NGFW 6:
9.1. Конвертер не работает с UG NGFW версии 6 если она старее 6.1.7. В этом случае обновитесь до последней версии 6.
9.2. При импорте не переносятся группы сервисов и IP-адресов, так как в версии 6 группы не поддерживаются.
Импорт конфигурации в группу шаблонов Management Center:
Перед импортом в области надо создать группу шаблонов и поместить в неё необходимые шаблоны. Так как основной смысл шаблонов в группе шаблонов в переиспользовании объектов, хорошей практикой является отсутствие дублирования объектов в одинаковых разделах конфигурации шаблонов в группе шаблонов. В соответствии с этим принципом, конвертер проверяет наличие дублирования объектов во всех шаблонах группы шаблонов. При обнаружении объектов с совпадающими именами в одинаковых разделах конфигурации, выводится предупреждение и для импорта будет использован первый найденный объект. Это может привести не к тому результату, который вы ожидаете. Поэтому, пожалуйста, соблюдайте правило: один объект с уникальным именем в определённом разделе конфигурации на всю группу шаблонов. Кроме этого, это в будущем облегчит работу с шаблонами и группами шаблонов.
Перед импортом каждого объекта происходит поиск его по имени во всех шаблонах указанной группы шаблонов. Если такой объект найден в каком то из шаблонов, то он не импортируется. При этом выдаётся соответствующее сообщение с указанием шаблона в котором объект присутствует. Шаблоны других групп не проверяются. Это относится к объектам библиотеки, некоторым объектам раздела "Сеть" и другим объектам, которые являются общими для различных правил.
В версии МС меньше чем 7.2 при импорте объектов не учитывается регистр символов. То есть одинаковые имена в разных регистрах считаются одинаковыми! МС выдаёт сообщение, что такой объект уже существует и не импортирует его.
Если у Вас используются сервера аутентификации (LDAP, NTLM, SAML), то необходимо настроить LDAP-коннектор в разделе "Управление областью/Каталоги пользователей" и проверить его работу. Данный LDAP-коннектор будет использоваться для поиска доменных пользователей и групп в правилах.
Перед импортом убедитесь, что в шаблоне Management Center существуют интерфейсы и зоны. Они необходимы для создания VLAN, subnet DHCP. Если нет интерфейсов то VLAN и subnet DHCP не будут созданы. Рекомендуется в первую очередь импортировать зоны, затем создать необходимые интерфейсы для будущих VLAN, шлюзов, subnet DHCP и VRF и только затем импортировать всё.
После импорта раздела UserGate/Настройки включите синхронизацию необходимых подразделов.
Если при импорте правила в шаблон МС произошли ошибки, то данное правило становится не активным и в описание правила добавляются сообщения о произошедших ошибках. После импорта проверьте все не активные правила на предмет ошибок импорта.
Правила МЭ, КФ и т.д. добавляются в конец списка правил. Это надо учитывать если вы повторно импортируете конфигурацию в шаблон после изменений в файлах json. Не меняйте имена правил, иначе правила продублируются в конец списка правил.
Не следует импортировать конфигурацию, полученную с UserGate NGFW. В этом конвертере импорт некоторых разделов реализован иначе.
Ограничения:
Импортируются только интерфейсы VLAN и Tunnel. Все остальные интерфейсы надо будет настроить руками.
В версиях 6 и 7.0 нельзя добавить более 8 полос пропускания в библиотеку. При добавлении большего количества получим ошибку.
3.2. Если на Cisco ASA в настройках подключения к AD Windows использовались криптографические пароли, то после конвертации серверов аутентификации LDAP необходимо в настройках соответствующего LDAP-адаптера ввести необходимый логин/пароль для коннектора. Если нет, то LDAP-коннектор сразу автоматически подключается к контроллеру домена. Проверьте работу LDAP-коннекторов, отключите лишние. Это важно для импорта правил, если в них используются доменные пользователи и группы.
