Использование интерфейса командной строки

Кроме графического интерфейса для управления пользователями может быть использован локальный интерфейс командной строки, обладающий теми же возможностями, что и графический интерфейс. Единственной недоступной функцией является изменение полномочий пользователей. Этот интерфейс, реализованный при помощи команды fwadmin является интерактивным и не получает параметров из командной строки.

Путь к программе: /etc/firewall/fwadmin

При запуске программа выводит на экран:

----------------------------------------------------------------

Aker Firewall version 3.01

Remote users administration module

Choose one of the following options:

Add a new user

Remove an existing user

Modify an user's password

List the registered users

Compact the users file

Exit fwadmin

-----------------------------------------------------------------

Для выполнения одной из опций, нажмите выделенную жирным букву. Каждая из опций будет показана на экране в деталях:

Add a new user

Эта опция позволяет создать новых пользователей, которые смогут удаленно управлять межсетевым экраном Aker .

Интерфейс командной строки прост в использовании и обладает теми же возможностями, что и графический интерфейс .

Путь к программе: /etc/firewall/fwpar

Syntax:

Подсказки по команде:

fwpar - просмотр/изменение параметров настройки

show - вывести активную конфигурацию

help - вывести данное сообщение

tcp_timeout - установить тайм-аут для TCP соединений

udp_timeout - установить тайм-аут для UDP соединений

source_routed_ip - разрешить прием IP пакетов с опцией source routed

ftp_support - разрешить поддержку протокола FTP

real_audio_support - разрешить поддержку протокола Real Audio

log_translation - разрешить сбор статистики по трансляции адресов

log_syslog - отправлять сообщения статистики и событий в syslogd

log_lifetime - установить минимальный срок жизни статистики/событий

read_community - имя SNMP сообщества c правами на чтение

write_community - имя SNMP сообщества c правами на запись

Пример 1: (просмотр конфигурации)

#/etc/firewall/fwpar show Глобальные параметры: ------------------ tcp_timeout : 900 seconds udp_timeout : 180 seconds

Параметры безопасности: -------------------- source_routed_ip : no ftp_support : yes real_audio_support: yes

Параметры статистики: ----------------------------- log_translation : no log_syslog : no log_lifetime : 7 days

Параметры SNMP: ------------------------------ read_community : public write_community : local

Пример 2: (разрешить прохождение пакетов с source routed опцией)

#/etc/firewall/fwpar source_routed_ip yes

Пример 3: (определение имени SNMP сообщества с правами на чтение)

#/etc/firewall/fwpar read_community public

Example 4: (удаление имени SNMP сообщества с правами на чтение)

#/etc/firewall/fwpar read_community

Использование интерфейса командной строки для настройки правил фильтрации немного затруднительно, что связано с большим количеством параметров в командной строке.

Используя интерфейс командной строки невозможно настроить временную таблицу для правила. Все правила, добавленные через этот интерфес, считаются действующими без ограничений по времени. Невозможно также определить более одного объекта в поле источника или назначения.

Путь: /etc/firewall/fwregra

Синтаксис:

fwregra [help | show] fwregra remove <pos> fwregra add <pos> <source> <destination> <accept | reject | discard> <Interface> [log] [mail] [trap] [program] [alert] [<service> ...]

Program help:

Aker Firewall - Version 3.0

fwregra - настройка таблицы правил для пакетного фильтра

Usage: fwregra [help | show]

fwregra remove <pos>

fwregra add <pos> <source> <destination>

[log] [mail] [trap] [program] [alert] [<service> ...]

show = показывает все правила фильтрации

add = добавляет новое правило фильтрации

remove = удаляет существующее правило фильтации

help = показывает данное сообщение

Для добавления правила

accept - правило пропускает удовлетворяющие ему пакеты

reject - правило не пропускает удовлетворяющие ему пакеты и посылает ICMP destination unreachable сообщение источнику

discard - правило не пропускает пакеты (при этом никакие ICMP пакеты не отсылаются)

Интерфейс командной строки для трансляции сетевых адресов прост в использовании и обладает теми же возможностями, что и графический интерфейс. Путь к программе: /etc/firewall/fwconver

Синтаксис:

fwconver [activate | deactivate | show | help] fwconver add server <Real IP> <Virtual IP>

fwconver add entity <name>

fwconver remove server <position>

fwconver remove entity <name>

fwconver <max_con_tcp | max_con_udp> <number fwconver <private_net | netmask | virtual_ip> <address>

