Режим моста#

Обзор#

В режиме моста межсетевой экран анализирует и фильтрует трафик на втором уровне модели OSI. Режим объединяет физические или виртуальные интерфейсы, сетевые сегменты в одно логическое целое. Данные между объединенными участниками пересылаются прозрачно, без препятствий и вне зависимости от протокола их передачи. Интерфейсы на двух сегментах не знают, что между ними проложен сетевой мост и думают, что соединены друг с другом напрямую. Подробно настройка интерфейсов моста описана в разделе Интерфейс сетевого моста

Как и базовый режим межсетевого экрана, режим моста использует правила, классификаторы, поддерживает создание пользовательских наборов правил. Однако синтаксис и набор функций в двух режимах несколько отличаются. В режиме моста задать правила можно лишь для потока FORWARD, остальные потоки работают в автоматическом режиме.

Поток INPUT обозначает трафик, который поступает на интерфейс. Если пакеты адресуются на порт интерфейса в составе межсетевого экрана в режиме моста, то они будут допущены до следующего потока — BRIDGE. На потоке BRIDGE маршрутизатор анализирует пакет и устанавливает, кому он адресован. Правила фильтрации применяются на следующем потоке FORWARD. Если трафик будет соответствовать правилам, он будет допущен до адресата. Если нет, то будет направлен на поток OUTPUT, т.е. на выход межсетевого экрана.

База правил фильтрации способна хранить до 999999 уникальных фильтрующих значений. В соответствии с заданными правилами пакеты будут допущены во внутреннюю сеть, отброшены или перенаправлены. По умолчанию правила на потоках принимают трафик (accept), а созданные наборы правил — отбрасывают (drop).

Примечание

Если вместо MAC-адреса пакеты будут адресованы IP-адресу интерфейса в составе межсетевого экрана в режиме моста, то маршрутизатор не направит данные адресату, а передаст такие пакеты на анализ межсетевому экрану в базовом режиме.

Пример настройки#

Шаг

Команда

Описание

1

set firewall bridge forward filter default-action drop

По умолчанию отбрасывает пакеты на потоке FORWARD

set firewall bridge forward filter default-log

Включает журналирование на потоке FORWARD, когда применится действие по умолчанию

2

set firewall bridge forward filter rule 10 action continue

Создает правило с порядковым номером 10 на потоке FORWARD и применяет следующее правило. Трафик, пришедший на интерфейс eth2 с VLAN ID 22, передается дальше для следующих правил.

set firewall bridge forward filter rule 10 inbound-interface name eth2

Добавляет правило с порядковым номером 10 в цепочку правил и выбирает внутренний интерфейс eth2

set firewall bridge forward filter rule 10 vlan id 22

Добавляет правило с порядковым номером 10 в цепочку правил и выбирает VLAN-интерфейс с идентификатором 22

3

set firewall bridge forward filter rule 20 action drop

Создает правило с порядковым номером 20 на потоке FORWARD и отбрасывает пакеты. Трафик из группы интерфейсов TRUNK-RIGHT с VLAN ID 60 отбрасывается. Это имеет приоритет над последующими разрешающими правилами.

set firewall bridge forward filter rule 20 inbound-interface group TRUNK-RIGHT

Добавляет правило с порядковым номером 20 в цепочку правил и выбирает группу входных интерфейсов TRUNK-RIGHT

set firewall bridge forward filter rule 20 vlan id 60

Добавляет правило с порядковым номером 20 в цепочку правил и выбирает VLAN-интерфейс с идентификатором 60

4

set firewall bridge forward filter rule 30 action jump

Создает правило с порядковым номером 30 и переходит на другой набор правил. Весь трафик, который отправляется с любых других интерфейсов кроме, переходит на обработку на пользовательский набор правил TEST. После обработки в наборе правил TEST фильтрация вернется к следующему правилу (35) на потоке FORWARD.

set firewall bridge forward filter rule 30 jump-target TEST

Добавляет правило с порядковым номером 30 в цепочку правил и переходит на набор правил TEST

set firewall bridge forward filter rule 30 outbound-interface name !eth1

Добавляет правило с порядковым номером 30 в цепочку правил и выбирает все выходные интерфейсы кроме eth1

