Sns-Fr-Configuration de Base Cli Note Technique

NOTE TECHNIQUE
STORMSHIELD NETWORK SECURITY
CONFIGURATIONS DE BASE EN
INTERFACE LIGNE DE
COMMANDE (CLI)
Produits concernés : SNS 3.x, SNS 4.x

Dernière mise à jour du document : 13 janvier 2021
Référence : sns-fr-configuration_de_base_cli_note_technique
SNS - NOTE TECHNIQUE
CONFIGURATIONS DE BASE EN INTERFACE LIGNE DE COMMANDE (CLI)
Table des matières

Avant de commencer 4
Utiliser l'interface en ligne de commande 4
Administration du firewall 5
Afficher l’aide des commandes et de leurs arguments 5
Récupérer les droits d’écriture 5
Restaurer la configuration usine 5
Injecter une licence 5
Syntaxe console 5
Syntaxe script 5
Sauvegarder toute la configuration 5
Syntaxe console 5
Syntaxe script 5
Restaurer toute la configuration 6
Syntaxe console 6
Syntaxe script 6
Mettre à jour le firewall 6
Syntaxe console 6
Syntaxe script 6
Activer l’accès SSH avec utilisation de mot de passe 6
Désactiver l’accès SSH 6
Autoriser une adresse IP publique d’accès à l’interface web 6
Gestion des objets réseaux 7
Objet Machine 7
Créer un objet Machine 7
Supprimer un objet Machine 7
Objet Réseau 7
Créer un objet Réseau 7
Supprimer un objet Réseau 7
Objet Plage d’adresses IP 8
Créer un objet Plage d'adresses IP 8
Supprimer un objet Plage d'adresses IP 8
Objet Port 8
Créer un objet Port 8
Supprimer un objet Port 8
Objet Plage de ports 8
Créer un objet Plage de ports 8
Supprimer un objet Plage de ports 9
Objet Routeur 9
Créer un objet Routeur 9
Supprimer un objet Routeur 9
Objet Groupe 10
Créer un objet Groupe 10
Ajouter un objet au groupe 10
Supprimer un objet Groupe 10
Objet Protocole IP 10
Créer un objet Protocole IP 10
Supprimer un objet Protocole IP 10
Objet Groupe de ports 10
Page 2/19 sns-fr-configuration_de_base_cli_note_technique - 13/01/2021

Créer un objet Groupe de ports 10

Supprimer un objet Groupe de ports 11
Objet Groupe de régions 11
Créer un objet Groupe de régions 11
Supprimer un objet Groupe de régions 11
Objet Temps 11
Créer un objet Temps 11
Supprimer un objet Temps 11
Configuration réseau 12
Configurer une interface Ethernet 12
Adresse IP statique 12
Adresse IP dynamique 12
Créer un bridge 12
Adresse IP statique 12
Adresse IP dynamique 12
Modifier un bridge 13
Supprimer un bridge 13
Configurer la passerelle par défaut 13
Configurer une route statique 13
Créer une route statique 13
Supprimer une route statique 13
Configurer les serveurs DNS utilisés par le firewall 14
Ajouter un serveur DNS 14
Supprimer un serveur DNS 14
Règles de filtrage 15
Activer une politique de filtrage ou de NAT 15
Ajouter une règle de filtrage 15
Modifier une règle filtrage 15
Désactiver une règle de filtrage 15
Supprimer une règle de filtrage 15
Règles de translation 16
Ajouter une règle de translation 16
Translation dynamique 16
Translation statique par port 16
Translation statique 16
Modifier une règle de translation 17
Désactiver une règle de translation 17
Supprimer une règle de translation 17
Gestion des utilisateurs dans la base LDAP interne 18
Créer une base LDAP interne 18
Créer un utilisateur 18
Supprimer un utilisateur 18
Créer un groupe d'utilisateurs 18
Ajouter un utilisateur à un groupe 18

