Настройка правил NAT и маршрутизации происходит на уровне network-policy nat-routing. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.
12.9.2.1. Настройка правил типа NAT¶
При настройке правил типа NAT, необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
PASS OK |
Действие для создания правила с помощью UPL. |
|
enabled |
Включение/отключение правила:
|
|
name |
Название правила NAT. Например: name("NAT rule example"). |
|
desc |
Описание правила. Например: desc("NAT rule example set via CLI"). |
|
nat |
Тип правила (указывается в свойствах правила). |
|
snat_target_ip |
IP-адрес, на который будет заменён адрес источника при наттировании пакетов. Адрес указывается в "", например snat_target_ip ("1.1.1.1"). |
|
rule_log |
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
|
|
src.zone |
Зона источника трафика. Для указания зоны источника, например, Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны. |
|
src.ip |
Добавление списков IP-адресов, MAC-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. Для указания MAC-адресов источников, например 02:00:00:00:00:00, используйте: src.ip = 02:00:00:00:00:00. |
|
src.geoip |
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. |
|
dst.zone |
Зона назначения трафика. Для указания зоны назначения трафика, например, Untrusted: dst.zone = Untrusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны. |
|
dst.ip |
Добавление списков IP-адресов, MAC-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. Для указания MAC-адресов назначения, например 02:00:00:00:00:00, используйте: dst.ip = 02:00:00:00:00:00. |
|
dst.geoip |
Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. |
|
service |
Тип сервиса. Можно указать сервис или группу сервисов (подробнее читайте в разделах Настройка сервисов и Настройка групп сервисов). Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...). Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов. |
12.9.2.2. Настройка правил типа DNAT¶
При настройке правил типа DNAT необходимо указать следующие параметры.
|
Параметр |
Описание |
|---|---|
|
PASS OK |
Действие для создания правила с помощью UPL. |
|
enabled |
Включение/отключение правила:
|
|
name |
Название правила DNAT. Например: name("DNAT rule example"). |
|
desc |
Описание правила. Чтобы указать описание правила используется: desc("DNAT rule example created via CLI"). |
|
dnat |
Тип правила (указывается в свойствах правила). |
|
snat_target_ip |
IP-адрес, на который будет заменён адрес источника при наттировании пакетов. Адрес указывается в "", например snat_target_ip ("1.1.1.1"). |
|
rule_log |
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
|
|
src.zone |
Зона источника трафика. Чтобы указать зону источника трафика, например Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны. |
|
src.ip |
Добавление списков IP-адресов, MAC-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. Для указания MAC-адресов источников, например 02:00:00:00:00:00, используйте: src.ip = 02:00:00:00:00:00. |
|
src.geoip |
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. |
|
dst.zone |
Зона назначения трафика. Для указания зоны назначения, например, Untrusted: dst.zone = Untrusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны. |
|
dst.ip |
Добавление списков IP-адресов, MAC-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. Для указания MAC-адресов назначения, например 02:00:00:00:00:00, используйте: dst.ip = 02:00:00:00:00:00. |
|
dst.geoip |
Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. |
|
service |
Тип сервиса. Можно указать сервис или группу сервисов (подробнее читайте в разделах Настройка сервисов и Настройка групп сервисов). Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...). Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов. |
|
target_ip |
Адрес назначения DNAT. Для указания адреса назначения: target_ip("1.1.1.1"). |
|
target_snat |
Изменение IP-адреса источника на адрес UserGate:
|
12.9.2.3. Настройка правил типа Порт-форвардинг¶
При настройке правил типа Порт-форвардинг необходимо указать:
|
Параметр |
Описание |
|---|---|
|
PASS OK |
Действие для создания правила с помощью UPL. |
|
enabled |
Включение/отключение правила:
|
|
name |
Название правила Порт-форвардинга. Например: name("Port forwarding rule example"). |
|
desc |
Описание правила. Чтобы указать описание правила используется: desc("Port forwarding rule example created via CLI"). |
|
port_mapping |
Тип правила (указывается в свойствах правила). |
|
snat_target_ip |
IP-адрес, на который будет заменён адрес источника при наттировании пакетов. Адрес указывается в "", например snat_target_ip ("1.1.1.1"). |
|
rule_log |
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
|
|
src.zone |