5

set firewall bridge forward filter rule 35 action accept

Создает правило с порядковым номером 35 и принимает пакеты

set firewall bridge forward filter rule 35 vlan id 11

Добавляет правило с порядковым номером 35 в цепочку правил и выбирает VLAN-интерфейс с идентификатором 11

6

set firewall bridge forward filter rule 40 action continue

Создает правило с порядковым номером 40 и применяет следующее правило

set firewall bridge forward filter rule 40 destination mac-address 66:55:44:33:22:11

Добавляет правило с порядковым номером 40 в цепочку правил и задает MAC-адрес назначения 66:55:44:33:22:11

set firewall bridge forward filter rule 40 source mac-address 11:22:33:44:55:66

Добавляет правило с порядковым номером 40 в цепочку правил и задает MAC-адрес источника 11:22:33:44:55:66

7

set firewall bridge name TEST default-action accept

Создает набор правил TEST и по умолчанию принимает пакеты

set firewall bridge name TEST default-log

Набор правил TEST включит журналирование, когда применится действие по умолчанию

set firewall bridge name TEST rule 10 action continue

Добавляет в набор правил TEST правило с порядковым номером 10 и применяет следующее правило

set firewall bridge name TEST rule 10 log

Добавляет в набор правил TEST правило с порядковым номером 10 и включает журналирование

set firewall bridge name TEST rule 10 vlan priority 0

Добавляет в набор правил TEST правило с порядковым номером 10 и устанавливает приоритет VLAN (802.1p) равным 0.

Список команд#

Режим «Конфигурирование»#


firewall bridge forward filter rule <1-999999> [<accept> | <continue> | <drop> | <jump> | <queue> | <return>]#

Описание:
Создает правило и применяет выбранное действие к трафику на потоке FORWARD.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> [<accept> | <continue> | <drop> | <jump> | <queue> | <return>]

  • delete firewall bridge forward filter rule <1-999999> [<accept> | <continue> | <drop> | <jump> | <queue> | <return>]

  • show firewall bridge forward filter rule <1-999999> action

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <accept> — принимает пакет во внутреннюю сеть;

  • <continue> — применяет к пакету следующее правило;

  • <drop> — отбрасывает пакет без оповещения;

  • <reject> — отбрасывает пакет и оповещает отправителя;

  • <jump> — переходит на другой набор правил;

  • <return> — выходит из текущей цепочки, возвращается в исходную и применяет следующее правило исходной цепочки;

  • <queue> — передает пакет процессам в пользовательском пространстве.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> action [<accept> | <continue> | <drop> | <jump> | <queue> | <return>]#

Описание:
Создает набор правил и применяет выбранное действие к трафику.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> action [<accept> | <continue> | <drop> | <jump> | <queue> | return]

  • delete firewall bridge name <name> rule <1-999999> action [<accept> | <continue> | <drop> | <jump> | <queue> | return]

  • show firewall bridge name <name> rule <1-999999> action

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <accept> — принимает пакет во внутреннюю сеть;

  • <continue> — применяет к пакету следующее правило;

  • <drop> — отбрасывает пакет без оповещения;

  • <reject> — отбрасывает пакет и оповещает отправителя;

  • <jump> — переходит на другой набор правил;

  • <return> — выходит из текущей цепочки, возвращается в исходную и применяет следующее правило исходной цепочки;

  • <queue> — передает пакет процессам в пользовательском пространстве.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> jump-target <text>#

Описание:
Создает правило и переходит на другой набор правил.
Предварительно необходимо для аргумента action задать значение jump.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> jump-target <text>

  • delete firewall bridge forward filter rule <1-999999> jump-target <text>

  • show firewall bridge forward filter rule <1-999999> jump-target

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <text> — имя другого набора правил, куда будет перенаправлен трафик.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> jump-target <text>#

Описание:
Создает набор правил и переходит на другой набор правил.
Предварительно необходимо для аргумента action задать значение jump.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> jump-target <text>

  • delete firewall bridge name <name> rule <1-999999> jump-target <text>

  • show firewall bridge name <name> rule <1-999999> jump-target

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <text> — имя другого набора правил, куда будет перенаправлен трафик.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> queue <0-65535>#

Описание:
Создает правило и отправляет трафик с потока FORWARD на указанную очередь в ядро. По мере освобождения очереди пакеты будут передаваться на обработку процессу в пользовательском пространстве.
Предварительно необходимо для аргумента action задать значение queue. Более подробно работа с очередями описана в разделе Приоритизация трафика (QoS).