3.3. При импорте, интерфейсы VLAN получают IP-адреса из конфигурации Cisco ASA. Проследите, чтобы не было конфликта IP-адресов в ваших сетях.
3.4. Интерфейсы VLAN после импорта находятся в неактивированном состоянии. Вам необходимо проверить все VLAN, по необходимости откорректировать их, удалить ненужные и добавить необходимые. После этого включить и проверить их работу.
3.5. При импорте локальных пользователей, пароли не переносятся. Вам надо вручную задать пароли для всех пользователей или настроить авторизацию по IP/MAC/VLAN.
3.6. При импорте локальных пользователей, тире и пробел в логине заменяются на символ подчёркивания. Точка, прямой и обратный слеши убираются.
3.7. Доменные группы из Local User Groups не переосятся, так как на NGFW нельзя задать доменные группы в локальных группах.
3.8. При конвертации access-list не активные ACE пропускаются. Так же пропускаются access-list не привязанные к интерфейсу.
3.9. ACE for Security-Based Matching (Cisco TrustSec) не конвертируются, так как данная технология отсутствует на UG NGFW. Поэтому security-group и object-group-security не обрабатываются и ACE с их использованием не обрабатываются (пропускаются).
3.10. После конвертации access листов в правила межсетевого экрана UG NGFW, межсетевой экран будет работать ожидаемо не так как это происходило на Cisco ASA. В UG NGFW межсетевой экран оперирует зонами, которые присваиваются определённым интерфейсам. Кроме того правила NAT и DNAT не требуют создания правил МЭ, так как сами создают скрытые, необходимые для работы, правила МЭ. Поэтому дополнительно разрешать данный трафик нет необходимости и соответствующие правила МЭ надо удалить.
3.11. EtherType ACLs не поддерживаются.
3.12. Standard ACLs не конвертируются. Необходмио создать соответствующие разрешения в протоколах маршрутизации виртуальных маршрутизаторов.
3.13. ACE for URL Matching - данный тип преобразуется в правила контентной фильтрации. В связи с этим не поддерживаются протоколы: cifs://, citrix://, citrixs://, imap4://, nfs://, pop3://, smart-tunnel://, smtp://. Конвертируются только ACE с типом протокола http://, https:// и ftp://. Так же не поддерживается wildcards в протоколах, например htt* или *://example.com и символы "?" и квадратные скобки []. Для неподдерживаемых в правилах контентной фильтрации протоколов необходимо создать соответствующие правила МЭ.
3.14. Если были импортированы правил фильтрации контента, обязательно проверьте импортированные правила. Отредактируйте их, укажите зоны и адреса источника/назначения, пользователей и другие параметры.
3.15. Если вы делаете импорт не всей конфигурации, то необходимо учитывать, что разделы конфигурации взаимосвязаны друг с другом. Поэтому импорт определённого раздела пройдёт без ошибок только если ранее был выполнен импорт всех предыдущих пунктов этого меню. Необходимо в первую очередь импортировать Библиотеку и затем импортировать разделы с первого до последнего, проверяя сообщения каждого раздела на предмет ошибок.
3.16. Некоторые правила NAT (static) не будут конвертированы, так как идеология данных правил на UG NGFW отличается от Cisco. Вам необходимо проверить все правила, изменить существующие и создать недостающие.
3.17. В общем случае, UG NGFW обладает гораздо большими возможностями по управлению трафиком чем Cisco ASA. Поэтому рекомендуется настроить SSL инспектирование, правила фильтрации контента и веб-безопасности, СОВ, защиту почтового трафика и DoS, а так же использовать другие возможности, предоставляемые данным решением.
4. Экспорт с Cisco FPR:
4.1. Переносятся настройки:
Экспорт с Fortigate:
5.1. При экспорте сервисов, поля "iprange" и "fqdn" не переносятся так как не поддерживаются в UG NGFW.
5.2. При экспорте групп пользователей, доменные пользователи не переносятся так как не известно к какому домену они относятся.
