fortinet.fortimanager.fmgr_pkg_firewall_policy6 模块 – 配置 IPv6 策略。

注意

此模块是 fortinet.fortimanager 集合(版本 2.8.2)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install fortinet.fortimanager

要在 playbook 中使用它,请指定:fortinet.fortimanager.fmgr_pkg_firewall_policy6

在 fortinet.fortimanager 2.0.0 中新增

概要

  • 此模块能够配置 FortiManager 设备。

  • 示例包括所有参数和值,这些参数和值在使用前需要调整为数据源。

参数

参数

注释

access_token

字符串

无需使用用户名和密码即可访问 FortiManager 的令牌。

adom

字符串 / 必需

请求 URL 中的参数 (adom)。

bypass_validation

布尔值

仅当模块模式与 FortiManager API 结构不同时才设置为 True,模块将继续执行而不验证参数。

选择

  • false ←(默认)

  • true

enable_log

布尔值

启用/禁用任务日志记录。

选择

  • false ←(默认)

  • true

forticloud_access_token

字符串

使用 forticloud API 访问令牌对 Ansible 客户端进行身份验证。

pkg

字符串 / 必需

请求 URL 中的参数 (pkg)。

pkg_firewall_policy6

字典

设置的顶级参数。

_policy_block

整数

分配的策略块。

action

字符串

策略操作

选择

  • "deny"

  • "accept"

  • "ipsec"

  • "ssl-vpn"

anti_replay

别名:anti-replay

字符串

启用/禁用反重放检查。

选择

  • "disable"

  • "enable"

app_category

别名:app-category

任意

(列表或字符串)应用程序类别 ID 列表。

app_group

别名:app-group

任意

(列表或字符串)应用程序组名称。

application

任意

(列表)应用程序 ID 列表。

application_list

别名:application-list

字符串

现有应用程序列表的名称。

auto_asic_offload

别名:auto-asic-offload

字符串

启用/禁用策略流量 ASIC 卸载。

选择

  • "disable"

  • "enable"

av_profile

别名:av-profile

字符串

现有防病毒配置文件的名称。

casi_profile

别名:casi-profile

字符串

CASI 配置文件。

cgn_log_server_grp

别名:cgn-log-server-grp

字符串

NP 日志服务器组名称

cifs_profile

别名:cifs-profile

字符串

现有 CIFS 配置文件的名称。

comments

字符串

注释。

custom_log_fields

别名:custom-log-fields

任意

(列表或字符串)将自定义日志字段附加到此策略的日志消息的日志字段索引号。

decrypted_traffic_mirror

别名:decrypted-traffic-mirror

字符串

解密流量镜像。

devices

任意

(列表或字符串)可以由策略匹配的设备或设备组的名称。

diffserv_forward

别名:diffserv-forward

字符串

启用以将数据包的 DiffServ 值更改为指定的 diffservcode-forward 值。

选择

  • "disable"

  • "enable"

diffserv_reverse

别名:diffserv-reverse

字符串

启用以更改数据包反向

选择

  • "disable"

  • "enable"

diffservcode_forward

别名:diffservcode-forward

字符串

将数据包 DiffServ 更改为此值。

diffservcode_rev

别名:diffservcode-rev

字符串

更改数据包反向

dlp_sensor

别名:dlp-sensor

字符串

现有 DLP 传感器的名称。

dnsfilter_profile

别名:dnsfilter-profile

字符串

现有 DNS 过滤器配置文件的名称。

dscp_match

别名:dscp-match

字符串

启用 DSCP 检查。

选择

  • "disable"

  • "enable"

dscp_negate

别名:dscp-negate

字符串

启用取反的 DSCP 匹配。

选择

  • "disable"

  • "enable"

dscp_value

别名:dscp-value

字符串

DSCP 值。

dsri

字符串

启用 DSRI 以忽略 HTTP 服务器响应。

选择

  • "disable"

  • "enable"

dstaddr

任意

(列表或字符串)目标地址和地址组名称。

dstaddr_negate

别名:dstaddr-negate

字符串

启用后,dstaddr 指定目标地址不能是什么。

选择

  • "disable"

  • "enable"

dstintf

任意

(列表或字符串)传出

emailfilter_profile

别名:emailfilter-profile

字符串

现有电子邮件过滤器配置文件的名称。

firewall_session_dirty

别名:firewall-session-dirty

字符串

如果此防火墙策略的配置发生更改,如何处理会话。

选择

  • "check-all"

  • "check-new"

fixedport

字符串

启用以防止源 NAT 更改会话的源端口。

选择

  • "disable"

  • "enable"

fsso_groups

别名:fsso-groups

任意

(列表或字符串)FSSO 组的名称。

global_label

别名:global-label

字符串

当 GUI 处于全局视图模式时显示的策略标签。

groups

任意

(列表或字符串)可以验证此策略的用户组的名称。

http_policy_redirect

别名: http-policy-redirect

字符串

重定向 HTTP

选择

  • "disable"

  • "enable"

icap_profile

别名: icap-profile

字符串

现有 ICAP 配置文件的名称。

入站

字符串

基于策略的 IPsec VPN

选择

  • "disable"