Avant de commencer
Les firewalls Stormshield Network Security embarquent une interface en ligne de commandes
(CLI) constituée d’un jeu de commandes propriétaire. Les commandes sont accessibles via un
shell et elles permettent de configurer et de superviser toutes les fonctionnalités du firewall.
Ce document présente les commandes CLI nécessaires pour configurer les fonctionnalités de
base d’un firewall. L’ensemble des commandes et de leurs arguments est détaillé dans le
document Stormshield Network Security - CLI Serverd Commands Reference Guide.
Utiliser l'interface en ligne de commande

L’accès au shell CLI se fait via un protocole sécurisé NSRPC (NETASQ Secure Remote Procedure
Call) :
l En local sur le firewall (ligne de commande et interface web),
l A distance à partir d’une machine en utilisant des exécutables dédiés sous Windows et
Linux.
Les commandes CLI peuvent être regroupées dans un fichier texte pour former un script CLI qui
peut être, à son tour, exécuté en local ou à distance.
 NOTE
Pour consulter toutes les méthodes d’accès au shell CLI et la procédure à suivre pour l’écriture et
l’exécution des scripts, veuillez vous référer au module E-learning CLI ACCESS & SCRIPTS.

Administration du firewall
Afficher l’aide des commandes et de leurs arguments
HELP
Utilisez la commande HELP comme argument d’une commande pour afficher de l’aide sur les
arguments de la commande.
Récupérer les droits d’écriture

MODIFY ON FORCE
Restaurer la configuration usine

SYSTEM DEFAULTCONFIG
Cette commande ne réinitialise pas le mot de passe de l’utilisateur admin.
Injecter une licence
Syntaxe console
SYSTEM LICENCE UPLOAD < U70SXA02J2681A7.licence
Syntaxe script
SYSTEM LICENCE UPLOAD $FROM_DATA_FILE ("U70SXA02J2681A7.licence")
Sauvegarder toute la configuration
Syntaxe console
CONFIG BACKUP list=all [password=mot_de_passe]> mybackup.na
Syntaxe script
CONFIG BACKUP list=all [password=mot_de_passe] $SAVE_TO_DATA_FILE
("mybackup.na")

Restaurer toute la configuration
Syntaxe console
CONFIG RESTORE list=all [password=mot_de_passe]< mybackup.na
Syntaxe script
CONFIG RESTORE list=all [password=mot_de_passe] $FROM_DATA_FILE
("mybackup.na")
Mettre à jour le firewall
Syntaxe console
SYSTEM UPDATE UPLOAD < fwupd-2.2.0-NETASQ-amd64-M-VM-NETASQ.maj
SYSTEM UPDATE ACTIVATE
Syntaxe script
SYSTEM UPDATE UPLOAD $FROM_DATA_FILE("fwupd-2.2.0-NETASQ-amd64-M-VM-
NETASQ.maj")
SYSTEM UPDATE ACTIVATE
Activer l’accès SSH avec utilisation de mot de passe

CONFIG CONSOLE SSH state=1 userpass=1 port=ssh
CONFIG CONSOLE ACTIVATE
Désactiver l’accès SSH

CONFIG CONSOLE SSH state=0
CONFIG CONSOLE ACTIVATE
Autoriser une adresse IP publique d’accès à l’interface web

CONFIG WEBADMIN ACCESS ADD PUBLIC_IP
CONFIG WEBADMIN ACTIVATE
PUBLIC_IP est un objet machine mais il peut être un objet réseau, une plage d’adresses IP, ou
l’objet any.

Gestion des objets réseaux

Cette section décrit comment créer ou supprimer des objets.
Pour modifier un objet, utilisez les mêmes commandes que pour sa création et ajoutez le
paramètre update=1 :
Exemple pour modifier un objet Machine :
CONFIG OBJECT HOST NEW name=DNS_SRV comment="DNS Server"
ip="192.168.250.152" resolve=static mac="" update=1
CONFIG OBJECT ACTIVATE
Objet Machine
Créer un objet Machine

l Nom : DNS_SRV,
l Commentaire : DNS Server,
l Adresse IP : 192.168.250.150,
l Adresse MAC : 0A:00:27:00:00:28.
CONFIG OBJECT HOST NEW name=DNS_SRV comment="DNS Server"
ip="192.168.250.150" resolve=static mac="0A:00:27:00:00:28"
Supprimer un objet Machine