Program help:

Aker Firewall - Version 3.01

fwconver - настройка параметров трансляции сетевых адресов Использование: fwconver [activate | deactivate | show | help]

fwconver [activate | deactivate | show | help] fwconver add server <Real IP> <Virtual IP>

fwconver add entity <name>

fwconver remove server <position>

fwconver remove entity <name>

fwconver <max_con_tcp | max_con_udp> <number fwconver <private_net | netmask | virtual_ip> <address>

activate = активизирует трансляцию сетевых адресов deactivate = деактивизирует трансляцию сетевых адресов show = показывает активную конфигурацию add = добавляет новый элемент в таблицу серверной трансляции или в таблицу объектов, для которых трансляция производиться не будет remove = удаляет элемент из таблицы серверной трансляции или из таблицы объектов, для которых трансляция производиться не будет max_con_tcp = устанавливает максимальное число одновременных TCP соединений max_con_udp = устанавливает максимальное число одновременных UDP соединений private_net = устанавливает IP адрес частной сети netmask = устанавливает сетевую маску частной сети virtual_ip = устанавливает виртуальные адреса для трансляции help = показывает данное сообщение

Использование интерфейса командной строки для настройки правил криптографии/аутентификации затрудняется большим числом параметров, которые используются в интерфейсе командной строки.

Этот интерфейс обладает теми же возможностями, что и графический интерфейс, за исключением того, что он не позволяет описывать комментарии или указывать больше одного объекта для источника или назначения.

Путь к программе: /etc/firewall/fwcripto

Синтаксис:

fwcripto [show | help] fwcripto remove <pos> fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> NONE fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> DES <iv size> <encryption key> fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> 3DES <iv size> <key1> <key2> <key3> fwcripto add <pos> <source> <destination> send skip [DES | 3DES] [MD5 | SHA] [NONE | DES | 3DES] <secret> fwcripto add <pos> <source> <destination> receive skip <secret>

Program help:

Aker Firewall - Version 3.01 fwcripto - настройка параметров аутентификации/шифрования Usage: fwcripto [show | help] fwcripto remove <pos> fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> NONE fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> DES <iv size> <encryption key> fwcripto add <pos> <source> <destination> [send | receive] manual <spi> [MD5 | SHA] <authentication key> 3DES <iv size> <key1> <key2> <key3> fwcripto add <pos> <source> <destination> send skip [DES | 3DES] [MD5 | SHA] [NONE | DES | 3DES] <secret> fwcripto add <pos> <source> <destination> receive skip <secret>

Интерфейс командной строки для защиты от SYN Flood прост в использовании и обладает теми же возможностями, что и графический интерфейс.

Путь к программе:/etc/firewall/fwflood

Синтаксис:

fwflood [activate | deactivate | show | help] fwflood [add | remove] <name> fwflood timeout <value>

Program help:

Aker Firewall - Version 3.01 fwflood - Настраивает параметры защиты от SYN атак Использование: fwflood [activate | deactivate | show | help] fwflood [add | remove] <name> fwflood timeout <value>

active = активизирует защиту от SYN атак deactivate = деактивизирует защиту от SYN атак show = показывает активную конфигурацию add = добавляет новый объект для защиты remove = удаляет из списка защищаемых объект timeout = определяет значение тайм-аута для установления соединения help = показывает данное сообщение

Для команд добавления/удаления:

name = имя защищаемого или удаляемого объекта из списка

Для команды временной интервал:

value = максимальный тайм-аут в единицах 500ms

Пример 1: (Просмотр конфигурации)

#/etc/firewall/fwflood show Configuration parameters: --------------------------------- SYN Flood protection: activated Timeout : 6 (x 500 ms)

List of entities to be protected: --------------------------------- Aker (Network) Mail Server (Host) NT_01 (Host)

Интерфейс командной строки обладает теми же возможностями, что и графический интерфейс, и весьма несложен в применении.