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> queue <0-65535>

  • delete firewall bridge forward filter rule <1-999999> queue <0-65535>

  • show firewall bridge forward filter rule <1-999999> queue

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <0-65535> — номер очереди. Формат: целое число или диапазон чисел. Диапазон значений: от 0 до 65535.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> queue <0-65535>#

Описание:
Создает набор правил и отправляет трафик на указанную очередь в ядро. По мере освобождения очереди пакеты будут передаваться на обработку процессу в пользовательском пространстве.
Предварительно необходимо для аргумента action задать значение queue. Более подробно работа с очередями описана в разделе Приоритизация трафика (QoS).

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> queue <0-65535>

  • delete firewall bridge name <name> rule <1-999999> queue <0-65535>

  • show firewall bridge name <name> rule <1-999999> queue

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <0-65535> — номер очереди. Формат: целое число или диапазон чисел. Диапазон значений: от 0 до 65535.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> queue-options bypass#

Описание:
Создает правило и не отправляет трафик с потока FORWARD на указанную очередь в ядро. Пакеты будут сразу передаваться на обработку процессу в пользовательском пространстве.
Предварительно необходимо для аргумента action задать значение queue. Более подробно работа с очередями описана в разделе Приоритизация трафика (QoS).

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> queue-options bypass

  • delete firewall bridge forward filter rule <1-999999> queue-options bypass

  • show firewall bridge forward filter rule <1-999999> queue-options

Аргументы:

  • <1-999999> — порядковый номер правила.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> queue-options bypass#

Описание:
Создает набор правил и не отправляет пакеты на указанную очередь в ядро. Пакеты будут сразу передаваться на обработку процессу в пользовательском пространстве.
Предварительно необходимо для аргумента action задать значение queue. Более подробно работа с очередями описана в разделе Приоритизация трафика (QoS).

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> queue-options bypass

  • delete firewall bridge name <name> rule <1-999999> queue-options bypass

  • show firewall bridge name <name> rule <1-999999> queue-options

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> queue-options fanout#

Описание:
Создает правило и распределяет трафик равномерно внутри одной очереди на потоке FORWARD.
Предварительно необходимо для аргумента action задать значение queue. Более подробно работа с очередями описана в разделе Приоритизация трафика (QoS).

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> queue-options fanout

  • delete firewall bridge forward filter rule <1-999999> queue-options fanout

  • show firewall bridge forward filter rule <1-999999> queue-options

Аргументы:

  • <1-999999> — порядковый номер правила.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> queue-options fanout#

Описание:
Создает набор правил и распределяет трафик равномерно внутри одной очереди.
Предварительно необходимо для аргумента action задать значение queue. Более подробно работа с очередями описана в разделе Приоритизация трафика (QoS).

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> queue-options fanout

  • delete firewall bridge name <name> rule <1-999999> queue-options fanout

  • show firewall bridge name <name> rule <1-999999> queue-options

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила.

Режим: «Конфигурирование».

firewall bridge forward filter default-action [accept | drop]#

Описание:
Создает правило и устанавливает действие по умолчанию, которое применится, если трафик на потоке FORWARD не будет соответствовать ни одному правилу.

Синтаксис:

  • set firewall bridge forward filter default-action [<accept> | <drop>]

  • delete firewall bridge forward filter default-action [<accept> | <drop>]

  • show firewall bridge forward filter default-action

Аргументы:

  • <accept> — принимает пакет во внутреннюю сеть;

  • <drop> — отбрасывает пакет без оповещения.

Режим: «Конфигурирование».

firewall bridge name <name> default-action [<accept> | <continue> | <drop> | <jump> | <queue> | <return>]#

Описание:
Создает набор правил и устанавливает действие по умолчанию, которое применится, если трафик не будет соответствовать ни одному правилу.

