Shell cli nsrpc - stormshield

De Wiki doc

Révision datée du 30 mars 2022 à 09:58 par Ycharbi (discussion | contributions) (→‎Configuration : Correction du lien vers la section "Sources")


La configuration d'un pare-feux Stormshield se fait généralement via son interface WEB. Cette dernière utilise en arrière plan des commandes NSRPC (NETASQ Secure Remote Procedure Call) qui sont également utilisables via un shell dédié. L’équipement devient alors paramétrable via la ligne de commande, ce qui peut procurer des avantages lorsque celui-ci n'est pas joignable par le réseau (utilisation du port série) en plus de permettre une automatisation via des scripts (voir aussi l'usage de l'API Python).

Connexion

La communication avec le shell NSRPC se fait via le port TCP 1300. L'outil éponyme est utilisé en local pour effectuer cette connexion

nsrpc admin:admin@127.0.0.1:1300

Configuration

Les commandes de cette section sont répertoriées dans la documentation cité en source et sont également récupérables dans les journaux systèmes de votre équipement dans son interface WEB d'administration.

Système

Accès administration

Passer la session en Français

SYSTEM SESSION language=fr

Obtenir les droits d'écriture

MODIFY on force
MODIFY monitor on force

Changer la longueur minimale du mot de passe

CONFIG PASSWDPOLICY SET minLength=5 minSetOfChars=None

Changer le mot de passe d'accès

CONFIG CONSOLE SETPASSPHRASE <mot_de_passe>

Administration WEB

Définir le port d'administration WEB

CONFIG WEBADMIN PORT https
CONFIG WEBADMIN ACTIVATE

Autoriser l'administration par tout le monde

CONFIG WEBADMIN ACCESS ADD Any

L'enlever

CONFIG WEBADMIN ACCESS REMOVE Any

Administration SSH

Activer l'accès par SSH avec mot de passe

CONFIG CONSOLE SSH state=1 userpass=1 port=ssh
CONFIG CONSOLE ACTIVATE

Le re-désactiver

CONFIG CONSOLE SSH state=0 userpass=0 port=ssh
CONFIG CONSOLE ACTIVATE

Afficher ce paramètre

CONFIG OBJECT GET type=service name=ssh

Réseau

Interfaces réseau

Connaître le nom des interfaces réseau

CONFIG NETWORK INTERFACE SHOW

Renommer une interface réseau

CONFIG NETWORK INTERFACE RENAME ifname=ethernet0 name=Port_1

Sortir une interface réseau du pont

CONFIG NETWORK INTERFACE UPDATE state=0 bridge= ifname=ethernet0
CONFIG NETWORK INTERFACE ACTIVATE

La remettre dans le pont

CONFIG NETWORK INTERFACE UPDATE state=1 bridge=bridge0 ifname=ethernet0
CONFIG NETWORK INTERFACE ACTIVATE

Changer les paramètres d'une interface

CONFIG NETWORK INTERFACE ADDRESS UPDATE ifname=bridge0 address=10.0.0.254 mask=255.255.255.0 addrnb=0 addressComment=
CONFIG NETWORK INTERFACE ACTIVATE

Création d'un pont réseau

Création d'un pont nommé "toto" contenant les interfaces 3 et 4

CONFIG NETWORK INTERFACE CREATE mtu=1500 name=toto interfaces=ethernet3,ethernet2 ifname=bridge1 address=10.100.100.254 mask=255.255.255.0 addressComment=
CONFIG NETWORK INTERFACE ACTIVATE

Routage

Afficher la route par défaut

CONFIG NETWORK DEFAULTROUTE SHOW

Définir une route par défaut

Créer un objet machine

CONFIG OBJECT HOST NEW name=rt_defaut comment="Passerelle defaut" ip="10.10.11.17"
CONFIG OBJECT ACTIVATE

Le définir comme route par défaut

CONFIG NETWORK DEFAULTROUTE SET type=ipv4 name=rt_defaut
CONFIG NETWORK DEFAULTROUTE ACTIVATE

Supprimer l'objet machine

CONFIG OBJECT HOST DELETE name=rt_defaut force=1
CONFIG OBJECT ACTIVATE

Afficher la configuration du routage dynamique

CONFIG BIRD SHOW

Afficher la configuration du MODEM

CONFIG MODEM SHOW

Supervision

Afficher la configuration SNMP

CONFIG SNMP SHOW

Filtrage

Passer la politique de filtrage à "tout passant"

CONFIG SLOT ACTIVATE type=filter slot=10

Sources