【Paloalto】インターフェイス管理プロファイルをCLIで設定してみた 

Paloalto Paloalto
この記事は約4分で読めます。

Paloaltoでインターフェイス管理プロファイルをCLIで設定してみました。

今回は仮想アプライアンスとして palaolto を利用しており、PAN-OSは [11.2.8] を利用しています。

広告

1.インターフェイス管理プロファイルをCLIで設定する

以下のコマンドで作成可能です。

今回は ethernet1/1interface-profile-01 を作成しました。

 # コンフィグレーションモードに変更
configure

 # インターフェイス管理プロファイルの作成
set network profiles interface-management-profile interface-profile-01

 # 管理プロファイルをインターフェイスに紐づける
set network interface ethernet ethernet1/1 layer3 interface-management-profile interface-profile‐01

 # コミットする
commit

設定の確認は以下のコマンドで確認できます。

 # 管理プロファイルの設定確認
show network profiles interface-management-profile

1-1.実行結果(管理プロファイルの設定確認)

hogeuser@host1# show network profiles interface-management-profile interface-profile-01
interface-profile-01;
[edit]
hogeuser@host1#

プロファイル作成直後の状態では、どのプロトコルも許可していない状態なので特定のプロトコルを許可する設定を入れます。

1-2.プロトコルの許可設定

特定のプロトコルの接続を許可するには以下のコマンドを実行します。

 # プロトコルの許可設定(pingを許可)
set network profiles interface-management-profile interface-profile-01 ping yes

許可設定可能なプロトコルは以下の通りです。

  • http
  • http-ocsp
  • https
  • ping
  • response-pages(応答ページ)
  • snmp
  • ssh
  • telnet
  • userid-service
  • userid-syslog-listener-ssl
  • userid-syslog-listener-udp

1-2-1.実行結果(pingの許可)

ping yes となっており設定が追加されたことが確認できます。

hogeuser@host1# show network profiles interface-management-profile interface-profile-01
interface-profile-01 {
  ping yes;
}
[edit]
hogeuser@host1#

1-3.特定のIPから接続させる設定

インターフェース管理プロファイルでは、紐づけるインターフェースに対して特定のIPからのみ接続を許可することができます。

以下のコマンドで設定します

 # 特定IPからの接続を許可(10.0.0.0/8からの接続を許可)
set network profiles interface-management-profile interface-profile-01 permitted-ip 10.0.0.0/8

設定後はコミットするのを忘れないでください。

2.インターフェイス管理プロファイルを削除する

インターフェイス管理プロファイルを削除するコマンドは以下です。

 # インターフェイスとの紐づけを削除
delete network interface ethernet ethernet1/1 layer3 interface-management-profile

 # インターフェイス管理プロファイルの削除
delete network profiles interface-management-profile interface-profile-01

インターフェイスとの紐づけを削除しないで管理プロファイルを削除しようとすると以下のようにエラーとなります。

hogeuser@host1# delete network profiles interface-management-profile interface-profile-01

Server error :   interface-profile-01 cannot be deleted because of references from:
 network -> interface -> ethernet -> ethernet1/1 -> layer3 -> interface-management-profile

[edit]
hogeuser@host1#
広告