Синтаксис:

  • set firewall bridge name <name> default-action [<accept> | <continue> | <drop> | <jump> | <queue> | <return>]

  • delete firewall bridge name <name> default-action [<accept> | <continue> | <drop> | <jump> | <queue> | <return>]

  • show firewall bridge name <name> default-action

Аргументы:

  • <name> — имя набора правил;

  • <accept> — принимает пакет во внутреннюю сеть;

  • <continue> — применяет к пакету следующее правило;

  • <drop> — отбрасывает пакет без оповещения;

  • <jump> — переходит на другой набор правил;

  • <queue> — передает пакет процессам в пользовательском пространстве;

  • <return> — выходит из текущей цепочки, возвращается в исходную и применяет следующее правило исходной цепочки.

Режим: «Конфигурирование».

firewall bridge name <name> default-jump-target <text>#

Описание:
Создает набор правил и по умолчанию переходит на другой набор правил.
Предварительно необходимо установить в качестве действия по умолчанию (default-jump-target) значение jump.

Синтаксис:

  • set firewall bridge name <name> default-jump-target <text>

  • delete firewall bridge name <name> default-jump-target <text>

  • show firewall bridge name <name> default-jump-target

Аргументы:

  • <name> — имя набора правил;

  • <text> — имя другого набора правил, куда будет перенаправлен трафик.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> log#

Описание:
Включает журналирование, когда на потоке FORWARD сработает указанное правило.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> log

  • delete firewall bridge forward filter rule <1-999999> log

  • show firewall bridge forward filter rule <1-999999>

Аргументы:

  • <1-999999> — порядковый номер правила.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> log#

Описание:
Включает журналирование, когда сработает указанное правило.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> log

  • delete firewall bridge name <name> rule <1-999999> log

  • show * set firewall bridge name <name> rule <1-999999>

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила.

Режим: «Конфигурирование».

firewall bridge forward filter default-log#

Описание:
Включает журналирование на потоке FORWARD, когда применяется действие по умолчанию.

Синтаксис:

  • set firewall bridge forward filter default-log

  • delete firewall bridge forward filter default-log

  • show firewall bridge forward filter

Режим: «Конфигурирование».

firewall bridge name <name> default-log#

Описание:
Присваивает имя набору правил и включает журналирование тогда, когда применяется действие по умолчанию.

Синтаксис:

  • set firewall bridge name <name> default-log

  • delete firewall bridge name <name> default-log

  • show firewall bridge name <name>

Аргументы:

  • <name> — имя набора правил.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> log-options level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]#

Описание:
Создает правило и устанавливает, какие события система будет журналировать при поступлении трафика от установленных соединений на потоке FORWARD.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> log-options level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]

  • delete firewall bridge forward filter rule <1-999999> log-options level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]

  • show firewall bridge forward filter rule <1-999999> log-options level

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <emerg> — самый высокий уровень опасности. Система не отвечает. Пример: нарушена безопасность периметра сети, потерян контроль над межсетевым экраном;

  • <alert> — система находится под серьезной угрозой. Немедленно предпримите необходимые действия. Пример: большой наплыв трафика, вероятность DDoS-атаки;

  • <crit> — система находится в критическом состоянии. Если не предпринять действий, состояние системы ухудшится. Пример: классификатор не применился к правилу;

  • <err> — ошибка в работе системы. Система продолжит работать, однако потребует внимания. Пример: заканчивается место на диске;

  • <warn> — предупреждение. Возможно, система столкнулась с проблемой. Пример: большинство входящих пакетов отвергнуты, отредактируйте правила фильтрации;

  • <notice> — уведомление. Состояние системы в норме. Возможно, были изменены некоторые компоненты системы или система была обновлена. Пример: успешно обновлены правила фильтрации;

  • <info> — информационные сообщения о статусе системы. Состояние системы в норме. Пример: межсетевой экран работает в штатном режиме;

  • <debug> — детализированная отладочная информация. Пример: система выводит информацию об IP-адресах, адресах источника и назначения, протоколах передачи и т.д.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> log-options level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]#