5.3. Если имя правила МЭ состоит из одних спец.символов (например "-----"), то оно заменяется на порядковый номер, так как спец.символы запрещены в именах правил. В случае других правил, генерируется произвольный код. В описание правила добавляется соответствущее сообщение.
5.4. Правила NAT не переносятся так как идеология натирования в UG NGFW очень сильно отличается от Fortigate.
5.5. Правила раздела "config firewall vip" конвертируются в правила DNAT, Порт-форвардинга и балансировки нагрузки. Если в этих правилах использовались сертификаты, после импорта надо удалить соответствующие правила балансировки нагрузки и в ручную создать правила reverse-прокси, предварительно загрузив необходимые сертификаты.
5.6. Если в правиле порт-форвардинга из раздела "config firewall vip" в полях "extport" или "mappedport" используется диапазон портов, то такое правило преобразуется в правило DNAT, так как диапазоны портов не допустимы в правилах порт-форвардинга UserGate.
5.7. После импорта настроек BGP необходимо в настройках каждого BGP-соседа установить параметры "in/out" в соответствующих фильтрах BGP-соседей и Routemaps, так как данные параметры невозможно установить посредством API.
5.8. После импорта правил межсетевого экрана необходимо в каждом правиле указать зоны источника/назначения. Создайте необходимое количество зон и присвойте соответствующую зону каждому интерфейсу.
5.9. Если были импортированы правила балансировки нагрузки и DNAT, укажите в каждом правиле необходимые зоны.
5.10. Переносятся настройки:
- Интерфейсы VLAN - "Сеть/Интерфейсы"
- Настройки DNS - "Сеть/DNS"
- Настройки шлюзов - "Сеть/Шлюзы"
- Настройки DHCP subnets - "Сеть/DHCP"
- Статические маршруты - "Сеть/Виртуальные маршрутизаторы"
- Настройки BGP - "Сеть/Виртуальные маршрутизаторы"
- Настройки NTP - "UserGate/Настройки/Настройки времени сервера"
- Серверы аутентификации (LDAP, RADIUS) - "Пользователи и устройства/Серверы аутентификации"
- Группы пользователей - "Пользователи и устройства/Группы"
- Локальные пользователи - "Пользователи и устройства/Пользователи"
- Правила межсетевого экрана - "Политики сети/Межсетевой экран"
- Правила DNAT и Порт-форвардинга - "Политики сети/NAT и маршрутизация"
- Правила балансировки нагрузки - "Политики сети/Балансировка нагрузки"
- Правила пропускной способности - "Политики сети/Пропускная способность"
- Ресурсы веб-портала - "Глобальный портал/Веб-портал"
- Списки IP-адресов - "Библиотеки/IP-адреса"
- Списки групп IP-адресов - "Библиотеки/IP-адреса"
- Списки URL - "Библиотеки/Списки URL"
- Сетевые сервисы - "Библиотеки/Сервисы"
- Группы сетевых сервисов - "Библиотеки/Группы сервисов"
- Полосы пропускания - "Библиотеки/Полосы пропускания"
- Почтовые адреса - "Библиотеки/Почтовые адреса"
- Профили оповещений - "Библиотеки/Профили оповещений"
- Временные интервалы - "Библиотеки/Календари"
Экспорт с Check Point:
6.1. Настройки arp-proxy не переносятся, так как идеология данного функционала на UG NGFW отличается от CheckPoint. Если необходимо, настройте arp-proxy на интерфейсах через CLI.
6.2. Настройки протоколов динамической маршрутизации (ospf, bgp) не переносятся. Необходимо настроить их на NGFW заново руками.
6.3. Адреса IPV6 не поддерживаются. Поэтому объекты host, network с такими адресами не переносятся.
6.4. Длина имени IP или URL листов недолжна превышать максимально допустимую длину имени файла в Linux (т.е. 255 байт). При превышении такой список не конвертируется и не будет использован в правилах.