CONFIG OBJECT HOST DELETE name=DNS_SRV force=1
Objet Réseau
Créer un objet Réseau

l Nom : VPN_NET,
l Commentaire : VPN Network,
l Adresse réseau : 192.168.1.0/24.
CONFIG OBJECT NETWORK NEW name=VPN_NET comment="VPN Network"
ip=192.168.1.0 mask=255.255.255.0
Supprimer un objet Réseau

CONFIG OBJECT NETWORK DELETE name=VPN_NET force=1

Objet Plage d’adresses IP
Créer un objet Plage d'adresses IP

l Nom : DHCP_LAN_RANGE,
l Commentaire : DHCP LAN RANGE,
l Début : 192.168.250.100,
l Fin : 192.168.250.200.
CONFIG OBJECT HOST NEW name=DHCP_LAN_RANGE comment="DHCP LAN RANGE"
begin=192.168.250.100 end=192.168.250.200
Supprimer un objet Plage d'adresses IP

CONFIG OBJECT HOST DELETE name=DHCP_LAN_RANGE force=1
Objet Port
Créer un objet Port

l Nom : SRV_PORT,
l Pas de commentaire,
l Numéro de port : 2500,
l Protocole : TCP.
CONFIG OBJECT SERVICE NEW name=SRV_PORT comment="" port=2500 proto=TCP
Supprimer un objet Port

CONFIG OBJECT SERVICE DELETE name=SRV_PORT force=1
Objet Plage de ports
Créer un objet Plage de ports

l Nom : PORT_RANGE,
l Commentaire : PORT RANGE,
l Début : 20000,
l Fin : 20500,
l Protocole : Any.
CONFIG OBJECT SERVICE NEW name=PORT_RANGE comment="PORT RANGE" port=20000
toport=20500 proto=ANY

Supprimer un objet Plage de ports

CONFIG OBJECT SERVICE DELETE name=PORT_RANGE force=1
Objet Routeur
Créer un objet Routeur

l Nom : DEFAULT_ROUTER,
l Pas de commentaire,
l Répartition de charge : par connexion,

l Activation des passerelles de secours lorsque toutes les passerelles sont injoignables,
l Ne pas activer toutes les passerelles de secours,
l Si aucune passerelle n’est disponible appliquer le routage par défaut.
Passerelles principales 1 :
l Objet machine : MAIN_GW1
l Test de la disponibilité : dns1.google.com
l Poids :1
Passerelle principale 2 :
l Objet machine : MAIN_GW2
l Poids :1
Passerelle de secours :
l Objet machine : BACKUP_GW
l Poids :1
CONFIG OBJECT ROUTER NEW name=DEFAULT_ROUTER comment="" tries=3 wait=2
frequency=15 gatewaythreshold=1 activateallbackup=Off
loadbalancing=connhash
CONFIG OBJECT ROUTER GATEWAY ADD type=principalgateway name=DEFAULT_ROUTER

host=MAIN_GW1 check="dns1.google.com" weight=1 monitor=icmp comment=""
CONFIG OBJECT ROUTER GATEWAY ADD type=backupgateway name=DEFAULT_ROUTER

host=BACKUP_GW check="dns1.google.com" weight=1 monitor=icmp comment=""
Supprimer un objet Routeur

CONFIG OBJECT ROUTER DELETE name=DEFAULT_ROUTER force=1

Objet Groupe
Créer un objet Groupe

l Nom : SRV_GRP,
l Commentaire : Server Group.
CONFIG OBJECT GROUP NEW name=SRV_GRP comment="Server Group"
Ajouter un objet au groupe

l Ajouter au groupe SRV_GRP l’objet machine srv_web.
CONFIG OBJECT GROUP ADDTO group=SRV_GRP node=srv_web
Supprimer un objet Groupe

