# Firewall
Bu bölümde web arayüzde[ **Configuration -> Firewall** ](https://docs.targitas.com/configuration/firewall) sekmesinde gerçekleştirilebilen konfigürasyonların karşılığı olan CLI komutları bulunur.
## security firewall
```
parta_Document(config)# security firewall
parta_Document(config-security-firewall)# ?
commit Commit Firewall Rules
ddos DDos Profile
enable Enable Firewall Rule (Default: enable)
fw-default-policy Firewall Default Policy
fw-flow Enables data export
load-balance Loadbalance Profile
qos Qos Profile
rules Rules
set-options Set Firewall Options
zone Zone
```
| |
|---|
commit | Firewall kurallarındaki gerçekleştirilen değişikliklerin uygulanmasını sağlar |
ddos policy [Name] | Bu komut sayesinde belirlenen isimdeki DoS Policy konfigürasyonunun gerçekleştirilebileceği targitas(config-ddos-[Name])# prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde DoS sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur. |
enable | Oluşturulan Firewall kuralının çalışması isteniliyorsa aktifleştirilmelidir. |
fw-default-policy block-all
fw-default-policy block-log-all | Oluşturulan hiçbir firewall kuralına uymayan paketlerin bloklanmasını sağlar.
block-log-all durumunda ayrıca bloklanan paketlere ait logların tutulması sağlanır. |
fw-flow | Bu komut sayesinde fw-flow konfigürasyonunun gerçekleştirilebileceği targitas(config-firewall-flow)# prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Fw-flow sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur. |
load-balance [Profile Name] | Bu komut sayesinde belirlenen isimdeki Load Balance konfigürasyonunun gerçekleştirilebileceği targitas(config-lb-[Name])# prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Load Balance sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur. |
qos [Profile] | |
rules | Bu komut sayesinde firewall kurallarının konfigürasyonunun gerçekleştirilebileceği targitas(config-security-rules)# prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Rules sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur. |
set-options | |
zone [Name] | Bu komut sayesinde belirlenen isimdeki Zone konfigürasyonunun gerçekleştirilebileceği targitas(config-zone-[Name])# prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Zone sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur. |
### firewall ddos policy \[Name]:
### firewall fw-flow
### firewall load-balance \[Profile Name]
### qos \[Profile Name] type parent
### rules
```
parta_Document(config-security-firewall)# rules
parta_Document(config-security-rules)# fw-rule [ID]
parta_Document(config-security-rules)# fw-rule 10
parta_Document(config-fw-rule-10)# ?
action Set Firewall Rule Action
check Check Firewall Rule
ddos-profile Set DDos Profile to Firewall Rule
description Set description
destination-ip Destination IP
destination-zone Destination Zone
dpi Enable Web Filter
enable Enable Firewall Rule (Default: enable)
forward-ip Port Address Translation IP
ftp-proxy Enable FTP Proxy
fw-rule Firewall Rule
fw-state Set State to Firewall Rule
hotspot Hotspot Captive Portal Profile
inet Set Firewall Rule Inet Protocol
load-balance Loadbalance Profile
log Enable Log
name Set Firewall Rule name
nat-ip Network Address Translation IP
ngips-policy Enable IPS (Intrusion Prevention System) Filter
qos-profile Qos Profile
reply-ip Reply Ip Address
route-ip Route Ip Address
rule-order-id Set Firewall Rule Order
service-in Service-in
service-out Service-out
set-prio Packets matching this rule will be assigned a specific queueing priority
set-tos Enforces a TOS for matching packets.
source-ip Source IP
source-zone Source Zone
ssl-inspection Enable SSL Inspection
static-port Static Port
tag Set Firewall Rule tag
type Set Firewall Rule Type
use-tag Set Firewall Rule use-tag
vrf-table Set VRF table to firewall rule
```
| `action [allow / deny /reset` | Oluşturulan Firewall kuralıyla eşleşen paket karşısında gerçekleştirilecek aksiyon belirlenmelidir.
Allow: Firewall kuralındaki parametreleri sağlayan paketin geçmesine izin verir.
Deny: Firewall kuralındaki parametreleri sağlayan paketin geçmesine izin vermez ve paketi düşürür.
Reset: Firewall kuralındaki parametreleri sağlayan paketi ve trafiğin diğer ucundaki IP adresiyle kurduğu TCP bağlantısını kapatır.
