Note

Ce plugin fait partie de la collection fortinet.fortimanager (version 2.0.1).

Pour l'installer, utilisez : ansible-galaxy collection install fortinet.fortimanager.

Pour l'utiliser dans un playbook, spécifiez : fortinet.fortimanager.fmgr_pkg_firewall_policy6.

Nouveau dans la version 2.10 : de fortinet.fortimanager

  • Synopsis
  • Paramètres
  • Notes
  • Exemples
  • Valeurs de retour

Synopsis

  • Ce module est capable de configurer un périphérique FortiManager.
  • Les exemples comprennent tous les paramètres et valeurs qui doivent être ajustés aux sources de données avant l'utilisation.

Paramètres

Paramètre Choix/par défaut Commentaires
adomchaîne de caractères / obligatoire le paramètre (adom) dans l'url demandée
bypass_validationbooléen
    Choix :

  • pas de
  • oui
uniquement défini à True lorsque le schéma du module diffère avec la structure de l'API FortiManager, le module continue à s'exécuter sans valider les paramètres.
pkgchaîne de caractères / obligatoire le paramètre (pkg) dans l'url demandée
pkg_firewall_policy6dictionnaire le jeu de paramètres de premier niveau
actionchaîne de caractères
    Choix :

  • refuser
  • accepter
  • ipsec
  • ssl-vpn
Action de la politique (autoriser/refuser/ipsec).
app-categorychaîne de caractères Liste des identifiants des catégories d'applications.
applicationnombre entier pas de description
liste d'applicationschaîne de caractères Nom d'une liste d'applications existante.
auto-asic-offloadchaîne de caractères
    Choix :

  • désactiver
  • activer
Activez/désactivez le déchargement ASIC du trafic de politique.
av-profilechaîne de caractères Nom d'un profil antivirus existant.
commentaireschaîne de caractères Commentaire.
champs de journal personnaliséschaîne de caractères Numéros d'index des champs de journal pour ajouter les champs de journal personnalisés aux messages de journal pour cette politique.
dispositifschaîne de caractères Noms des périphériques ou des groupes de périphériques qui peuvent être mis en correspondance par la politique.
diffserv-forwardchaîne de caractères
    Choix :

  • désactiver
  • activer
Activer pour changer les valeurs DiffServ des paquets à la valeur diffservcode-forward spécifiée.
diffserv-reversechaîne de caractères
    Choix :

  • désactiver
  • activer
Permet de modifier les valeurs DiffServ inversées (réponse) des paquets à la valeur diffservcode-rev spécifiée.
diffservcode-forwardchaîne de caractères Change les paquets DiffServ pour cette valeur.
diffservcode-revchaîne de caractères Change les paquets inversés (réponse) DiffServ à cette valeur.
dlp-sensorchaîne de caractères Nom d'un capteur DLP existant.
dscp-matchchaîne de caractères
    Choix :

  • désactiver
  • activer
Active la vérification DSCP.
dscp-negatechaîne de caractères
    Choix :

  • désactiver
  • activer
Active la correspondance DSCP négative.
dscp-valuechaîne de caractères Valeur DSCP.
dsrichaîne de caractères
    Choix :

  • désactiver
  • activer
Permet à DSRI d'ignorer les réponses du serveur HTTP.
dstaddrchaîne de caractères Adresse de destination et noms de groupes d'adresses.
dstaddr-negatechaîne de caractères
    Choix :

  • désactiver
  • activer
Lorsqu'il est activé, dstaddr spécifie ce que l'adresse de destination ne doit PAS être.
dstintfchaîne de caractères Interface sortante (egress).
firewall-session-dirtychaîne de caractères
    Choix :

  • check-all
  • vérifier-nouveau
Comment traiter les sessions si la configuration de cette politique de pare-feu change.
fixedportchaîne de caractères
    Choix :

  • désactiver
  • activer
Activez pour empêcher le NAT source de modifier le port source d'une session.
global-labelchaîne de caractères Étiquette de la politique qui apparaît lorsque l'interface graphique est en mode d'affichage global.
groupeschaîne de caractères Noms des groupes d'utilisateurs qui peuvent s'authentifier avec cette politique.
icap-profilechaîne de caractères Nom d'un profil ICAP existant.
entrantchaîne de caractères
    Choix :

  • désactiver
  • activer
VPN IPsec basé sur des politiques : seul le trafic provenant du réseau distant peut initier un VPN.
ippoolchaîne de caractères
    Choix :

  • désactiver
  • activer
Activez l'utilisation des pools d'IP pour le NAT source.
ips-sensorchaîne de caractères Nom d'un capteur IPS existant.
étiquettechaîne de caractères Étiquette de la politique qui apparaît lorsque l'interface graphique est en mode d'affichage de section.
logtrafficchaîne de caractères
    Choix :