Путь к программе: /etc/firewall/fwacao

Синтаксис:

fwacao help fwacao show fwacao assign <number [log] [mail] [trap] [program] [alert] fwacao <program | user | community> [name] fwacao ip [IP address] fwacao email [address]

Program help:

Aker Firewall - Version 3.0 fwacao - интерфейс командной строки для настройки реакции системы Usage: fwacao help fwacao show fwacao assign <number [log] [mail] [trap] [program] [alert] fwacao <program | user | community> [name] fwacao ip [IP address] fwacao e-mail [address]

help = показывает данное сообщение show = показывает список сообщений и реакций системы assign = назначает реакцию на конкретное сообщение program = определяет имя выполняемой программы user = определяет имя пользователя для запуска программы community = определяет имя SNMP сообщества для генерируемого прерывания ip = определяет IP адрес SNMP сервера, которому будет отправлено прерывания e-mail = определяет имя пользователя, которому будет отправлен e-mail

Для команды assign: number =номер сообщения, для которого описывается реакция (номер каждого сообщения приводится в левой колонке если просматривать список опцией show) log = регистрировать каждое генерируемое сообщение mail = послать e-mail для каждого генерируемого сообщения trap = послать SNMP прерывание для каждого генерируемого сообщения program = выполнить программу для каждого генерируемого сообщения alert = открыть окно предупреждений для каждого генерируемого сообщения

Интерфейса командной строки обеспечивает те же возможности по просмотру статистики, что и графический интерфейса, однако в нем можно использовать меньшее количество опций фильтрации. Кроме того, через интерфейс командной строки невозможно просмотреть дополнительную информацию, которая появляется при выделении записи файла статистики в графическом интерфейсе.

Путь к программе: /etc/firewall/fwlog

Syntax:

fwlog help fwlog [compact | clear] [log | events] fwlog show [log | events] <begin_date><end_date> [priority]

Program help:

Aker Firewall - Version 3.01 fwlog - интерфейс командной строки для просмотра статистики и событий Использование: fwlog help fwlog [compact | clear] [log | events] fwlog show [log | events] <begin_date> <end_date> [priority]

show = показывает содержимое файла статистики или событий clear = очищает файлы статистики им событий от записей compact = уплотняет файл статистики или событий help = показывает данное сообщение

Для команд compact / clear / show : log = действие выполняется с файлом статистики events = действие выполняется с файлом событий

Для команды show: begin_date = дата, начиная с которой будут показаны записи end_date = дата, по которую будут показаны записи (даты должны иметь формат mm/dd/yyyy) priority = необязательный аргумент.

Интерфейс командной строки для просмотра событий обладает теми же возможностями, что и графический интерфейс. Доступны все его функции за исключением опции фильтрации для модуля; кроме того, интерфейс командной строки не показывает дополнительную информацию, которую выводит на дисплей графический интерфейс при выделении сообщения о событии.

Интерфейс командной строки для просмотра событий - это та же программа, что используется для просмотра статистики. Она рассмотрена в предыдущей главе. Путь к программе: /etc/firewall/fwlog

Синтаксис:

fwlog help fwlog [compact | clear] [log | events] fwlog show [log | events] <begin_date> <end_date> [priority]

Program help:

Интерфейс командной строки, позволяющий осуществить доступ к списку активных соединений, предоставляет те же возможности, что и графический интерфейс. Одна и та же программа используется для TCP и UDP соединений.

Путь к программе: /etc/firewall/fwconex

Синтаксис:

fwconex help fwconex show [TCP | UDP] fwconex remove [TCP | UDP] Source_IP Source_Port Dest_IP Dest_Port

Program help:

Aker Firewall - Version 3.01 fwconex - Просмотр и удаление активных TCP и UDP соединений Usage: fwconex help fwconex show [TCP | UDP] fwconex remove [TCP | UDP] Source_IP Source_Port Dest_IP Dest_port

help = показывает данное сообщение show = показывает список активных соединений remove = удаляет активное соединение

Пример 1: (просмотр активных TCP соединений)

#fwconex show TCP

Source IP/port Destination IP/port Start Idle Current State ------------------------------------------------------------------------------- 10.4.1.196 1067 - 10.4.1.11 23 15:35:19 00:00 Established 10.4.1.212 1078 - 10.5.2.1 25 15:36:20 00:10 Established

Пример 2: (просмотр активных UDP соединений)

#fwconex show UDP

Source IP/port Destination IP/port Start Idle ------------------------------------------------------------------------------- 10.4.1.18 1023 - 10.4.1.11 111 15:41:48 00:02 10.4.1.23 1078 - 10.4.1.11 53 15:45:47 00:09

Пример 3: (Удаление TCP соединения и просмотр списка соединений)

#fwconex remove tcp 10.4.1.196 1067 10.4.1.11 23

#fwconex show TCP

Source IP/port Destination IP/port Start Idle Current State ------------------------------------------------------------------------------- 10.4.1.212 1078 - 10.5.2.1 25 15:36:20 00:10 Established

Содержание раздела