CONFIG OBJECT GROUP DELETE name=SRV_GRP force=1
Objet Protocole IP
Créer un objet Protocole IP

l Nom : IP_PROTO,
l Commentaire : OWNER IP PROTOCOLE,
l Numéro du protocole : 200.
CONFIG OBJECT PROTOCOL NEW name=IP_PROTO comment="OWNER IP PROTOCOLE"
protonumber=200
Supprimer un objet Protocole IP

CONFIG OBJECT PROTOCOL DELETE name=IP_PROTO force=1
Objet Groupe de ports
Créer un objet Groupe de ports

l Nom : WEB_PORT,
l Commentaire : WEB PORT.
CONFIG OBJECT SERVICEGROUP NEW name=WEB_PORT comment="WEB PORT"


l Ajouter au groupe WEB_PORT l’objet protocole https.
CONFIG OBJECT SERVICEGROUP ADDTO group=WEB_PORT node=https
Supprimer un objet Groupe de ports

CONFIG OBJECT SERVICEGROUP DELETE name=WEB_PORT force=1
Objet Groupe de régions
Créer un objet Groupe de régions

l Nom : PART_LOC,
l Commentaire : Partners Location.
CONFIG OBJECT GEOGROUP NEW name=PART_LOC comment="Partners Location"

l Ajouter au group PART_LOC le pays eu :it.
CONFIG OBJECT GEOGROUP ADDTO group=PART_LOC node=eu:it
Supprimer un objet Groupe de régions

CONFIG OBJECT GEOGROUP DELETE name=PART_LOC force=1
Objet Temps
Créer un objet Temps

l Nom : Working_Time,
l Commentaire : Working Time,
l Jours de la semaine : lundi, mardi, mercredi, jeudi et vendredi,
l Plage horaire : 09 :00 à 18 :00.
CONFIG OBJECT TIME NEW name=working_time comment="Working Time"
time=09:00-18:00 weekday=1;2;3;4;5 yearday= date=
Supprimer un objet Temps

CONFIG OBJECT TIME DELETE name=working_time force=1

Configuration réseau
Configurer une interface Ethernet
Les noms des interfaces sont :
l Ethernet0 : out
l Ethernet1 : in
l Ethernet2 : dmz1
l Ethernet3 : dmz2
Adresse IP statique
l Configurer l’interface in avec l’adresse IP statique 192.168.1.254/24.
CONFIG NETWORK INTERFACE ADDRESS ADD ifname=ethernet1
address=192.168.1.254 mask=24 addressComment=
CONFIG NETWORK INTERFACE ACTIVATE
Adresse IP dynamique
l Configurer l’interface out en DHCP.
CONFIG NETWORK INTERFACE ADDRESS ADD ifname=ethernet0 address=DHCP
dhcpLeaseTime=0 requestDns=1
Créer un bridge
Adresse IP statique
l Créer un bridge BRIDGE_LAN qui contiendra les interfaces in et dmz1 et qui sera configuré
avec l’adresse IP statique 192.168.5.254/24.
CONFIG NETWORK INTERFACE CREATE mtu=1500 name=BRIGE_LAN
interfaces=ethernet2,ethernet1 ifname=bridge1 address=192.168.5.254
mask=255.255.255.0 addressComment=
Adresse IP dynamique
l Créer un bridge BRIDGE_LAN qui contiendra les interfaces in et dmz1 et qui sera configuré en
DHCP.
CONFIG NETWORK INTERFACE CREATE mtu=1500 name=BRIDGE_LAN
interfaces=ethernet1,ethernet2 ifname=bridge1 address=DHCP
dhcpLeaseTime=3600 dhcpHostname=

Modifier un bridge
CONFIG NETWORK INTERFACE ADDRESS UPDATE ifname=bridge1
address=192.168.5.250 mask=255.255.255.0 addrnb=0 addressComment=
Supprimer un bridge
l Avant de supprimer un bridge, il faut retirer d’abord les interfaces appartenant au bridge.