|
| ----------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `check` | Oluşturulan Firewall kuralında yapısal sorun testi gerçekleştirir. Hata durumunda oluşturulan Firewall kuralının commit etmek için uygun olmadığı bilgisi edinilir. |
| `ddos-profile [Name]` | Servis engelleme saldırılarını önlemek için gelen paket sayısı/zaman ayarlamasının belirlenebildiği DoS Politikası belirlenerek önlem alınabilir. Web arayüzünde Configuration -> Firewall -> Dos sayfasında oluşturulmuş DoS Politikalarından seçilmek istenilen politikanın ismi belirtilmelidir. |
| `description [Text]` | Network yönetimini kolaylaştırmak için oluşturulan Firewall kuralının görevini içeren bir açıklama yazılması önerilir. |
| `destination-ip` | Firewall'a ulaşan paketin ulaşmaya çalıştığı IP adresidir. |
| `destination-zone` | Firewall'a ulaşan trafiğin hangi yöne gitmek istediğini belirtir. |
| `dpi flow-management` | DPI (Deep Packet Inspection) Politikalarının değerlendirilmesi isteniyorsa bu özellik aktifleştirilmelidir. |
| `enable` | Oluşturulan Firewall kuralının çalışması isteniliyorsa aktifleştirilmelidir. |
| `forward-ip` | Port Forwarding türündeki kurallarda Firewall'a gelen paketlerden gerekli şartları sağlayan paketin hangi IP adresine yönlendirileceğini belirtir. |
| `ftp-proxy` | File Transfer Protocol Proxy özelliği isteniyorsa bu özellik aktifleştirilmelidir. |
| `fw-rule [ID]` | Belirtilen ID değerine sahip farklı bir Firewall kuralının konfigürasyonuna geçiş için kullanılır. |
| `fw-state [fw-flow / keep-state / no-state / synproxy-state]` | Firewall state türü belirlenmelidir.
keep-state: Seçenek, TCP, UDP ve ICMP ile çalışır.Bu seçenek, tüm filtre kuralları için varsayılandır.
no-state: Seçenek, TCP, UDP ve ICMP ile çalışır.Güvenlik duvarı bu bağlantıyı durum bilgisi olarak izlemez.
synproxy-state: Sunucuları sahte TCP SYN saldırılarından korumaya yardımcı olmak için gelen TCP bağlantılarını proxy'ler.keep state ve modulate state içerir.
fw-flow: Güvenlik duvarı akışların bir akış toplayıcısına gönderir.
|
| `hotspot [Captive Portal]` | Firewall kuralını tetikleyen paketlerin hotspot tarafında authentication işlemi gerçekleştirmek için seçilmelidir. Oluşturulmuş seçeneklerden birisi seçilebilir. Hotspot ile ilgili ayrıntılara [**Hotspot Rehberi** ](https://docs.targitas.com/targitas-kullanim-rehberi/hotspot-rehberi)üzerinden ulaşılabilir. |
| `inet [v4 / v6]` | |
| `load-balance [Profile]` | |
| `log` | Firewall kuralı tarafından değerlendirilen paketlerin kayıtlarının tutulması isteniyorsa bu özellik aktifleştirilmelidir. |
| `name [Rule Name]` | Firewall kuralının görevini ifade eden bir isim vermeniz önerilir. |
| `nat-ip` | Firewall kuralı tarafından tetikleyen paketlerin source IP değerinin NAT sonrasında değiştirileceği IP adresi belirtilmelidir. |
| `ngips-policy [Policy Name]` | NGIPS (Next Generation Intrusion Prevention System) sayesinde Targitas'ın veritabanında sahip olduğu bilinen saldırıların imzalarından belirlenen NGIPS Policy tarafından tetiklenen şüpheli paketlerde NGIPS tarafından belirlenen senaryonun gerçekleşmesini Configuration -> NGIPS arayüzünden oluşturulmuş NGIPS Politikalarından birisi seçilebilir. NGIPS ile ilgili ayrıntılara [**NGIPS Rehberi**](https://docs.targitas.com/targitas-kullanim-rehberi/ngips-rehberi) üzerinden ulaşabilirsiniz. |
| `qos-profile [Profile Names]` | Quality of Service özelliği ile Firewall tarafından bu kuralın tetiklenmesiyle geçmesine izin verilen paketlerin bant genişliği ve hızları sınırlandırılabilir. Configuration -> QoS arayüzünden oluşturulmuş QoS Politikalarından birisi seçilebilir. |
| `reply-ip` | Firewall Kuralı tarafından tetiklenen paketlere yanıt verecek IP adresi belirlenebilir. |
| `route-ip` | Firewall kuralı tarafından tetiklenen paketlerin yönlendirileceği IP adresi belirlenebilir. |
| `rule-order-id [Number]` | Targitas üzerinde Firewall kuralları yukarıdan aşağıya doğru değerlendirilir. Eğer bir kuralın tetiklenmesi için gerekli parametreler sağlanırsa o kuralın sonucu gerçekleştirilir ve tetiklenen kuralın aşağısındaki kurallar değerlendirilmez. Bu yapıdan dolayı Firewall kurallarının sırası önemlidir. Burada kuralın sırası belirtilebilir. |
| `service-in [Protocol Name]` | Pat türündeki firewall kurallarında hangi servisler ile bağlantılı portlara ulaşmaya çalışan paketler için yönlendirme yapılacağı belirtilir. |
| `service-out [Protocol Name]` | Pat türündeki firewall kurallarında Forward IP adresine yönlendiren paketlerin destination port adresini belirlemek için servis belirtilebilir. |
| `set-prio [Number]` | |
| `source-ip` | Firewall'a gelen paketin IP adresidir. IP adresi, IP grubu veya netmask belirterek bir subnet belirtilebilir. |
| `source-zone` | Firewall'a gelen trafiğin hangi bölgeden geldiğini belirtir. |
| `ssl-inspection` | |
| `static-port` | |
| `tag` | Firewall kurallarının gelecekte düzenlenmesini kolaylaştırmak için kuralın kullanım amacı ve kullanıcı grubuyla ilgili bir etiket eklemeniz önerilir. |
| `type [access / binat / pat]` | Firewall kuralının türü belirtilmek zorundadır. Acccess, binat ve pat(Port Forwarding) seçenekleri mevcuttur. |
| `use-tag` | Daha önce kullanılmış bir etiket eklemeniz için kullanılabilir. |
| `vrf-table` | Network -> Virtual Router arayüzünde oluşturulan VRF'ler arasında seçim yapılabilir |
### firewall zone \[Name]
Bu CLI bölümünde web arayüzünde [**Zone**](https://docs.targitas.com/configuration/network/zone) sayfasında gerçekleştirilen konfigürasyonların karşılığı olan komutlar bulunur.
