Группы#

Обзор#

В межсетевом экране группа объединяет несколько сетевых объектов одного типа. К таким объектами относятся IP-адреса на протоколах IPv4 и IPv6, порты, MAC-адреса, домены, интерфейсы.

Правила применяются ко всей группе как к логически единому элементу. Достаточно объединить объекты в группу и задать одно правило, вместо того чтобы создавать правила по несколько раз для каждого объекта.

Другие компоненты межсетевого экрана, такие как nat, nat66 смогут в своих правилах указать созданную группу в качестве источника или назначения.

В динамическую группу IP-адреса добавляются автоматически из правил. Например, если правило пропускает пакеты от определенных IP-адресов, то эти адреса будут включены в динамическую группу. Предварительно необходимо создать динамическую группу, а затем отдельной командой связать ее с правилом.

IP-адреса могут добавляться и удаляться из динамической группы по истечении времени. Время жизни IP-адреса в составе группы задается отдельной командой при добавлении адресов в динамическую группу. Если интервал не задать, то адрес останется в группе до следующей перезагрузки системы или до тех пор, пока не будет изменена конфигурация межсетевого экрана.

Особая техника защиты в динамических группах — простукивание портов (port knocking). Группа будет скрывать порт от внешних подключений и ожидать специально заданную последовательность обращений. При получении требуемых обращений, межсетевой экран откроет скрытый порт.

Пример настройки групп#

Шаг	Команда	Описание
1	set firewall group network-group MANAGEMENT-NET description `management network`	Создает группу IPv4-сетей, присваивает ей имя MANAGEMENT-NET и добавляет описание `management network`
2	set firewall group network-group MANAGEMENT-NET network `172.16.1.0/24`	Добавляет в группу MANAGEMENT-NET IPv4-адреса с префиксом подсети `172.16.1.0/24`
3	set firewall ipv4 forward filter rule 100 description `Allow devices to management network`	Создает правило на потоке FORWARD с порядковым номером 100 и добавляет описание `Allow devices to management network`
4	set firewall ipv4 forward filter rule 100 action `accept`	Добавляет правило с порядковым номером 100 в цепочку правил и разрешает входящий трафик
5	set firewall ipv4 forward filter rule 100 source group network-group `MANAGEMENT-NET`	Добавляет правило с порядковым номером 100 в цепочку правил и указывает группу подсетей `MANAGEMENT-NET` в качестве источника
6	set firewall ipv4 forward filter rule 100 destination address `0.0.0.0/0`	Добавляет правило с порядковым номером 100 в цепочку правил и разрешает трафик во все остальные сети. Трафик на потоке FORWARD из группы подсетей MANAGEMENT-NET будет маршрутизироваться во все остальные подсети

