PaloaltoでゾーンをCLIで設定してみました。
今回は仮想アプライアンスとして palaolto を利用しており、PAN-OSは [11.2.8] を利用しています。
1.CLIでゾーンを作成する
以下のコマンドでゾーンを作成することができます。
コマンドはコンフィグレーションモードで実行してください。
# コンフィグレーションモードに変更
configure
# ゾーンを作成
set zone Trust
set zone Untrust
# コミットする
commitこれでゾーンの作成は完了です。
今回は「Trust」と「Untrust」という名前の2つのゾーンを作成しました。
以下のコマンドで作成したことを確認できます。
show zone1-1.確認結果(ゾーン設定の確認)
hogeuser@host1# show zone
zone {
untrust;
trust;
}
[edit]
hogeuser@host1#設定後はコミットするのを忘れないでください。
2.インターフェイスを紐づける
以下のコマンドで作成したゾーンにインターフェイスを紐づけることができます。
# ゾーンをインターフェイスに紐づける
set zone trust network layer3 ethernet1/2
set zone untrust network layer3 ethernet1/1なお、CLIでのインターフェイスの作成方法は以下の記事にまとめてありますので参考にしてください。
3.ゾーンプロテクションプロファイルを指定する
以下のコマンドでゾーンプロテクションプロファイルを指定できます。
# ゾーンプロテクションプロファイルを指定する
set zone Trust network zone-protection-profile zone-protection-profile-01
set zone Untrust network zone-protection-profile zone-protection-profile-01[参考] ゾーンプロテクションプロファイルの作成
ゾーンプロテクションプロファイルは以下のコマンドで作成できます。
# ゾーンプロテクションプロファイルの作成
set network profiles zone-protection-profile zone-protection-profile-014.ゾーンを削除する
以下のコマンドでゾーンの削除が可能です。
# ゾーンを削除する
delete zone Trust
delete zone Untrust4-1.ゾーン削除前にゾーンの紐づけをすべて削除する必要がある
ゾーンを削除する際に、セキュリティポリシーなどで削除対象のゾーン指定などを解除しないと、以下のようにゾーン削除に失敗します。
hogeuser@host1# delete zone Trust
Server error : Trust cannot be deleted because of references from:
rulebase -> security -> rules -> Allow-To-Internet -> from
rulebase -> nat -> rules -> NAT-Policy -> from
rulebase -> nat -> rules -> NAT-Policy -> from
rulebase -> nat -> rules -> NAT-Policy -> from
[edit]
hogeuser@host1#ゾーン設定の削除前にはすべての紐づけを解除しましょう。