```
targitas(config-security-firewall)# zone Example
targitas(config-zone-Example)# ?
description Set description
rules Rules
zone Zone
zone-members Zone Members
targitas(config-zone-Example)# zone-members
1/1/1 Interface 1/1/1
1/1/2 Interface 1/1/2
1/1/3 Interface 1/1/3
1/1/4 Interface 1/1/4
1/1/5 Interface 1/1/5
1/1/6 Interface 1/1/6
1/2/1 Interface 1/2/1
1/2/2 Interface 1/2/2
aggr1 Interface aggr1
vlan10 Interface vlan10
vlan5 Interface vlan5
targitas(config-zone-Example)# zone-members 1/1/1
Interface 1/1/1 added
targitas(config-zone-Example)# zone-members 1/1/2
Interface 1/1/2 added
targitas(config-zone-Example)# zone-members vlan10
Interface vlan10 added
targitas(config-zone-Example)# no zone-members 1/1/1
Interface 1/1/1 removed from zone Example
targitas(config-zone-Example)# show this
zone Example
zone-members 1/1/2 vlan10
```
| `description [Text]` | Network yönetimini kolaylaştırmak için oluşturulan Zone ile ilgili görevini içeren bir açıklama yazılması önerilir. |
| ----------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `rules` | Bu komut sayesinde firewall kurallarının konfigürasyonunun gerçekleştirilebileceği targitas(config-security-rules)# prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Rules sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur.
|
| `zone [Name]` | Bu komut sayesinde belirlenen isimdeki Zone konfigürasyonunun gerçekleştirilebileceği targitas(config-zone-\[Name])# prompt bölümününe geçiş yapılır. Bu bölüm ile ayrıntılar tablonun altında bulunmaktadır.
Web arayüzünde Zone sayfasında gerçekleştirilebilen işlemlerin karşılığı CLI komutları bulunur.
|
| `zone-members [Interface]` | Interface seçenekleri arasından seçilen Zone'da yer alması istenilen Interface, member olarak tanımlanmalıdır. |
ddos policy [Name]
`ddos policy [Name]` komutuyla belirtilen isimde bir DoS Politikası oluşturabilirsiniz.\
\
DoS saldırılarının riskini azaltmak için gerekli politikalar bu prompt bölümünde gerçekleştirilebilir. Web arayüzünde bu konuyla ilgili [***Örnek DoS Politikası Oluşturma*** ](https://parta.gitbook.io/kullanim-rehberi/firewall-rehberi/oernek-dos-politikasi-olusturma)rehberinden de faydalanabilirsiniz.
```
parta_Document(config-security-firewall)# ddos policy CLI_Example
parta_Document(config-ddos-CLI_Example)# ?
attack-type Attack Type
concurrent-states Limits the number of concurrent states the rule may create.
ddos DDos Profile
description Set description
floating States can match packets on any interfaces (default - the opposite of if-bound
flush Flush overload
if-bound States are bound to an interface (the opposite of floating).
log Enable Log
max-concurrent-state Limits the number of concurrent states the rule may create.
max-pkt-rate When the specified rate is exceeded, the rule stops matching.
max-src-conn Limits the maximum number of simultaneous TCP connections
max-src-conn-rate Limit the rate of new connections over a time interval.
max-src-nodes Limits the maximum number of source addresses which can simultaneously have state table entries.
max-src-states Limits the maximum number of simultaneous state entries that a single source address can create with this rule.
no-sync Prevent state changes for states created by rule
sloppy Uses a sloppy TCP connection tracker that does not check sequence numbers at all
source-track The number of states per source IP is tracked
```
fw-flow
```
parta_Document(config-security-firewall)# fw-flow
parta_Document(config-security-firewall-flow)#
enable Enable Firewall Flow
protocol Protocol NetFlow/IPFIX
source Source IP
```
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.targitas.com/targitas-kullanim-rehberi/targitas-cli-arayuzune-giris/cli-konfigurasyon-komutlari/security/firewall.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.