Shell cli nsrpc - stormshield
La configuration d'un pare-feux Stormshield se fait généralement via son interface WEB. Cette dernière utilise en arrière plan des commandes NSRPC (NETASQ Secure Remote Procedure Call) qui sont également utilisables via un shell dédié. L’équipement devient alors paramétrable via la ligne de commande, ce qui peut procurer des avantages lorsque celui-ci n'est pas joignable par le réseau (utilisation du port série) en plus de permettre une automatisation via des scripts (voir aussi l'usage de l'API Python).
Connexion
La communication avec le shell NSRPC se fait via le port TCP 1300. L'outil éponyme est utilisé en local pour effectuer cette connexion
nsrpc admin:admin@127.0.0.1:1300
Configuration
Les commandes de cette section sont répertoriées dans la documentation cité en source et sont également récupérables dans les journaux systèmes de votre équipement dans son interface WEB d'administration.
Système
Accès administration
Passer la session en Français
SYSTEM SESSION language=fr
Obtenir les droits d'écriture
MODIFY on force MODIFY monitor on force
Changer la longueur minimale du mot de passe
CONFIG PASSWDPOLICY SET minLength=5 minSetOfChars=None CONFIG PASSWDPOLICY ACTIVATE
Changer le mot de passe d'accès
CONFIG CONSOLE SETPASSPHRASE oldpassword=toto newpassword=admin CONFIG CONSOLE ACTIVATE
Administration WEB
Définir le port d'administration WEB
CONFIG WEBADMIN PORT https CONFIG WEBADMIN ACTIVATE
Autoriser l'administration par tout le monde
CONFIG WEBADMIN ACCESS ADD Any
L'enlever
CONFIG WEBADMIN ACCESS REMOVE Any
Administration SSH
Activer l'accès par SSH avec mot de passe
CONFIG CONSOLE SSH state=1 userpass=1 port=ssh CONFIG CONSOLE ACTIVATE
Le re-désactiver
CONFIG CONSOLE SSH state=0 userpass=0 port=ssh CONFIG CONSOLE ACTIVATE
Afficher ce paramètre
CONFIG OBJECT GET type=service name=ssh
Réseau
Interfaces réseau
Connaître le nom des interfaces réseau
CONFIG NETWORK INTERFACE SHOW
Renommer une interface réseau
CONFIG NETWORK INTERFACE RENAME ifname=ethernet0 name=Port_1
Sortir une interface réseau du pont
CONFIG NETWORK INTERFACE UPDATE state=0 bridge= ifname=ethernet0 CONFIG NETWORK INTERFACE ACTIVATE
La remettre dans le pont
CONFIG NETWORK INTERFACE UPDATE state=1 bridge=bridge0 ifname=ethernet0 CONFIG NETWORK INTERFACE ACTIVATE
Changer les paramètres d'une interface
CONFIG NETWORK INTERFACE ADDRESS UPDATE ifname=bridge0 address=10.0.0.254 mask=255.255.255.0 addrnb=0 addressComment= CONFIG NETWORK INTERFACE ACTIVATE
Création d'un pont réseau
Création d'un pont nommé "toto" contenant les interfaces 3 et 4
CONFIG NETWORK INTERFACE CREATE mtu=1500 name=toto interfaces=ethernet3,ethernet2 ifname=bridge1 address=10.100.100.254 mask=255.255.255.0 addressComment= CONFIG NETWORK INTERFACE ACTIVATE
Routage
Afficher la route par défaut
CONFIG NETWORK DEFAULTROUTE SHOW
Définir une route par défaut
Créer un objet machine
CONFIG OBJECT HOST NEW name=rt_defaut comment="Passerelle defaut" ip="10.10.11.17" CONFIG OBJECT ACTIVATE
Le définir comme route par défaut
CONFIG NETWORK DEFAULTROUTE SET type=ipv4 name=rt_defaut CONFIG NETWORK DEFAULTROUTE ACTIVATE
Supprimer l'objet machine
CONFIG OBJECT HOST DELETE name=rt_defaut force=1 CONFIG OBJECT ACTIVATE
Afficher la configuration du routage dynamique
CONFIG BIRD SHOW
Afficher la configuration du MODEM
CONFIG MODEM SHOW
Supervision
Afficher la configuration SNMP
CONFIG SNMP SHOW
Filtrage
Passer la politique de filtrage à "tout passant"
CONFIG SLOT ACTIVATE type=filter slot=10