CONFIG NETWORK INTERFACE REMOVE ifname=bridge1
Configurer la passerelle par défaut

l Configurer l’objet machine (ou routeur) DEFAULT_GW comme passerelle par défaut.
CONFIG NETWORK DEFAULTROUTE SET type=ipv4 name=DEFAULT_GW
CONFIG NETWORK DEFAULTROUTE ACTIVATE
Configurer une route statique

l Créer la route statique suivante :
Créer une route statique

CONFIG NETWORK ROUTE ADD State=1 Remote=NET_A Interface=dmz2 Gateway=FW_A
Color=333399
CONFIG NETWORK ROUTE ACTIVATE
Supprimer une route statique

CONFIG NETWORK ROUTE REMOVE Remote=NET_A
CONFIG NETWORK ROUTE ACTIVATE

Configurer les serveurs DNS utilisés par le firewall
Ajouter un serveur DNS

l Ajouter le serveur DNS_SRV à la liste des serveurs DNS du firewall dans le menu Configuration
> Système > Configuration > Onglet Paramètres réseaux > Zone Résolution DNS.
CONFIG DNS SERVER ADD DNS_SRV
CONFIG DNS ACTIVATE
Supprimer un serveur DNS

CONFIG DNS SERVER REMOVE DNS_SRV
CONFIG DNS ACTIVATE

Règles de filtrage
Activer une politique de filtrage ou de NAT
l Activer la politique de filtrage ou de NAT numéro 5.
CONFIG SLOT ACTIVATE type=filter slot=5
Ajouter une règle de filtrage

l Créer la règle de filtrage suivante en première position de la politique de Filtrage - NAT
numéro 9 :
CONFIG FILTER RULE INSERT index=9 type=filter state=on action=pass

srctarget=Network_internals dsttarget=internet dstport=http position=1
loglevel=minor
CONFIG FILTER ACTIVATE
Modifier une règle filtrage

l Modifier la règle précédente comme suit :
CONFIG FILTER RULE UPDATE srctarget=Network_in srcif=in

dstport=http,https,ftp,ssh index=9 global=0 type=filter position=1CONFIG
FILTER ACTIVATE
Désactiver une règle de filtrage

CONFIG FILTER RULE UPDATE state=off index=9 global=0 type=filter
position=1
Supprimer une règle de filtrage

CONFIG FILTER RULE REMOVE index=9 global=0 type=filter position=1

Règles de translation
Ajouter une règle de translation
Translation dynamique
l Créer la règle de translation dynamique suivante :
CONFIG FILTER RULE INSERT index=9 type=nat state=on action=nat

srctarget=Network_in srcif=in dsttarget=internet dstif=out
natsrctarget=Firewall_out natsrcport=ephemeral_fw natsrcportlb=random
position=1
Translation statique par port

l Créer la règle de translation statique par port suivante :

srctarget=internet srcif=out dsttarget=Firewall_out dstport=http
natdsttarget=web_srv natdstport=http position=2 loglevel=minor
Translation statique
l Ajouter les deux règles de translation statique suivantes :

srctarget=srv_ftp srcif=in dsttarget=internet dstif=out natsrctarget=srv_
ftp_pub natsrcarp=on natsrcport=any position=3

srctarget=internet srcif=out dsttarget=srv_ftp_pub natdstarp=on

dstport=any natdsttarget=srv_ftp natdstport=any position=4 loglevel=minor
Modifier une règle de translation

l Modifier la règle de translation dynamique comme suit :
CONFIG FILTER RULE update srctarget=Network_in,Network_dmz2 srcif=any

index=9 global=0 type=nat position=1
Désactiver une règle de translation

CONFIG FILTER RULE UPDATE state=off index=9 type=nat global=0 position=1
Supprimer une règle de translation

CONFIG FILTER RULE REMOVE index=9 global=0 type=nat position=1

Gestion des utilisateurs dans la base LDAP interne

Créer une base LDAP interne
l Créer une base LDAP interne,
l Nom de l’annuaire : institute.com,
l Organisation : institute,
l Domaine : com,
l Mot de passe de l’annuaire : P@ssw0rd.
CONFIG LDAP INITIALIZE domainname=institute.com o=institute dc=com
password=P@ssw0rd
CONFIG LDAP ACTIVATE
Créer un utilisateur
l Créer l’utilisateur Jean Doe dans l’annuaire avec le mot de passe adminadmin.
USER CREATE uid=jdoe name=doe gname=jean
USER PASSWORD dn=jdoe password=adminadmin
Supprimer un utilisateur
USER REMOVE "cn=jean doe,ou=users,o=institute,dc=madrid.institute.com"
Créer un groupe d'utilisateurs