  • "enable"

inspection_mode

别名: inspection-mode

字符串

策略检查模式

选择

  • "proxy"

  • "flow"

ippool

字符串

启用以使用 IP 池进行源 NAT。

选择

  • "disable"

  • "enable"

ips_sensor

别名: ips-sensor

字符串

现有 IPS 检测器的名称。

label

字符串

当 GUI 处于“节视图”模式时,策略显示的标签。

logtraffic

字符串

启用或禁用日志记录。

选择

  • "disable"

  • "enable"

  • "all"

  • "utm"

logtraffic_start

别名: logtraffic-start

字符串

记录会话开始和结束时的日志。

选择

  • "disable"

  • "enable"

mms_profile

别名: mms-profile

字符串

现有 MMS 配置文件的名称。

name

字符串

策略名称。

nat

字符串

启用/禁用源 NAT。

选择

  • "disable"

  • "enable"

natinbound

字符串

基于策略的 IPsec VPN

选择

  • "disable"

  • "enable"

natoutbound

字符串

基于策略的 IPsec VPN

选择

  • "disable"

  • "enable"

np_accelation

别名: np-accelation

字符串

启用/禁用 UTM 网络处理器加速。

选择

  • "disable"

  • "enable"

np_acceleration

别名: np-acceleration

字符串

启用/禁用 UTM 网络处理器加速。

选择

  • "disable"

  • "enable"

出站

字符串

基于策略的 IPsec VPN

选择

  • "disable"

  • "enable"

per_ip_shaper

别名: per-ip-shaper

字符串

每个 IP 的流量整形器。

policy_offload

别名: policy-offload

字符串

启用/禁用将策略配置卸载到 CP 处理器。

选择

  • "disable"

  • "enable"

policyid

integer / 必选

策略 ID。

poolname

任意

(列表或字符串) IP 池名称。

profile_group

别名: profile-group

字符串

配置文件组的名称。

profile_protocol_options

别名: profile-protocol-options

字符串

现有协议选项配置文件的名称。

profile_type

别名: profile-type

字符串

确定防火墙策略是仅允许安全配置文件组还是仅允许单个配置文件。

选择

  • "single"

  • "group"

replacemsg_override_group

别名: replacemsg-override-group

字符串

覆盖此策略的默认替换消息组。

rsso

字符串

启用/禁用 RADIUS 单点登录

选择

  • "disable"

  • "enable"

schedule

字符串

计划名称。

send_deny_packet

别名: send-deny-packet

字符串

启用/禁用返回拒绝数据包。

选择

  • "disable"

  • "enable"

service

任意

(列表或字符串) 服务和服务组名称。

service_negate

别名: service-negate

字符串

启用后,服务指定该服务必须不是什么。

选择

  • "disable"

  • "enable"

session_ttl

别名: session-ttl

任意

(整数或字符串) 此策略接受的会话的会话 TTL(以秒为单位)。

spamfilter_profile

别名: spamfilter-profile

字符串

现有垃圾邮件过滤配置文件的名称。

srcaddr

任意

(列表或字符串) 源地址和地址组名称。

srcaddr_negate

别名: srcaddr-negate

字符串

启用后,srcaddr 指定源地址必须不是什么。

选择

  • "disable"

  • "enable"

srcintf

任意

(列表或字符串) 入站

ssh_filter_profile

别名: ssh-filter-profile

字符串

现有 SSH 过滤配置文件的名称。

ssh_policy_redirect

别名: ssh-policy-redirect

字符串

将 SSH 流量重定向到匹配的透明代理策略。

选择

  • "disable"

  • "enable"

ssl_mirror

别名: ssl-mirror

字符串

启用以将解密的 SSL 流量复制到 FortiGate 接口

选择

  • "disable"

  • "enable"

ssl_mirror_intf

别名: ssl-mirror-intf

任意

(列表或字符串) SSL 镜像接口名称。

ssl_ssh_profile

别名: ssl-ssh-profile

字符串

现有 SSL SSH 配置文件的名称。

status

字符串

启用或禁用此策略。

选择

  • "disable"

  • "enable"

tags

字符串

应用于此策略的对象标签的名称。

tcp_mss_receiver

别名: tcp-mss-receiver

整数

接收方 TCP 最大段大小

tcp_mss_sender

别名: tcp-mss-sender

整数

发送方 TCP 最大段大小

tcp_session_without_syn

别名: tcp-session-without-syn

字符串

启用/禁用在没有 SYN 标志的情况下创建 TCP 会话。

选择

  • "all"

  • "data-only"

  • "disable"

timeout_send_rst

别名: timeout-send-rst

字符串

启用/禁用在 TCP 会话过期时发送 RST 数据包。

选择

  • "disable"

  • "enable"

tos

字符串

ToS

tos_mask

别名: tos-mask

字符串

非零位位置用于比较,而零位位置将被忽略。

tos_negate

别名: tos-negate

字符串

启用取反的 TOS 匹配。

选择

  • "disable"