6.5. У всех объектов конфигурации CheckPoint должны быть имена. Если у объекта нет имени, при импорте ему присвоится автоматически сгенерированное имя (например b2d0ddf1d78).
6.6. Если в access-role имена пользователей указаны русскими буквами и не указан email, то такие пользователи не конвертируются и не будут использованы в правилах.
6.7. Access-rule могут конвертироваться в 2 правила (МЭ и КФ). Если в access-rule используются сервисы и/или приложения, то правило попадает в раздел "Политики сети/Межсетевой экран". Если в access-rule используются URL и/или Категории URL, то создаётся правило в разделе "Политики безопасности/Фильтрация контента".
6.8. Если сервис из access-rule трансформировался в категории URL и список URL в правиле контентной фильтрации, то правило сработает только при совпадении этих 2-х условий (логическое "И"). То есть правило будет работать не так как на CheckPoint, где это логическое "ИЛИ". В этом случае получившееся правило КФ надо разбить на два (в первом использовать категории URL, во втором список URL).
6.9. Перед импортом создайте на UG NGFW необходимое количество зон, так как при импорте VLAN надо будет указать зону для каждого интерфейса.
6.10. Переносятся настройки:
- Часовой пояс - "UserGate/Настройки/Часовой пояс"
- Настройки NTP - "UserGate/Настройки/Настройки времени сервера"
- Зоны - "Сеть/Зоны"
- Интерфейсы VLAN - "Сеть/Интерфейсы"
- Настройки DNS - "Сеть/DNS"
- Настройки шлюзов - "Сеть/Шлюзы"
- Статические маршруты - "Сеть/Виртуальные маршрутизаторы"
- Сетевые сервисы - "Библиотеки/Сервисы"
- Группы сетевых сервисов - "Библиотеки/Группы сервисов"
- Списки IP-адресов и групп IP-адресов - "Библиотеки/IP-адреса"
- Списки URL - "Библиотеки/Списки URL"
- Группы URL категорий - "Библиотеки/Категории URL"
- Группы приложений - "Библиотеки/Группы приложений"
- Календари - "Библиотеки/Календари"
- Правила межсетевого экрана - "Политики сети/Межсетевой экран"
- Правила контентной фильтрации - "Политики безопасности/Фильтрация контента"
Экспорт с Huawei:
7.1. При экспорте правил security-policy, geo-location с обозначениями стран не переносятся. После импорта на UG NGFW в соответствующих правилах межсетевого экрана необходимо руками указать нужные настройки GeoIP. Переносятся только настройки "geo-location user-defined".
7.2. При экспорте правил security-policy, profile не конвертируются.
7.3. При экспорте правил traffic-policy, указанные интерфейсы не конвертируются. После импорта на UG NGFW в соответствующих правилах пропускной способности необходимо указать зоны, соответствующие нужным интерфейсам.
7.4. Правила policy-based-route не переносятся, так как в UG NGFW используется другая идеология для построения правил ПБР. В общем случае данные правила Huawei заменяются правилами статических маршрутов и общим правилом NAT из входящей зоны в исходящую.
7.5. Правила МЭ и NAT/DNAT после импорта находятся в неактивном состоянии. Проверьте их и внесите необходимые изменения. На UserGate NGFW идеология применения правил NAT отличается от Huawei. Обычно создаются общие правила NAT между зонами, более детальный доступ настраивается правилами межсетевого экрана. Рекомендуется придерживаться данной стратегии.
7.6. Переносятся настройки:
Экспорт с MikroTik:
8.1. При экспорте интерфейсов VLAN IP-адреса разных VLAN не должны принадлежать одной подсети. Это ограничение UserGate NGFW.
8.2. После импорта шлюзов, для каждого шлюза укажите соответствующий порт.
8.3. Правила МЭ со статусом "disabled" не переносятся.
8.4. Правила МЭ с сервисами, отсутствующими на UG NGFW не переносятся.