Описание:
Создает набор правил и устанавливает, какие события система будет журналировать при поступлении пакетов данных от установленных соединений.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> log-options level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]

  • delete firewall bridge name <name> rule <1-999999> log-options level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]

  • show firewall bridge name <name> rule <1-999999> log-options level

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <emerg> — самый высокий уровень опасности. Система не отвечает. Пример: нарушена безопасность периметра сети, потерян контроль над межсетевым экраном;

  • <alert> — система находится под серьезной угрозой. Немедленно предпримите необходимые действия. Пример: большой наплыв трафика, вероятность DDoS-атаки;

  • <crit> — система находится в критическом состоянии. Если не предпринять действий, состояние системы ухудшится. Пример: классификатор не применился к правилу;

  • <err> — ошибка в работе системы. Система продолжит работать, однако потребует внимания. Пример: заканчивается место на диске;

  • <warn> — предупреждение. Возможно, система столкнулась с проблемой. Пример: большинство входящих пакетов отвергнуты, отредактируйте правила фильтрации;

  • <notice> — уведомление. Состояние системы в норме. Возможно, были изменены некоторые компоненты системы или система была обновлена. Пример: успешно обновлены правила фильтрации;

  • <info> — информационные сообщения о статусе системы. Состояние системы в норме. Пример: межсетевой экран работает в штатном режиме;

  • <debug> — детализированная отладочная информация. Пример: система выводит информацию об IP-адресах, адресах источника и назначения, протоколах передачи и т.д.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> log-options group <0-65535>#

Описание:
Создает правило и указывает группу правил, которая будет вести журналирование на потоке FORWARD.
Предварительно необходимо включить журналирование через аргумент log.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> log-options group <0-65535>

  • delete firewall bridge forward filter rule <1-999999> log-options group <0-65535>

  • show firewall bridge forward filter rule <1-999999> log-options group

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <0-65535> — номер группы, которая будет вести журналирование.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> log-options group <0-65535>#

Описание:
Создает набор правил и указывает группу правил, которая будет вести журналирование.
Предварительно необходимо включить журналирование через аргумент log.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> log-options group <0-65535>

  • delete firewall bridge name <name> rule <1-999999> log-options group <0-65535>

  • show firewall bridge name <name> rule <1-999999> log-options group

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <0-65535> — номер группы, которая будет вести журналирование.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> log-options snapshot-length <0-9000>#

Описание:
Создает правило и устанавливает, насколько детально группа правил будет вести журналирование на потоке FORWARD.
Предварительно необходимо включить журналирование через аргумент log и указать группу правил.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> log-options snapshot-length <0-9000>

  • delete firewall bridge forward filter rule <1-999999> log-options snapshot-length <0-9000>

  • show firewall bridge forward filter rule <1-999999> log-options snapshot-length

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <0-9000> — размер полезной нагрузки пакета в байтах, которая будет включена в сообщения netlink. Диапазон значений: от 0 до 9000. Чем выше число, тем подробнее группа будет вести журналирование.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> log-options snapshot-length <0-9000>#

Описание:
Создает набор правил и устанавливает, насколько детально группа правил будет вести журналирование.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> log-options snapshot-length <0-9000>

  • delete firewall bridge name <name> rule <1-999999> log-options snapshot-length <0-9000>

  • show firewall bridge name <name> rule <1-999999> log-options snapshot-length

Аргументы:

  • <name> — имя набора правил;

  • <0-9000> — размер полезной нагрузки пакета в байтах, которая будет включена в сообщения netlink. Диапазон значений: от 0 до 9000. Чем выше число, тем подробнее группа будет вести журналирование.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> log-options queue-threshold <0-65535>#

Описание:
Создает правило и устанавливает порог на количество записей в журнал событий при поступлении трафика на поток FORWARD. По мере освобождения очереди, записи журнала событий будут передаваться процессу в пользовательское пространство.
Предварительно необходимо включить журналирование через аргумент log и указать через аргумент log-options group группу, которая будет вести журналирование.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> log-options queue-threshold <0-65535>

  • delete firewall bridge forward filter rule <1-999999> log-options queue-threshold <0-65535>

  • show firewall bridge forward filter rule <1-999999> log-options queue-threshold