Пример использования техники простукивания портов#

Шаг	Команда	Описание
1	set firewall group dynamic-group address-group `PN_01`	Создает динамическую группу IPv4-адресов и присваивает ей имя `PN_01`
	set firewall group dynamic-group address-group `PN_02`	Создает динамическую группу IPv4-адресов и присваивает ей имя `PN_02`
2	set firewall ipv4 input filter default-action `drop`	Создает правило на потоке INPUT и по умолчанию отбрасывает входящий трафик
3	set firewall ipv4 input filter rule 5 action `accept`	Создает правило на потоке INPUT с порядковым номером 5 и разрешает входящий трафик
	set firewall ipv4 input filter rule 5 state established `enable`	Добавляет правило с порядковым номером 5 в цепочку правил и разрешает трафик от установленных TCP-соединений
	set firewall ipv4 input filter rule 5 state related `enable`	Добавляет правило с порядковым номером 5 в цепочку правил и разрешает трафик от производных TCP-соединений
4	set firewall ipv4 input filter rule 10 action `drop`	Создает правило с порядковым номером 10 на потоке INPUT и отбрасывает входящий трафик
	set firewall ipv4 input filter rule 10 add-address-to-group source-address address-group `PN_01`	Добавляет правило с порядковым номером 10 в цепочку правил и добавляет в динамическую группу `PN_01` IPv4-адрес источника
	set firewall ipv4 input filter rule 10 add-address-to-group source-address timeout `2m`	Добавляет правило с порядковым номером 10 в цепочку правил и устанавливает для IPv4-адреса в составе динамической группы время жизни в 2 минуты
	set firewall ipv4 input filter rule 10 description `Port_knock 01`	Добавляет правило с порядковым номером 10 в цепочку правил и добавляет описание `Port_knock 01`
	set firewall ipv4 input filter rule 10 destination port `9990`	Добавляет правило с порядковым номером 10 в цепочку правил и задает порт назначения `9990`
	set firewall ipv4 input filter rule 10 protocol `tcp`	Добавляет правило с порядковым номером 10 в цепочку правил и выбирает протокол `TCP` для передачи данных
5	set firewall ipv4 input filter rule 20 action `drop`	Создает правило с порядковым номером 20 на потоке INPUT и отбрасывает весь входящий трафик
	set firewall ipv4 input filter rule 20 add-address-to-group source-address address-group `PN_02`	Добавляет правило с порядковым номером 20 в цепочку правил и добавляет в динамическую группу `PN_02` IPv4-адрес источника
	set firewall ipv4 input filter rule 20 add-address-to-group source-address timeout `3m`	Добавляет правило с порядковым номером 20 в цепочку правил и устанавливает для IPv4-адреса в составе динамической группы время жизни в 3 минуты
	set firewall ipv4 input filter rule 20 destination port `9991`	Добавляет правило с порядковым номером 20 в цепочку правил и задает порт назначения `9991`
	set firewall ipv4 input filter rule 20 protocol `tcp`	Добавляет правило с порядковым номером 20 в цепочку правил и выбирает протокол `TCP` для передачи данных
	set firewall ipv4 input filter rule 20 source group dynamic-address-group `PN_01`	Добавляет правило с порядковым номером 20 в цепочку правил и выбирает динамическую группу `PN_01` в качестве источника
6	set firewall ipv4 input filter rule 30 action `accept`	Создает правило с порядковым номером 30 на потоке INPUT и разрешает входящий трафик
	set firewall ipv4 input filter rule 30 description `Open SSH for successful knock`	Добавляет правило с порядковым номером 30 в цепочку правил и добавляет описание `Open SSH for successful knock`
	set firewall ipv4 input filter rule 30 destination port `22`	Добавляет правило с порядковым номером 30 в цепочку правил и задает порт назначения `22`
	set firewall ipv4 input filter rule 30 protocol `tcp`	Добавляет правило с порядковым номером 30 в цепочку правил и выбирает протокол `TCP` для передачи данных
	set firewall ipv4 input filter rule 30 source group dynamic-address-group `PN_02`	Добавляет правило с порядковым номером 30 в цепочку правил и выбирает динамическую группу `PN_02` в качестве источника

Краткое содержание примера:

создаются две динамические группы;
по умолчанию запрещается входящий трафик;
трафик от установленных и производных TCP-соединений разрешается;
если устройство обратится на порт 9990, МСЭ запомнит его IPv4-адрес на 2 минуты;
если после обращения на порт 9990 устройство обратится на порт 9991, МСЭ запомнит его IPv4-адрес и откроет доступ по SSH на 3 минуты.

Список команд#

Режим «Конфигурирование»#

firewall group address-group <text> address <address>#

Описание:

Создает группу IPv4-адресов, присваивает ей имя и добавляет в нее IPv4-адреса или диапазон IPv4-адресов.

Синтаксис:

set firewall group address-group <text> address <address>
delete firewall group address-group <text> address <address>
show firewall group address-group <text> address

Аргументы:

<text> — имя группы;
<address> — IPv4-адрес или диапазон IPv4-адресов. Формат: x.x.x.x или x.x.x.x — x.x.x.x.

Режим: «Конфигурирование».

firewall group address-group <text> description <text>#

Описание:

Создает группу IPv4-адресов, присваивает ей имя и добавляет описание.

Синтаксис:

set firewall group address-group <text> description <text>
delete firewall group address-group <text> description <text>
show firewall group address-group <text> description

Аргументы:

<text> — имя группы;
<text> — описание группы.

Режим: «Конфигурирование».

firewall group ipv6-address-group <text> address <address>#

Описание:

Создает группу IPv6-адресов, присваивает ей имя и добавляет в нее IPv6-адреса или диапазон IPv6-адресов.

Синтаксис:

set firewall group ipv6-address-group <text> address <address>
delete firewall group ipv6-address-group <text> address <address>
show firewall group ipv6-address-group <text> address

Аргументы:

<text> — имя группы;
<address> — IPv6-адрес или диапазон IPv6-адресов.

