Paloalto でオブジェクトの設定を投入する際によく利用する CLI コマンドをまとめてみました。
この記事ではアドレス、アドレスグループ、サービス、サービスグループの4つのオブジェクトの CLI コマンドをまとめています。
PAN-OSは [10.2.3] を利用しています。
アドレス
アドレスオブジェクト作成
登録する IP アドレスや FQDN が引数として必要になります。
#IPアドレス
set address <アドレスオブジェクト名> ip-netmask <IPアドレス>
#FQDN
set address <アドレスオブジェクト名> fqdn <FQDN>・記載例
#IPアドレス
set address address-01 ip-netmask 11.11.11.11/32
#FQDN
set address fqdn-01 fqdn abcd.comアドレスオブジェクト削除
オブジェクト名を指定するだけで削除可能です。
#IPアドレス
delete address <アドレスオブジェクト名>
#FQDN
delete address <アドレスオブジェクト名>・記載例
#アドレス
set address address-01
#FQDN
set address fqdn-01アドレスグループ(静的)
アドレスグループオブジェクト作成
登録するアドレスや FQDN が引数として必要になります。
set address-group <アドレスグループオブジェクト名> static <アドレスオブジェクト名>・記載例
set address-group address-group-01 static address-01複数のアドレスを一度に追加したい場合には [] を利用して指定することもできます。
set address-group address-group-01 static [ address-01 address-02 ]アドレスグループオブジェクト削除
一括削除
アドレスグループをオブジェクトごと削除したい場合には、オブジェクト名を指定するだけで削除可能です。
delete address-group <アドレスグループオブジェクト名>・記載例
delete address-group address-group-01特定のアドレスのみ削除
特定のアドレスだけを削除する場合には、引数として削除するアドレスオブジェクトを明示的に記載する必要があります。
delete address-group <アドレスグループオブジェクト名> static <アドレスオブジェクト名>・記載例
delete address-group address-group-01 static address-01注意点(削除コマンドでリスト形式は利用できない)
複数のアドレスオブジェクトを削除したい場合にはリスト形式は利用できないので1つのアドレスオブジェクトずつ行を分けて削除する必要があります。
リスト形式で削除しようとすると以下のようなエラーが出ます。
なので、今回の例を利用すると [address-group-01] に含まれる [address-01] と [address-02] を削除したい場合には、それぞれ削除するコマンドを記載する必要があります。
delete address-group address-group-01 static address-01
delete address-group address-group-01 static address-02サービス
サービスオブジェクト作成
登録するプロトコルやポートが引数として必要になります。
set service <サービスオブジェクト名> protocol <tcp/udp> port <ポート番号>・記載例
set service tcp-80 protocol tcp port 80サービス名にプロトコルとポート番号を記載しておくと分かりやすくておすすめです。
サービスオブジェクト削除
オブジェクト名を指定するだけで削除可能です。
delete service <サービスオブジェクト名>・記載例
delete service tcp-80サービスグループ
サービスグループオブジェクト作成
登録するサービスオブジェクトが引数として必要になります。
set service-group <サービスグループ名> members <サービスオブジェクト名>・記載例
set service-group service-group-01 members tcp-80複数のメンバを追加したい場合には [] を利用して指定することもできます。
set service-group service-group-01 members [ tcp-80 udp-80 ]サービスグループオブジェクト削除
一括削除
サービスグループをオブジェクトごと削除したい場合には、オブジェクト名を指定するだけで削除可能です。
delete service-group <サービスグループ名>・記載例
delete service-group service-group-01特定のサービスのみ削除
特定のサービスだけを削除する場合には、引数として削除するアドレスオブジェクトを明示的に記載する必要があります。
delete service-group <サービスグループ名> members <サービスオブジェクト名>・記載例
delete service-group service-group-01 members udp-80
コメント