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <0-65535> — максимальное число записей в журнал.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> log-options queue-threshold <0-65535>#

Описание:
Создает набор правил и устанавливает порог на количество записей в журнал событий при поступлении трафика. По мере освобождения очереди, записи журнала событий будут передаваться процессу в пользовательское пространство.
Предварительно необходимо включить журналирование через аргумент log и указать через аргумент log-options group группу, которая будет вести журналирование.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> log-options queue-threshold <0-65535>

  • delete firewall bridge name <name> rule <1-999999> log-options queue-threshold <0-65535>

  • show firewall bridge name <name> rule <1-999999> log-options queue-threshold

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <0-65535> — максимальное число записей в журнал.

Режим: «Конфигурирование».

firewall bridge name <name> description <text>#

Описание:
Создает набор правил и добавляет описание.

Синтаксис:

  • set firewall bridge name <name> description <text>

  • delete firewall bridge name <name> description <text>

  • show firewall bridge name <name> description

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> disable#

Описание:
Отключает правило для трафика на потоке FORWARD, но сохраняет конфигурацию.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> disable

  • delete firewall bridge forward filter rule <1-999999> disable

  • show firewall bridge forward filter rule <1-999999>

Аргументы:

  • <1-999999> — порядковый номер правила.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-9999999> disable#

Описание:
Отключает набор правил, но сохраняет конфигурацию.

Синтаксис:

  • set firewall bridge name <name> rule <1-9999999> disable

  • delete firewall bridge name <name> rule <1-9999999> disable

  • show firewall bridge name <name> rule

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> destination mac-address <mac-address>#

Описание:
Создает правило и задает MAC-адрес назначения для фильтрации трафика на потоке FORWARD.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> destination mac-address <mac-address>

  • delete firewall bridge forward filter rule <1-999999> destination mac-address <mac-address>

  • show firewall bridge forward filter rule <1-999999> destination mac-address

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <mac-address> — MAC-адрес. Формат: xx.xx.xx.xx.xx.xx.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> destination mac-address <mac-address>#

Описание:
Создает набор правил и задает MAC-адрес назначения для фильтрации трафика.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> destination mac-address <mac-address>

  • delete firewall bridge name <name> rule <1-999999> destination mac-address <mac-address>

  • show firewall bridge name <name> rule <1-999999> destination mac-address <mac-address>

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <mac-address> — MAC-адрес. Формат: xx.xx.xx.xx.xx.xx.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> source mac-address <mac-address>#

Описание:
Создает правило и задает MAC-адрес источника для фильтрации трафика на потоке FORWARD.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> source mac-address <mac-address>

  • delete firewall bridge forward filter rule <1-999999> source mac-address <mac-address>

  • show firewall bridge forward filter rule <1-999999> source mac-address

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <mac-address> — MAC-адрес. Формат: xx.xx.xx.xx.xx.xx.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> source mac-address <mac-address>#

Описание:
Создает набор правил и задает MAC-адрес источника для фильтрации трафика.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> source mac-address <mac-address>

  • delete firewall bridge name <name> rule <1-999999> source mac-address <mac-address>

  • show firewall bridge name <name> rule <1-999999> source mac-address

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <mac-address> — MAC-адрес. Формат: xx.xx.xx.xx.xx.xx.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> inbound-interface name <iface>#

Описание:
Создает правило на потоке FORWARD и выбирает входной интерфейс, через который трафик поступает на межсетевой экран.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> inbound-interface name <iface>

  • delete firewall bridge forward filter rule <1-999999> inbound-interface name <iface>

  • show firewall bridge forward filter rule <1-999999> inbound-interface name

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <iface> — входной интерфейс, через который трафик поступает на межсетевой экран. Используйте подстановочный знак «*», чтобы отобразить любой последующий набор символов.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> inbound-interface name <iface>#

Описание:
Создает набор правил и выбирает входной интерфейс, через который трафик поступает на межсетевой экран.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> inbound-interface name <iface>

  • delete firewall bridge name <name> rule <1-999999> inbound-interface name <iface>