Режим: «Конфигурирование».

firewall group ipv6-address-group <text> description <text>#

Описание:

Создает группу IPv6-адресов, присваивает ей имя и добавляет описание.

Синтаксис:

set firewall group ipv6-address-group <text> description <text>
delete firewall group ipv6-address-group <text> description <text>
show firewall group ipv6-address-group <text> description

Аргументы:

<text> — имя группы;
<text> — описание группы.

Режим: «Конфигурирование».

firewall group network-group <text> network <CIDR>#

Описание:

Создает группу IPv4-сетей, присваивает ей имя и добавляет в нее IPv4-адреса с префиксом подсети в формате CIDR.

Синтаксис:

set firewall group network-group <text> network <CIDR>
delete firewall group network-group <text> network <CIDR>
show firewall group network-group <text> network

Аргументы:

<text> — имя группы;
<CIDR> — диапазон из IPv4-адресов с префиксом подсети. Формат CIDR: x.x.x.x/x.

Режим: «Конфигурирование».

firewall group network-group <text> description <text>#

Описание:

Создает группу IPv4-сетей, присваивает ей имя и добавляет описание.

Синтаксис:

set firewall group network-group <text> description <text>
delete firewall group network-group <text> description <text>
show firewall group network-group <text> description

Аргументы:

<text> — имя группы;
<text> — описание группы.

Режим: «Конфигурирование».

firewall group ipv6-network-group <text> network <CIDR>#

Описание:

Создает группу IPv6-сетей, присваивает ей имя и добавляет в нее IPv6-адреса с префиксом подсети в формате CIDR.

Синтаксис:

set firewall group ipv6-network-group <text> network <CIDR>
delete firewall group ipv6-network-group <text> network <CIDR>
show firewall group ipv6-network-group <text> network

Аргументы:

<text> — имя группы;
<CIDR> — диапазон из IPv6-адресов с префиксом подсети. Формат CIDR: x.x.x.x/x.

Режим: «Конфигурирование».

firewall group ipv6-network-group <text> description <text>#

Описание:

Создает группу IPv6-сетей, присваивает ей имя и добавляет описание.

Синтаксис:

set firewall group ipv6-network-group <text> description <text>
delete firewall group ipv6-network-group <text> description <text>
show firewall group ipv6-network-group <text> description

Аргументы:

<text> — имя группы;
<text> — описание группы.

Режим: «Конфигурирование».

firewall group interface-group <text> interface <text>#

Описание:

Создает группу интерфейсов, присваивает ей имя и добавляет в нее выбранный интерфейс.

Синтаксис:

set firewall group interface-group <text> interface <text>
delete firewall group interface-group <text> interface <text>
show firewall group interface-group <text> interface

Аргументы:

<text> — имя группы;
<text> — имя интерфейса, который будет включен в состав группы.

Режим: «Конфигурирование».

firewall group interface-group <text> description <text>#

Описание:

Создает группу интерфейсов, присваивает ей имя и добавляет описание.

Синтаксис:

set firewall group interface-group <text> description <text>
delete firewall group interface-group <text> description <text>
show firewall group interface-group <text> description

Аргументы:

<text> — имя группы;
<text> — описание группы.

Режим: «Конфигурирование».

firewall group port-group <text> port [<portname> | <portnumber> | <startport-endport>]#

Описание:

Создает группу портов, присваивает ей имя и добавляет в нее порт или диапазон портов.

Синтаксис:

set firewall group port-group <text> port [<portname> | <portnumber> | <startport-endport>]
delete firewall group port-group <text> port [<portname> | <portnumber> | <startport-endport>]
show firewall group port-group <text> port

Аргументы:

<text> — имя группы;
<portname> — имя порта, указанное в директории /etc/services;
<portnumber> — номер порта;
<startpoint-endpoint> — диапазон номеров портов. Формат: x.x.x.x — x.x.x.x.

Режим: «Конфигурирование».

firewall group port-group <text> description <text>#

Описание:

Создает группу портов, присваивает ей имя и добавляет описание.

Синтаксис:

set firewall group port-group <text> description <text>
delete firewall group port-group <text> description <text>
show firewall group port-group <text> description

Аргументы:

<text> — имя группы;
<text> — описание группы.

Режим: «Конфигурирование».

firewall group mac-group <text> mac-address <mac-address>#

Описание:

Создает группу MAC-адресов, присваивает ей имя и добавляет в нее MAC-адрес.