Зона источника трафика. Для указания зоны источника: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны. |
|
src.ip |
Добавление списков IP-адресов, MAC-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. Для указания MAC-адресов источников, например 02:00:00:00:00:00, используйте: src.ip = 02:00:00:00:00:00. |
|
src.geoip |
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. |
|
dst.ip |
Добавление списков IP-адресов, MAC-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. Для указания MAC-адресов назначения, например 02:00:00:00:00:00, используйте: dst.ip = 02:00:00:00:00:00. |
|
dst.geoip |
Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. |
|
port_map |
Переопределение портов публикуемых сервисов: Для переопределения необходимо указать сетевой протокол (tcp, udp, smtp, smtps), оригинальный и новый порты назначения. Например, port_map(tcp, 2000, 2100). Важно! Нельзя использовать следующие порты, поскольку они используются внутренними сервисами UserGate: 2200, 8001, 4369, 9000-9100. |
|
target_ip |
Адрес назначения DNAT. Для указания адреса назначения: target_ip("1.1.1.1"). |
|
target_snat |
Изменение IP-адреса источника на адрес UserGate:
|
12.9.2.4. Настройка правил типа Policy-based routing¶
Для настройки правил типа Policy-based routing нужно указать:
|
Параметр |
Описание |
|---|---|
|
PASS OK |
Действие для создания правила с помощью UPL. |
|
enabled |
Включение/отключение правила:
|
|
name |
Название правила типа Policy-based routing. Например: name("Policy-based routing rule example"). |
|
desc |
Описание правила. Чтобы указать описание правила используется: desc("Policy-based routing rule example set via CLI"). |
|
route |
Тип правила (указывается в свойствах правила). |
|
gateway |
Выбор одного из существующих шлюзов: gateway("1.1.1.1"). О добавлении шлюзов через CLI читайте в разделе Настройка шлюзов. |
|
scenario |
Сценарий, который должен быть активным для срабатывания правила. Для указания сценария: scenario = "Example of a scenario". Подробнее о настройке сценариев смотрите в разделе Настройка сценариев. |
|
rule_log |
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
|
|
src.zone |
Зона источника трафика. Для указания зоны источника: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны. |
|
src.ip |
Добавление списков IP-адресов, MAC-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. Для указания MAC-адресов источников, например 02:00:00:00:00:00, используйте: src.ip = 02:00:00:00:00:00. |
|
src.geoip |
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. |
|
dst.ip |
Добавление списков IP-адресов, MAC-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. Для указания MAC-адресов назначения, например 02:00:00:00:00:00, используйте: dst.ip = 02:00:00:00:00:00. |
|
dst.geoip |
Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. |
|
service |
Тип сервиса. Можно указать сервис или группу сервисов (подробнее читайте в разделах Настройка сервисов и Настройка групп сервисов). Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...). Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов. |
12.9.2.5. Настройка правил типа Network mapping¶
При настройке правил типа Network mapping необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
PASS OK |
Действие для создания правила с помощью UPL. |
|
enabled |
Включение/отключение правила:
|
|
name |
Название правила типа Network mapping. Например: name("Network mapping rule example"). |
|
desc |
Описание правила. Чтобы указать описание правила используется: desc("Network mapping rule example set via CLI"). |
|
netmap |
Тип правила (указывается в свойствах правила). |
|
rule_log |
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
|
|
src.zone |
Зона источника трафика. Для указания зоны источника: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны. |
|
src.ip |
Добавление списков IP-адресов, MAC-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. Для указания MAC-адресов источников, например 02:00:00:00:00:00, используйте: src.ip = 02:00:00:00:00:00. |
|
src.geoip |
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. |
|
dst.ip |
Добавление списков IP-адресов, MAC-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL. Для указания MAC-адресов назначения, например 02:00:00:00:00:00, используйте: dst.ip = 02:00:00:00:00:00. |
|
dst.geoip |
Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. |
|
service |
Тип сервиса. Можно указать сервис или группу сервисов (подробнее читайте в разделах Настройка сервисов и Настройка групп сервисов). Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...). Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов. |
|
target_ip |
Параметр подмены сетей; адрес сети, на которую будет производится замена, например: target_ip("1.1.1.0"). |
|
direction |
Параметр подмены сетей. Направление:
|