  • show firewall bridge name <name> rule <1-999999> inbound-interface name

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <iface> — входной интерфейс, через который трафик поступает на межсетевой экран. Используйте подстановочный знак «*», чтобы отобразить любой последующий набор символов.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> inbound-interface group <iface_group>#

Описание:
Создает правило на потоке FORWARD и выбирает группу входных интерфейсов, через которую трафик поступает на межсетевой экран.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> inbound-interface group <iface_group>

  • delete firewall bridge forward filter rule <1-999999> inbound-interface group <iface_group>

  • show firewall bridge forward filter rule <1-999999> inbound-interface group

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <iface_group> — группа входных интерфейсов, через которую трафик поступает на межсетевой экран. Используйте подстановочный знак «*», чтобы отобразить любой последующий набор символов в названии.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> inbound-interface group <iface_group>#

Описание:
Создает набор правил и выбирает группу входных интерфейсов, через которую трафик поступает на межсетевой экран.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> inbound-interface group <iface_group>

  • delete firewall bridge name <name> rule <1-999999> inbound-interface group <iface_group>

  • show firewall bridge name <name> rule <1-999999> inbound-interface group

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <iface_group> — группа входных интерфейсов, через которую трафик поступает на межсетевой экран. Используйте подстановочный знак «*», чтобы отобразить любой последующий набор символов в названии.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> outbound-interface name <iface>#

Описание:
Создает правило на потоке FORWARD и выбирает выходной интерфейс, через который трафик исходит с межсетевого экрана.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> outbound-interface name <iface>

  • delete firewall bridge forward filter rule <1-999999> outbound-interface name <iface>

  • show firewall bridge forward filter rule <1-999999> outbound-interface name

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <iface> — выходной интерфейс, через который трафик исходит с межсетевого экрана. Используйте подстановочный знак «*», чтобы отобразить любой последующий набор символов в названии.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> outbound-interface name <iface>#

Описание:
Создает набор правил и выбирает выходной интерфейс, через который трафик исходит с межсетевого экрана.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> outbound-interface name <iface>

  • delete firewall bridge name <name> rule <1-999999> outbound-interface name <iface>

  • show firewall bridge name <name> rule <1-999999> outbound-interface name

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <iface> — выходной интерфейс, через который трафик исходит с межсетевого экрана. Используйте подстановочный знак «*», чтобы отобразить любой последующий набор символов в названии.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> outbound-interface group <iface_group>#

Описание:
Создает правило на потоке FORWARD и выбирает группу выходных интерфейсов, через которую трафик исходит с межсетевого экрана.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> outbound-interface group <iface_group>

  • delete firewall bridge forward filter rule <1-999999> outbound-interface group <iface_group>

  • show firewall bridge forward filter rule <1-999999> outbound-interface group

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <iface_group> — группа выходных интерфейсов, через которую трафик исходит с межсетевого экрана.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> outbound-interface group <iface_group>#

Описание:
Создает набор правил и выбирает группу выходных интерфейсов, через которую трафик исходит с межсетевого экрана.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> outbound-interface group <iface_group>

  • delete firewall bridge name <name> rule <1-999999> outbound-interface group <iface_group>

  • show firewall bridge name <name> rule <1-999999> outbound-interface group

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <iface_group> — группа выходных интерфейсов, через которую трафик исходит с межсетевого экрана.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> vlan id [<0-4096> | <start-end>]#

Описание:
Создает правило на потоке FORWARD и фильтрует трафик, который принадлежит определенному VLAN-интерфейсу или диапазону.

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> vlan id <0-4096>

  • delete firewall bridge forward filter rule <1-999999> vlan id <0-4096>

  • show firewall bridge forward filter rule <1-999999> vlan id

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <vlan-id> — идентификатор VLAN-интерфейса. Диапазон значений: от 0 до 4096.

  • <start>-<end> — диапазон идентификаторов VLAN-интерфейсов. Диапазон значений: от 0 до 4096.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> vlan id [<0-4096> | <start-end>]#

Описание:
Создает набор правил и фильтрует трафик, который принадлежит определенному VLAN-интерфейсу или диапазону.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> vlan id <0-4096>

  • delete firewall bridge name <name> rule <1-999999> vlan id <0-4096>

  • show firewall bridge name <name> rule <1-999999> vlan id

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <vlan-id> — идентификатор VLAN-интерфейса. Диапазон значений: от 0 до 4096.