Синтаксис:

set firewall group mac-group <text> mac-address <mac-address>
delete firewall group mac-group <text> mac-address <mac-address>
show firewall group mac-group <text> mac-address

Аргументы: * <text> — имя группы; * <mac-address> — MAC-адрес.

Режим: «Конфигурирование».

firewall group mac-group <text> description <text>#

Описание:

Создает группу MAC-адресов, присваивает ей имя и добавляет описание.

Синтаксис:

set firewall group mac-group <text> description <text>
delete firewall group mac-group <text> description <text>
show firewall group mac-group <text> description

Аргументы:

<text> — имя группы;
<text> — описание группы.

Режим: «Конфигурирование».

firewall group domain-group <text> address <domain>#

Описание:

Создает группу доменов, присваивает ей имя и добавляет в нее доменное имя.

Синтаксис:

set firewall group domain-group <text> address <domain>
delete firewall group domain-group <text> address <domain>
show firewall group domain-group <text> address

Аргументы:

<text> — имя группы;
<domain> — доменное имя, которое будет добавлено в группу.

Режим: «Конфигурирование».

firewall group domain-group <text> description <text>#

Описание:

Создает группу доменов, присваивает ей имя и добавляет описание.

Синтаксис:

set firewall group domain-group <text> description <text>
delete firewall group domain-group <text> description <text>
show firewall group domain-group <text> description

Аргументы:

<text> — имя группы;
<text> — описание группы.

Режим: «Конфигурирование».

firewall group dynamic-group address-group <text>#

Описание:

Создает динамическую группу IPv4-адресов и присваивает ей имя.

Синтаксис:

set firewall group dynamic-group address-group <text>
delete firewall group dynamic-group address-group <text>
show firewall group dynamic-group address-group

Аргументы:

<text> — имя группы.

Режим: «Конфигурирование».

firewall group dynamic-group address-group <text> description <text>#

Описание:

Создает динамическую группу IPv4-адресов, присваивает ей имя и добавляет описание.

Синтаксис:

set firewall group dynamic-group address-group <text> description <text>
delete firewall group dynamic-group address-group <text> description <text>
show firewall group dynamic-group address-group <text> description

Аргументы:

<text> — имя группы;
<text> — описание группы.

Режим: «Конфигурирование».

firewall group dynamic-group ipv6-address-group <text>#

Описание:

Создает динамическую группу IPv6-адресов и присваивает ей имя.

Синтаксис:

set firewall group dynamic-group ipv6-address-group <text>
delete firewall group dynamic-group ipv6-address-group <text>
show firewall group dynamic-group ipv6-address-group

Аргументы:

<text> — имя группы.

Режим: «Конфигурирование».

firewall group dynamic-group ipv6-address-group <text> description <text>#

Описание:

Создает динамическую группу IPv6-адресов, присваивает ей имя и добавляет описание.

Синтаксис:

set firewall group dynamic-group ipv6-address-group <text> description <text>
delete firewall group dynamic-group ipv6-address-group <text> description <text>
show * set firewall group dynamic-group ipv6-address-group <text> description

Аргументы:

<text> — имя группы;
<text> — описание группы.

Режим: «Конфигурирование».

firewall ipv4 [<forward> | <input> | <output>] filter rule <1-999999> add-address-to-group source-address address-group <text>#

Описание:

Автоматически добавит IPv4-адрес источника в динамическую группу, если на выбранном потоке сработает правило с указанным номером.

Синтаксис:

set firewall ipv4 [<forward> | <input> | <output>] filter rule <1-999999> add-address-to-group source-address address-group <text>
delete firewall ipv4 [<forward> | <input> | <output>] filter rule <1-999999> add-address-to-group source-address address-group <text>
show firewall ipv4 [<forward> | <input> | <output>] filter rule <1-999999> add-address-to-group source-address address-group

Аргументы:

<forward> — поток FORWARD;
<input> — поток INPUT;
<output> — поток OUTPUT;
<1-999999> — порядковый номер правила;
<text> — имя динамической группы.

Режим: «Конфигурирование».

firewall ipv4 name <name> rule <1-999999> add-address-to-group source-address address-group <text>#

Описание:

Автоматически добавит IPv4-адрес источника в динамическую группу, если сработает правило из набора правил.