l Créer le groupe d’utilisateurs Marketing
USER GROUP CREATE "Marketing"
Ajouter un utilisateur à un groupe

l Ajouter au groupe Marketing l’utilisateur Jean Doe.
USER GROUP ADDUSER "cn=test,ou=groups,o=institute,dc=madrid.institute.com"
"jdoe"

documentation@stormshield.eu
Les images de ce document ne sont pas contractuelles, l'aspect des produits présentés peut
éventuellement varier.
Copyright © Stormshield 2021. Tous droits réservés. Tous les autres produits et sociétés cités
dans ce document sont des marques ou des marques déposées de leur détenteur respectif.

Sns-Fr-Configuration de Base Cli Note Technique

Transféré par

Droits d'auteur :

Formats disponibles

Sns-Fr-Configuration de Base Cli Note Technique

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sns-Fr-Configuration de Base Cli Note Technique

Transféré par

Droits d'auteur :

Formats disponibles

NOTE TECHNIQUE

STORMSHIELD NETWORK SECURITY

Produits concernés : SNS 3.x, SNS 4.x

Table des matières

Page 2/19 sns-fr-configuration_de_base_cli_note_technique - 13/01/2021

Créer un objet Groupe de ports 10

Page 3/19 sns-fr-configuration_de_base_cli_note_technique - 13/01/2021

Utiliser l'interface en ligne de commande

Page 4/19 sns-fr-configuration_de_base_cli_note_technique - 13/01/2021

Récupérer les droits d’écriture

Restaurer la configuration usine

Cette commande ne réinitialise pas le mot de passe de l’utilisateur admin.

Injecter une licence

Sauvegarder toute la configuration

Page 5/19 sns-fr-configuration_de_base_cli_note_technique - 13/01/2021

Restaurer toute la configuration

Mettre à jour le firewall

Activer l’accès SSH avec utilisation de mot de passe

Désactiver l’accès SSH

Autoriser une adresse IP publique d’accès à l’interface web

Page 6/19 sns-fr-configuration_de_base_cli_note_technique - 13/01/2021

Gestion des objets réseaux

Créer un objet Machine

Supprimer un objet Machine

Créer un objet Réseau

Supprimer un objet Réseau

Page 7/19 sns-fr-configuration_de_base_cli_note_technique - 13/01/2021

Objet Plage d’adresses IP

Créer un objet Plage d'adresses IP

Supprimer un objet Plage d'adresses IP

Créer un objet Port

Supprimer un objet Port

Objet Plage de ports

Créer un objet Plage de ports

Page 8/19 sns-fr-configuration_de_base_cli_note_technique - 13/01/2021

Supprimer un objet Plage de ports

Créer un objet Routeur

l Répartition de charge : par connexion,

l Ne pas activer toutes les passerelles de secours,

l Si aucune passerelle n’est disponible appliquer le routage par défaut.

l Test de la disponibilité : dns1.google.com

l Test de la disponibilité : dns1.google.com

l Test de la disponibilité : dns1.google.com

CONFIG OBJECT ROUTER GATEWAY ADD type=principalgateway name=DEFAULT_ROUTER

CONFIG OBJECT ROUTER GATEWAY ADD type=backupgateway name=DEFAULT_ROUTER

CONFIG OBJECT ACTIVATE

Supprimer un objet Routeur

Page 9/19 sns-fr-configuration_de_base_cli_note_technique - 13/01/2021

Créer un objet Groupe

Ajouter un objet au groupe

Supprimer un objet Groupe

Créer un objet Protocole IP

Supprimer un objet Protocole IP

Objet Groupe de ports

Créer un objet Groupe de ports

Page 10/19 sns-fr-configuration_de_base_cli_note_technique - 13/01/2021

Ajouter un objet au groupe

Supprimer un objet Groupe de ports

Objet Groupe de régions