  • "enable"

traffic_shaper

别名: traffic-shaper

字符串

反向流量整形器。

traffic_shaper_reverse

别名: traffic-shaper-reverse

字符串

反向流量整形器。

url_category

别名: url-category

任意

(列表或字符串) URL 类别 ID 列表。

users

任意

(列表或字符串) 可以通过此策略进行身份验证的个人用户的名称。

utm_status

别名: utm-status

字符串

启用 AV/web/ips 防护配置文件。

选择

  • "disable"

  • "enable"

uuid

字符串

通用唯一标识符

vlan_cos_fwd

别名: vlan-cos-fwd

整数

VLAN 正向用户优先级

vlan_cos_rev

别名: vlan-cos-rev

整数

VLAN 反向用户优先级

vlan_filter

别名: vlan-filter

字符串

设置 VLAN 过滤器。

voip_profile

别名: voip-profile

字符串

现有 VoIP 配置文件的名称。

vpntunnel

字符串

基于策略的 IPsec VPN

waf_profile

别名: waf-profile

字符串

现有 Web 应用程序防火墙配置文件的名称。

webcache

字符串

启用/禁用 Web 缓存。

选择

  • "disable"

  • "enable"

webcache_https

别名: webcache-https

字符串

为 HTTPS 启用/禁用 Web 缓存。

选择

  • "disable"

  • "enable"

webfilter_profile

别名: webfilter-profile

字符串

现有 Web 过滤配置文件的名称。

webproxy_forward_server

别名: webproxy-forward-server

字符串

Web 代理转发服务器名称。

webproxy_profile

别名: webproxy-profile

字符串

Web 代理配置文件名称。

proposed_method

字符串

底层 Json RPC 请求的重写方法。

选择

  • "update"

  • "set"

  • "add"

rc_failed

list / elements=integer

将覆盖失败条件的 rc 代码列表。

rc_succeeded

list / elements=integer

将覆盖成功条件的 rc 代码列表。

state

字符串 / 必需

创建、更新或删除对象的指令。

选择

  • "present"

  • "absent"

workspace_locking_adom

字符串

在工作区模式下运行的 FortiManager 的锁定 ADOM,该值可以是全局的,也可以是包括 root 在内的其他值。

workspace_locking_timeout

整数

等待其他用户释放工作区锁定的最大时间(以秒为单位)。

默认值: 300

注释

注意

  • 从 2.4.0 版本开始,所有输入参数都使用下划线命名约定 (snake_case) 命名。请将诸如“var-name”之类的参数更改为“var_name”。旧的参数名称仍然可用,但您将收到弃用警告。您可以通过在 ansible.cfg 中设置 deprecation_warnings=False 来忽略此警告。

  • 此 FortiManager 模块支持在工作区锁定模式下运行,顶层参数 workspace_locking_adom 和 workspace_locking_timeout 有助于完成工作。

  • 要创建或更新对象,请使用 state present 指令。

  • 要删除对象,请使用 state absent 指令。

  • 通常,当返回非零 rc 时,运行一个模块可能会失败。您也可以使用参数 rc_failed 和 rc_succeeded 来覆盖失败或成功的条件。

示例

- name: Example playbook
  hosts: fortimanagers
  connection: httpapi
  vars:
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_httpapi_port: 443
  tasks:
    - name: Configure IPv6 policies.
      fortinet.fortimanager.fmgr_pkg_firewall_policy6:
        bypass_validation: false
        adom: ansible
        pkg: ansible # package name
        state: present
        pkg_firewall_policy6:
          action: accept # <value in [deny, accept, ipsec, ...]>
          comments: ansible-comment
          dstaddr: all
          dstintf: any
          name: ansible-test-policy6
          nat: disable
          policyid: 1
          schedule: always
          service: ALL
          srcaddr: all
          srcintf: any
          status: disable

- name: Gathering fortimanager facts
  hosts: fortimanagers
  gather_facts: false
  connection: httpapi
  vars:
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_httpapi_port: 443
  tasks:
    - name: Retrieve all the IPv6 policies
      fortinet.fortimanager.fmgr_fact:
        facts:
          selector: "pkg_firewall_policy6"
          params:
            adom: "ansible"
            pkg: "ansible" # package name
            policy6: "your_value"

返回值

常用的返回值记录在这里,以下是此模块特有的字段

描述

meta

字典

请求的结果。

返回: 始终

request_url

字符串

请求的完整 URL。

返回: 始终

示例: "/sys/login/user"

response_code

整数

API 请求的状态。

返回: 始终

示例: 0

response_data

列表 / 元素=字符串

API 响应。

返回: 始终

response_message

字符串

API 响应的描述性消息。

返回: 始终

示例: "OK."

system_information

字典

目标系统的信息。

返回: 始终

rc

整数

请求的状态。

返回: 始终

示例: 0

version_check_warning

列表 / 元素=字符串

如果 playbook 中使用的参数不受当前 FortiManager 版本支持,则会发出警告。

返回: 复杂

作者

  • Xinwei Du (@dux-fortinet)

  • Xing Li (@lix-fortinet)

  • Jie Xue (@JieX19)

  • Link Zheng (@chillancezen)

  • Frank Shen (@fshen01)

  • Hongbin Lu (@fgtdev-hblu)