Синтаксис:

set firewall ipv4 name <name> rule <1-999999> add-address-to-group source-address address-group <text>
delete firewall ipv4 name <name> rule <1-999999> add-address-to-group source-address address-group <text>
show firewall ipv4 name <name> rule <1-999999> add-address-to-group source-address address-group

Аргументы:

<name> — имя набора правил;
<1-999999> — порядковый номер правила;
<text> — имя динамической группы.

Режим: «Конфигурирование».

firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group source-address address-group <text>#

Описание:

Автоматически добавит IPv6-адрес источника в динамическую группу, если на выбранном потоке сработает правило с указанным номером.

Синтаксис:

set firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group source-address address-group <text>
delete firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group source-address address-group <text>
show firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group source-address address-group

Аргументы:

<forward> — поток FORWARD;
<input> — поток INPUT;
<output> — поток OUTPUT;
<1-999999> — порядковый номер правила;
<text> — имя динамической группы.

Режим: «Конфигурирование».

firewall ipv6 name <name> rule <1-999999> add-address-to-group source-address address-group <text>#

Описание:

Автоматически добавит IPv6-адрес источника в динамическую группу, если сработает правило из набора правил.

Синтаксис:

set firewall ipv6 name <name> rule <1-999999> add-address-to-group source-address address-group <text>
delete firewall ipv6 name <name> rule <1-999999> add-address-to-group source-address address-group <text>
show firewall ipv6 name <name> rule <1-999999> add-address-to-group source-address address-group

Аргументы:

<name> — имя набора правил;
<1-999999> — порядковый номер правила;
<text> — имя динамической группы.

Режим: «Конфигурирование».

firewall ipv4 [forward | input | output] filter rule <1-999999> add-address-to-group destination-address address-group <text>#

Описание:

Автоматически добавит IPv4-адрес назначения в динамическую группу, если на выбранном потоке сработает правило с указанным номером.

Синтаксис:

set firewall ipv4 [forward | input | output] filter rule <1-999999> add-address-to-group destination-address address-group <text>
delete firewall ipv4 [forward | input | output] filter rule <1-999999> add-address-to-group destination-address address-group <text>
show firewall ipv4 [forward | input | output] filter rule <1-999999> add-address-to-group destination-address address-group

Аргументы:

<forward> — поток FORWARD;
<input> — поток INPUT;
<output> — поток OUTPUT;
<1-999999> — порядковый номер правила;
<text> — имя динамической группы.

Режим: «Конфигурирование».

firewall ipv4 name <name> rule <1-999999> add-address-to-group destination-address address-group <text>#

Описание:

Автоматически добавит IPv4-адрес назначения в динамическую группу, если сработает правило из набора правил.

Синтаксис:

set firewall ipv4 name <name> rule <1-999999> add-address-to-group destination-address address-group <text>
delete firewall ipv4 name <name> rule <1-999999> add-address-to-group destination-address address-group <text>
show firewall ipv4 name <name> rule <1-999999> add-address-to-group destination-address address-group

Аргументы: * <name> — имя набора правил; * <1-999999> — порядковый номер правила; * <text> — имя динамической группы.

Режим: «Конфигурирование».

firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group destination-address address-group <text>#

Описание:

Автоматически добавит IPv6-адрес назначения в динамическую группу, если на выбранном потоке сработает правило с указанным номером.

Синтаксис:

set firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group destination-address address-group <text>
delete firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group destination-address address-group <text>
show firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group destination-address address-group

Аргументы:

<forward> — поток FORWARD;
<input> — поток INPUT;
<output> — поток OUTPUT;
<1-999999> — порядковый номер правила;
<text> — имя динамической группы.

Режим: «Конфигурирование».

firewall ipv6 name <name> rule <1-999999> add-address-to-group destination-address address-group <text>#

Описание:

Автоматически добавит IPv6-адрес назначения в динамическую группу, если сработает правило из набора правил.

Синтаксис:

set firewall ipv6 name <name> rule <1-999999> add-address-to-group destination-address address-group <text>
delete firewall ipv6 name <name> rule <1-999999> add-address-to-group destination-address address-group <text>
show firewall ipv6 name <name> rule <1-999999> add-address-to-group destination-address address-group

Аргументы:

<name> — имя набора правил;
<1-999999> — порядковый номер правила;
<text> — имя динамической группы.

Режим: «Конфигурирование».

firewall ipv4 [forward | input | output] filter rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>#

Описание:

Автоматически добавит IPv4-адрес назначения или источника в динамическую группу, если на выбранном потоке сработает правило с указанным номером. Также задает время жизни IPv4-адреса в составе динамической группы.