  • désactiver
  • activer
  • tout
  • utm
Activez ou désactivez la journalisation. Consigner toutes les sessions ou les sessions de profil de sécurité.
logtraffic-startchaîne de caractères
    Choix :

  • désactiver
  • activer
Enregistrer les journaux lorsqu'une session commence et se termine.
mms-profilechaîne de caractères Nom d'un profil MMS existant.
nomchaîne de caractères Nom de la politique.
natchaîne de caractères
    Choix :

  • désactiver
  • activer
Activez/désactivez le NAT source.
natinboundchaîne de caractères
    Choix :

  • désactiver
  • activer
VPN IPsec basé sur des politiques : appliquer le NAT de destination au trafic entrant.
natoutboundchaîne de caractères
    Choix :

  • désactiver
  • activer
VPN IPsec basé sur des politiques : appliquer le NAT source au trafic sortant.
np-accelationchaîne de caractères
    Choix :

  • désactiver
  • activer
Activer/désactiver l'accélération du processeur réseau UTM.
sortantchaîne de caractères
    Choix :

  • désactiver
  • activer
VPN IPsec basé sur des politiques : seul le trafic du réseau interne peut initier un VPN.
per-ip-shaperchaîne de caractères Mise en forme du trafic par IP.
policyidnombre entier ID de la politique.
nom du poolchaîne de caractères Noms des pools IP.
groupe de profilschaîne de caractères Nom du groupe de profil.
profil-protocole-optionschaîne de caractères Nom d'un profil d'options de protocole existant.
profil-typechaîne de caractères
    Choix :

  • simple
  • groupe
Déterminez si la politique de pare-feu autorise les groupes de profils de sécurité ou les profils uniques uniquement.
replacemsg-override-groupchaîne de caractères Remplace le groupe de messages de remplacement par défaut pour cette politique.
rssochaîne de caractères
    Choix :

  • désactiver
  • activer
Activez/désactivez l'authentification unique RADIUS (RSSO).
programmerchaîne de caractères Nom de l'horaire.
send-deny-packetchaîne de caractères
    Choix :

  • désactiver
  • activer
Active/désactive le retour de deny-packet.
servicechaîne de caractères Noms des services et des groupes de services.
service-negatechaîne de caractères
    Choix :

  • désactiver
  • activer
Lorsque le service est activé, il spécifie ce que le service ne doit PAS être.
session-ttlnombre entier TTL de session en secondes pour les sessions acceptées par cette politique. 0 signifie utiliser le TTL de session par défaut du système.
spamfilter-profilechaîne de caractères Nom d'un profil de filtre anti-spam existant.
srcaddrchaîne de caractères Adresse source et noms des groupes d'adresses.
srcaddr-negatechaîne de caractères
    Choix :

  • désactiver
  • activer
Lorsqu'il est activé srcaddr spécifie ce que l'adresse source ne doit PAS être.
srcintfchaîne de caractères Interface entrante (ingress).
ssl-mirrorchaîne de caractères
    Choix :

  • désactiver
  • activer
Activer pour copier le trafic SSL décrypté vers une interface FortiGate (appelé miroir SSL).
ssl-mirror-intfchaîne de caractères Nom de l'interface du miroir SSL.
ssl-ssh-profilechaîne de caractères Nom d'un profil SSL SSH existant.
statuschaîne de caractères
    Choix :

  • désactiver
  • activer
Activez ou désactivez cette politique.
baliseschaîne de caractères Noms des balises d'objet appliquées à cette politique.
tcp-mss-receivernombre entier Taille maximale du segment TCP du récepteur (MSS).
tcp-mss-sendernombre entier Taille maximale du segment TCP de l'expéditeur (MSS).
tcp-session-without-synchaîne de caractères
    Choix :

  • tout
  • données seulement
  • désactiver
Active/désactive la création d'une session TCP sans drapeau SYN.
timeout-send-rstchaîne de caractères
    Choix :

  • désactiver
  • activer
Active/désactive l'envoi de paquets RST lorsque les sessions TCP expirent.
traffic-shaperchaîne de caractères Mise en forme inversée du trafic.
mise en forme du trafic inversechaîne de caractères Mise en forme inversée du trafic.
url-categorychaîne de caractères Liste des identifiants des catégories d'URL.
utilisateurschaîne de caractères Noms des utilisateurs individuels qui peuvent s'authentifier avec cette politique.
utm-statuschaîne de caractères
    Choix :