  • <start>-<end> — диапазон идентификаторов VLAN-интерфейсов. Диапазон значений: от 0 до 4096.

Режим: «Конфигурирование».

firewall bridge forward filter rule <1-999999> vlan priority [<0-7> | <start>-<end>]#

Описание:

Синтаксис:

  • set firewall bridge forward filter rule <1-999999> vlan priority [<0-7> | <start>-<end>]

  • delete firewall bridge forward filter rule <1-999999> vlan priority [<0-7> | <start>-<end>]

  • show firewall bridge forward filter rule <1-999999> vlan priority

Аргументы:

  • <1-999999> — порядковый номер правила;

  • <0-7> — приоритет VLAN (priority code point). Диапазон значений: от 0 до 7;

  • <start-end> — диапазон приоритета VLAN (priority code point). Диапазон значений: от 0 до 7.

Режим: «Конфигурирование».

firewall bridge name <name> rule <1-999999> vlan priority [<0-7> | <start>-<end>]#

Описание:
Создает набор правил и устанавливает приоритет VLAN (802.1p) для фильтрации трафика.

Синтаксис:

  • set firewall bridge name <name> rule <1-999999> vlan priority [<0-7> | <start>-<end>]

  • delete firewall bridge name <name> rule <1-999999> vlan priority [<0-7> | <start>-<end>]

  • show firewall bridge name <name> rule <1-999999> vlan priority

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила;

  • <0-7> — приоритет VLAN (priority code point). Диапазон значений: от 0 до 7;

  • <start-end> — диапазон приоритета VLAN (priority code point). Диапазон значений: от 0 до 7.

Режим: «Конфигурирование».

Режим «Администрирование»#


show firewall bridge#

Описание:
Отображает детальную информацию о конфигурации межсетевого экрана режиме сетевого моста.

Синтаксис:

show firewall bridge

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show firewall bridge forward filter#

Описание:
Отображает информацию об активных правилах на потоке FORWARD.

Синтаксис:

show firewall bridge forward filter

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show firewall bridge forward filter rule <1-999999>#

Описание:
Отображает информацию об активном правиле на потоке FORWARD с указанным порядковым номером.

Синтаксис:

show firewall bridge forward filter rule <1-999999>

Аргументы:

  • <1-999999> — порядковый номер правила.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show firewall bridge name <name>#

Описание:
Отображает информацию об активных наборах правил.

Синтаксис:

show firewall bridge name <name>

Аргументы:

  • <name> — имя набора правил.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show firewall bridge name <name> rule <1-999999>#

Описание:
Отображает информацию об активном наборе правил.

Синтаксис:

show firewall bridge name <name> rule <1-999999>

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show log firewall bridge#

Описание:
Отображает все записи в журнале регистрации событий на межсетевом экране в режиме моста.

Синтаксис:

show log firewall bridge

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show log firewall bridge forward#

Описание:
Отображает записи в журнале регистрации событий для трафика на потоке FORWARD.

Синтаксис:

show log firewall bridge forward

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show log firewall bridge forward filter#

Описание:
Отображает записи в журнале регистрации событий для правил фильтрации.

Синтаксис:

show log firewall bridge forward filter

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show log firewall bridge name <name>#

Описание:
Отображает записи в журнале регистрации событий для набора правил.

Синтаксис:

show log firewall bridge name <name>

Аргументы:

  • <name> — имя набора правил.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show log firewall bridge forward filter rule <1-999999>#

Описание:
Отображает записи в журнале регистрации событий для правила с указанным порядковым номером.

Синтаксис:

show log firewall bridge forward filter rule <1-999999>

Аргументы:

  • <1-999999> — порядковый номер правила.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show log firewall bridge name <name> rule <1-999999>#

Описание:
Отображает записи в журнале регистрации событий для набора правил.

Синтаксис:

show log firewall bridge name <name> rule <1-999999>

Аргументы:

  • <name> — имя набора правил;

  • <1-999999> — порядковый номер правила.

Режим: «Администрирование».

Уровень привилегий: «Администратор».