Синтаксис:

set firewall ipv4 [forward | input | output] filter rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>
delete firewall ipv4 [forward | input | output] filter rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>
show firewall ipv4 [forward | input | output] filter rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout

Аргументы:

<forward> — поток FORWARD;
<input> — поток INPUT;
<output> — поток OUTPUT;
<1-999999> — порядковый номер правила;
<destination-address> — IPv4-адрес назначения;
<source-address> — IPv4-адрес источника;
<text> — имя динамической группы;
<timeout> — интервал, после которого IPv4-адрес будет удален из динамической группы.

Формат:
<число>s — секунды;
<число>m — минуты;
<число>h — часы;
<число>d — дни.

Режим: «Конфигурирование».

firewall ipv4 name <name> rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>#

Описание:

Автоматически добавит IPv4-адрес назначения или источника в динамическую группу, если сработает правило из набора правил. Также задает время жизни IPv4-адреса в составе динамической группы.

Синтаксис:

set firewall ipv4 name <name> rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>
delete firewall ipv4 name <name> rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>
show firewall ipv4 name <name> rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout

Аргументы:

<name> — имя набора правил;
<1-999999> — порядковый номер правила;
<text> — имя динамической группы.
<destination-address> — IPv4-адрес назначения;
<source-address> — IPv4-адрес источника;
<text> — имя динамической группы;
<timeout> — интервал, после которого IPv4-адрес будет удален из динамической группы.

Формат:
<число>s — секунды;
<число>m — минуты;
<число>h — часы;
<число>d — дни.

Режим: «Конфигурирование».

firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>#

Описание:

Автоматически добавит IPv6-адрес назначения или источника в динамическую группу, если на выбранном потоке сработает правило с указанным номером. Также задает время жизни IPv6-адреса в составе динамической группы.

Синтаксис:

set firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>
delete firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>
show firewall ipv6 [forward | input | output] filter rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout

Аргументы:

<forward> — поток FORWARD;
<input> — поток INPUT;
<output> — поток OUTPUT;
<1-999999> — порядковый номер правила;
<destination-address> — IPv6-адрес назначения;
<source-address> — IPv6-адрес источника;
<text> — имя динамической группы;
<timeout> — интервал, после которого IPv6-адрес будет удален из динамической группы.

Формат:
<число>s — секунды;
<число>m — минуты;
<число>h — часы;
<число>d — дни.

Режим: «Конфигурирование».

firewall ipv6 name <name> rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>#

Описание:

Автоматически добавит IPv6-адрес назначения или источника в динамическую группу, если сработает правило из набора правил. Также задает время жизни IPv6-адреса в составе динамической группы.

Синтаксис:

firewall ipv6 name <name> rule <1-999999> add-address-to-group [destination-address | source-address] address-group <text> timeout <timeout>

Аргументы:

<name> — имя набора правил;
<1-999999> — порядковый номер правила;
<text> — имя динамической группы.
<destination-address> — IPv6-адрес назначения;
<source-address> — IPv6-адрес источника;
<text> — имя динамической группы;
<timeout> — интервал, после которого IPv6-адрес будет удален из динамической группы.

Формат:
<число>s — секунды;
<число>m — минуты;
<число>h — часы;
<число>d — дни.

Режим: «Конфигурирование».

Режим «Администрирование»#

firewall group#

Описание:

Отображает сводную информацию о всех группах на межсетевом экране.

Синтаксис:

show firewall group

Режим: «Администрирование».

Уровень привилегий: «Администратор».

firewall group <text>#

Описание:

Отображает сводную информацию о конкретной группе на межсетевом экране.

Синтаксис:

show firewall group <text>

Аргументы:

<text> — имя группы на межсетевом экране.

Режим: «Администрирование».

Уровень привилегий: «Администратор».

firewall group detail#

Описание:

Отображает детальную информацию о всех группах на межсетевом экране.

Синтаксис:

show firewall group detail

Режим: «Администрирование».

Уровень привилегий: «Администратор».

firewall group <text> detail#

Описание:

Отображает детальную информацию о конкретной группе на межсетевом экране.

Синтаксис:

show firewall group <text> detail

Аргументы:

<text> — имя группы на межсетевом экране.

Режим: «Администрирование».

Уровень привилегий: «Администратор».