cisco.meraki.meraki_mx_l3_firewall 模块 – 在 Meraki 云中管理 MX 设备第 3 层防火墙

注意

此模块是 cisco.meraki 集合 (版本 2.18.3) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用： ansible-galaxy collection install cisco.meraki。

要在 playbook 中使用它，请指定： cisco.meraki.meraki_mx_l3_firewall。

已弃用

在以下版本中移除：

版本 3.0.0

原因：

发布了具有增强功能的更新模块

替代方案：

cisco.meraki.networks_appliance_firewall_l3_firewall_rules

概要

• 允许创建、管理和查看在 Meraki MX 防火墙上实施的第 3 层防火墙。

参数

参数	注释
auth_key 字符串 / 必需	仪表板提供的身份验证密钥。如果未设置环境变量 MERAKI_KEY，则需要此密钥。
host 字符串	Meraki 仪表板的主机名。 可用于访问区域性 Meraki 环境，例如中国。 默认值： "api.meraki.com"
internal_error_retry_time 整数	如果服务器返回内部服务器错误，则重试的秒数。 默认值： 60
net_id 字符串	包含 MX 防火墙的网络的 ID。
net_name 字符串	包含 MX 防火墙的网络的名称。
org_id 字符串	组织的 ID。
org_name 别名：organization 字符串	组织的名称。
output_format 字符串	指示模块响应键应为蛇形命名法（例如 net_id）还是驼峰命名法（例如 netId）。 选项 "snakecase" ← (默认) "camelcase"
output_level 字符串	设置模块执行期间调试输出的数量。 选项 "debug" "normal" ← (默认)
rate_limit_retry_time 整数	如果触发速率限制器，则重试的秒数。 默认值： 165
rules 列表 / 元素=字典	防火墙规则列表。
comment 字符串	描述防火墙规则的可选注释。
dest_cidr 字符串	目标网络的 CIDR 表示法逗号分隔列表。 Any 必须大写。
dest_port 字符串	要匹配的目标端口号的逗号分隔列表。 Any 必须大写。
policy 字符串	如果命中规则，则应用的策略。 选项 "allow" "deny"
protocol 字符串	要匹配的协议。 选项 "any" "icmp" "tcp" "udp"
src_cidr 字符串	源网络的 CIDR 表示法逗号分隔列表。 Any 必须大写。
src_port 字符串	要匹配的源端口号的逗号分隔列表。 Any 必须大写。
syslog_enabled 布尔值	是否记录针对防火墙规则的提示。 仅当针对网络指定了 syslog 服务器时才适用。 选项 false ← (默认) true
state 字符串	创建或修改组织。 选项 "present" ← (默认) "query"
syslog_default_rule 布尔值	是否记录针对默认防火墙规则的命中。 仅当针对网络指定了 syslog 服务器时才适用。 这在 Meraki 的响应中没有显示。相反，请参考默认规则中的 syslog_enabled 值。 选项 false true
timeout 整数	HTTP 请求的超时时间。 默认值： 30
use_https 布尔值	如果为 no，则将使用 HTTP。否则，将使用 HTTPS。 仅对 Meraki 内部开发人员有用。 选项 false true ← (默认)
use_proxy 布尔值	如果为 no，则即使在目标主机上定义了环境变量中的代理，也不会使用代理。 选项 false ← (默认) true
validate_certs 布尔值	是否验证 HTTP 证书。 选项 false true ← (默认)

备注

注意

• 模块假定将完整的防火墙规则列表作为参数传递。

• 如果您对允许此模块操作单个防火墙规则感兴趣，请针对此模块提交问题。

• 有关 Meraki API 的更多信息，请访问 https://dashboard.meraki.com/api_docs。

• 某些选项可能仅供 Meraki 内部开发人员使用。

• 从 Ansible 2.9 版本开始，Meraki 模块的输出键采用蛇形命名法 (snake case)。如果要使用驼峰命名法 (camel case)，请将ANSIBLE_MERAKI_FORMAT环境变量设置为camelcase。

• Ansible 的 Meraki 模块将在 Ansible 2.13 中停止支持驼峰命名法 (camel case) 输出。请更新您的 playbook。

• 检查模式 (Check Mode) 会从仪表板下载当前配置，然后将更改与下载的配置进行比较。如果配置存在差异，检查模式将报告已更改，但不会将更改提交到 API 以进行更改验证。

示例

- name: Query firewall rules
  meraki_mx_l3_firewall:
    auth_key: abc123
    org_name: YourOrg
    net_name: YourNet
    state: query
  delegate_to: localhost

- name: Set two firewall rules
  meraki_mx_l3_firewall:
    auth_key: abc123
    org_name: YourOrg
    net_name: YourNet
    state: present
    rules:
      - comment: Block traffic to server
        src_cidr: 192.0.1.0/24
        src_port: any
        dest_cidr: 192.0.2.2/32
        dest_port: any
        protocol: any
        policy: deny
      - comment: Allow traffic to group of servers
        src_cidr: 192.0.1.0/24
        src_port: any
        dest_cidr: 192.0.2.0/24
        dest_port: any
        protocol: any
        policy: allow
  delegate_to: localhost

- name: Set one firewall rule and enable logging of the default rule
  meraki_mx_l3_firewall:
    auth_key: abc123
    org_name: YourOrg
    net_name: YourNet
    state: present
    rules:
      - comment: Block traffic to server
        src_cidr: 192.0.1.0/24
        src_port: any
        dest_cidr: 192.0.2.2/32
        dest_port: any
        protocol: any
        policy: deny
    syslog_default_rule: yes
  delegate_to: localhost

返回值

常见的返回值已在此处记录，以下是此模块特有的字段

键	描述
数据 复杂	与网络关联的防火墙规则。 返回：成功
rules 复杂	防火墙规则列表。 返回：成功
comment 字符串	描述防火墙规则的注释。 返回：始终 示例："阻止 到 服务器的 流量"
dest_cidr 字符串	目标网络的 CIDR 表示法逗号分隔列表。 返回：始终 示例："192.0.1.1/32,192.0.1.2/32"
dest_port 字符串	目标端口的逗号分隔列表。 返回：始终 示例："80,443"
policy 字符串	匹配规则时要采取的操作。 返回：始终
protocol 字符串	要匹配的网络协议。 返回：始终 示例："tcp"
src_cidr 字符串	源网络的 CIDR 表示法逗号分隔列表。 返回：始终 示例："192.0.1.1/32,192.0.1.2/32"
src_port 字符串	源端口的逗号分隔列表。 返回：始终 示例："80,443"
syslog_enabled 布尔值	匹配规则时是否记录到 syslog。 返回：始终 示例：true

状态

• 此模块将在 3.0.0 版本中移除。[已弃用]

• 更多信息请参见 已弃用。

作者

• Kevin Breit (@kbreit)

资源链接

• 问题跟踪器
• 代码仓库