  • désactiver
  • activer
Active le profil de protection AV/web/ips.
uuidchaîne de caractères Identifiant unique universel (UUID ; attribué automatiquement mais pouvant être réinitialisé manuellement).
vlan-cos-fwdnombre entier Priorité de l'utilisateur pour le sens de transmission du VLAN : 255 passthrough, 0 plus bas, 7 plus haut.
vlan-cos-revnombre entier Priorité utilisateur du VLAN en sens inverse : 255 passthrough, 0 plus bas, 7 plus haut.
voip-profilechaîne de caractères Nom d'un profil VoIP existant.
vpntunnelchaîne de caractères VPN IPsec basé sur des politiques : nom du VPN IPsec Phase 1.
webfilter-profilechaîne de caractères Nom d'un profil de filtre Web existant.
rc_failedliste / elements=string la liste des codes rc avec lesquels les conditions d'échec seront remplacées.
rc_succèsliste / elements=string la liste des codes rc avec lesquels les conditions de réussite seront remplacées.
étatchaîne de caractères / obligatoire
    Choix :

  • présent
  • absent
la directive pour créer, mettre à jour ou supprimer un objet
espace de travail_blocage_adomchaîne de caractères l'adom à verrouiller pour FortiManager fonctionnant en mode espace de travail, la valeur peut être globale et d'autres y compris root.
workspace_locking_timeoutentier Par défaut :
300
le temps maximum en secondes pour attendre qu'un autre utilisateur libère le verrouillage de l'espace de travail.

Notes

Note

  • L'exécution en mode de verrouillage de l'espace de travail est prise en charge dans ce module FortiManager, les paramètres de haut niveau workspace_locking_adom et workspace_locking_timeout aident à faire le travail.
  • Pour créer ou mettre à jour un objet, utilisez la directive state present.
  • Pour supprimer un objet, utilisez la directive state absent.
  • Normalement, l'exécution d'un module peut échouer lorsqu'un rc non nul est renvoyé. vous pouvez également modifier les conditions d'échec ou de réussite avec les paramètres rc_failed et rc_succeeded.

Exemples

-hosts: fortimanager-inventory
  collections:- fortinet.fortimanager
  connection: httpapi
  vars:ansible_httpapi_use_ssl:Trueansible_httpapi_validate_certs:Falseansible_httpapi_port:443tasks:-name: Configure IPv6 policies.
     fmgr_pkg_firewall_policy6:bypass_validation:Falseworkspace_locking_adom: [global, custom adom including root]>workspace_locking_timeout:300rc_succeeded:[0,-2,-3,...]rc_failed:[-2,-3,...]adom: >pkg: >state: [present, absent]>pkg_firewall_policy6:action: [deny, accept, ipsec,...]>app-category: >application: >application-list: >auto-asic-offload: [disable, enable]>av-profile: >comments: >custom-log-fields: >devices: >diffserv-forward: [disable, enable]>diffserv-reverse: [disable, enable]>diffservcode-forward: >diffservcode-rev: >dlp-sensor: >dscp-match: [disable, enable]>dscp-negate: [disable, enable]>dscp-value: >dsri: [disable, enable]>dstaddr: >dstaddr-negate: [disable, enable]>dstintf: >firewall-session-dirty: [check-all, check-new]>fixedport: [disable, enable]>global-label: >groups: >icap-profile: >inbound: [disable, enable]>ippool: [disable, enable]>ips-sensor: >label: >logtraffic: [disable, enable, all,...]>logtraffic-start: [disable, enable]>mms-profile: >name: >nat: [disable, enable]>natinbound: [disable, enable]>natoutbound: [disable, enable]>np-accelation: [disable, enable]>outbound: [disable, enable]>per-ip-shaper: >policyid: >poolname: >profile-group: >profile-protocol-options: >profile-type: [single, group]>replacemsg-override-group: >rsso: [disable, enable]>schedule: >send-deny-packet: [disable, enable]>service: >service-negate: [disable, enable]>session-ttl: >spamfilter-profile: >srcaddr: >srcaddr-negate: [disable, enable]>srcintf: >ssl-mirror: [disable, enable]>ssl-mirror-intf: >ssl-ssh-profile: >status: [disable, enable]>tags: >tcp-mss-receiver: >tcp-mss-sender: >tcp-session-without-syn: [all, data-only, disable]>timeout-send-rst: [disable, enable]>traffic-shaper: >traffic-shaper-reverse: >url-category: >users: >utm-status: [disable, enable]>uuid: >vlan-cos-fwd: >vlan-cos-rev: >voip-profile: >vpntunnel: >webfilter-profile: >

Valeurs de retour

Les valeurs de retour courantes sont documentées ici, les champs suivants sont uniques à ce module :

Clé Retourné Description
request_urlchaîne de caractères toujours L'url complète demandée
Exemple :/sys/login/user
response_codenombre entier toujours Le statut de la demande api
response_messagechaîne de caractères toujours Le message descriptif de la réponse api
Exemple : OK.

Auteurs

  • Link Zheng (@chillancezen)
  • Jie Xue (@JieX19)
  • Frank Shen (@fshen01)
  • Hongbin Lu (@fgtdev-hblu)