8.5. Если правила МЭ не содержат dst-address или src-address и назначены на конкретный интерфейс, то такие правила не переносятся. Для конвертации таких правил, назначьте в "interface list" имена и присвойте соответствующие имена интерфейсам.
8.6. После конвертации, скорее всего, некоторые правила МЭ будут дублироваться. Это связано с идеологией построения правил МЭ на UG NGFW, которая отличается от низкоуровневого построения правил на MikroTik. После импорта Проверьте все правила, откорректируйте их, удалите дубликаты и включите нужные.
8.7. Правила NAT не переносятся, так как идеология применения таких правил UG NGFW сильно отличается от MikroTik.
8.8. Переносятся правила "netmap" с chain "dstnat". Такие правила конвертируются в правила DNAT и Port/Forwarding.
8.9. Правила DNAT со статусом "disabled" не переносятся.
8.10. Переносятся настройки:
Если вы импортируете конфигурацию на версию 7, то имена групп, серверов аутентификации, различных профилей, правил, всех списков библиотеки и всего-всего должны быть ТОЛЬКО в английском регистре. Специальные символы так же запрещены. Разрешаеться использовать только символы: "(", ")", "+", "-", "_", "." если они не являются первым симоволом имени. Русские буквы допустимы только в описании. Перед экспортом, замените русские символы в именах на английские.
Начиная с версии 7.1 в именах запрещены многие спец.символы. При экспорте с любой версии будет произведено их удаление.
Если существуют правила МЭ с одинаковыми именами, то при конвертации к имени такого правило добавляется номер, что бы имена были уникальными.
Пробелы в начале и конце имён правил, списков и т.д. при конвертации удаляются.
При экспорте списков IP-адресов типа "10.10.10.0/24" такой список сохраняется в файл "10.10.10.0_24" так как при переносе каждый список записывается в отдельный файл, а в файловой системе Linux прямой слэш является разделителем пути к файлу. Имя самого списка не меняется.
Никакие пароли (локальных пользователей, VPN, серверов аутентификации и т.д.) не переносятся. Необходимо заново вручную ввести пароль. Это ограничение API - невозможно выгрузить парольную информацию.
При импорте интерфейсов VLAN им прописываются IP-адреса из сохранённой конфигурации. Необходимо проследить, чтобы не было конфликта IP-адресов. В общем случае можно в файле выгруженной конфигурации data_usergate/.../Network/Interfaces/config_interfaces.json поменять ip-адрес на каждом интерфейсе.
Сертификаты не экспортируются. Если вы используете собственные сертификаты, необходимо загрузить и сконфигурировать их.
После переноса конфигурации, устройству UserGate NGFW/DCFW требуется время для компиляции списков сервисов, ip-листов, правил межсетевого экрана и т.д.. Во время этого процесса веб-консоль может быть недоступна некоторое время, так как данный процесс требует значительных вычислительных затрат. Время зависит от количества правил, объёма списков и мощности устройства. Необходимо дождаться завершения процесса.
После конвертации сторонней конфигурации на UserGate, UserGate NGFW/DCFW скорее всего будет работать не совсем так как вы возможно ожидали. Это связано с несколько разной идеологией в архитектуре устройств, построении правил, отличающимися категориями URL, разным набором приложений и принципом работы с сигнатурами приложений и СОВ. Обязательно тщательно протестируйте все правила и при необходимости скорректируйте их.
Если вы обнаружили ошибку в программе или у вас что то не получается, пожалуйста, откройте тикет в тех.поддержку компании UserGate.
Errors:
На ПК с видеокартами NVIDIA возможна ошибка: "libEGL warning: egl: failed to create dri2 screen"
В этом случае необходимо:
sudo apt-get install libnvidia-egl-wayland1
Перезагрузить компьютер.
На виртуальных машинах возможна ошибка: "libEGL.so.1: cannot open shared object file: No such file or directory"
Может помочь: apt update && apt install -y libopencv-dev && apt clean && rm -rf /var/lib/apt/lists/*