[index] AT-AR1050V コマンドリファレンス 5.5.4
始点IP/IPv6アドレス | 送信元エンティティー | エンティティー定義 |
終点IP/IPv6アドレス | 宛先エンティティー | |
IPプロトコル番号 | ||
始点TCP/UDPポート番号 | ||
終点TCP/UDPポート番号 | ||
ICMPタイプ/コード |
awplus# show application ↓ aim cvs dns ftp http https icq ident imap imaps irc jabber l2tp ldap lisa msn mysql news nfs-tcp nfs-udp ntp openvpn pcanywhere-tcp pcanywhere -udp ping pop3 pop3s pptp rdp rsync samba-tcp samba-udp smtp socks ssh syslog telnet traceroute vnc whois
Note同じ名前のアプリケーション定義が存在する場合の優先度は、カスタムアプリケーション > 事前定義済みアプリケーションの順になります。すなわち、事前定義済みアプリケーションと同じ名前のカスタムアプリケーション定義を作成した場合、事前定義済みアプリケーションは使われなくなります。
Note事前定義済みアプリケーションは前述の通り上書き可能ですが、事前定義済みアプリケーションそのものを削除することはできません。
awplus# show application detail ↓ Name Protocol Detail -------------------------------------------------------------------------- aim TCP sport=1024-65535 dport=9898 cvs TCP sport=1024-65535 dport=2401 dns UDP sport=1024-65535 dport=53 ftp TCP sport=1024-65535 dport=21 http TCP sport=1024-65535 dport=80 https TCP sport=1024-65535 dport=443 icq TCP sport=1024-65535 dport=5190 ident TCP sport=1024-65535 dport=113 imap TCP sport=1024-65535 dport=143 imaps TCP sport=1024-65535 dport=993 irc TCP sport=1024-65535 dport=6667 jabber TCP sport=1024-65535 dport=5222-5223 l2tp UDP sport=1701 dport=1701 ldap TCP sport=1024-65535 dport=389 lisa TCP sport=1024-65535 dport=7741 msn TCP sport=1024-65535 dport=1863 mysql TCP sport=1024-65535 dport=3306 news TCP sport=1024-65535 dport=119 nfs-tcp TCP sport=1024-65535 dport=2049 nfs-udp UDP sport=1024-65535 dport=2049 ntp UDP sport=123,1024-65535 dport=123 openvpn UDP sport=1024-65535 dport=1194 pcanywhere-tcp TCP sport=1024-65535 dport=5631 pcanywhere-udp UDP sport=1024-65535 dport=5631-5632 ping ICMP type=8 code=0 pop3 TCP sport=1024-65535 dport=110 pop3s TCP sport=1024-65535 dport=995 pptp TCP sport=1024-65535 dport=1723 rdp TCP sport=1024-65535 dport=3389 rsync TCP sport=1024-65535 dport=873 samba-tcp TCP sport=1024-65535 dport=139,445 samba-udp UDP sport=137-138,1024-65535 dport=137-138 smtp TCP sport=1024-65535 dport=25 socks TCP sport=1024-65535 dport=1080 ssh TCP sport=1024-65535 dport=22 syslog UDP sport=1024-65535 dport=514 telnet TCP sport=1024-65535 dport=23 traceroute UDP sport=1024-65535 dport=33434-33523 vnc TCP sport=1024-65535 dport=5900 whois TCP sport=1024-65535 dport=43
Noteアプリケーション定義では必ずIPプロトコル(protocol)を指定してください。ルール作成時にIPプロトコル未指定のアプリケーション定義を指定した場合、該当ルールは有効にならず無視されますのでご注意ください。なお、ルール作成時にアプリケーション定義名の代わりにキーワード「any」を指定すれば、「すべてのアプリケーション(すべての通信)」を対象とするルールを作成可能です。
Noteルール作成コマンドにおいて、「any」は「すべてのアプリケーション(すべての通信)」を意味するキーワードとして内部的に予約されているため、カスタムアプリケーション定義名として「any」は使用しないでください。キーワードは大文字小文字を区別しないため、「any」、「Any」、「ANY」なども同様です。
Noteアプリケーション名は大文字小文字を区別しません。
awplus(config)# application mydb ↓ awplus(config-application)# protocol tcp ↓ awplus(config-application)# sport 1024 to 65535 ↓ awplus(config-application)# dport 8704 ↓ awplus(config-application)# exit ↓
awplus(config)# application mydb ↓ awplus(config-application)# protocol udp ↓ awplus(config-application)# sport 1024 to max ↓ awplus(config-application)# dport 50000 to 50099 ↓ awplus(config-application)# dport 51024 ↓ awplus(config-application)# exit ↓
awplus(config)# application isakmp ↓ awplus(config-application)# protocol udp ↓ awplus(config-application)# sport 500 ↓ awplus(config-application)# dport 500 ↓ awplus(config-application)# exit ↓
awplus(config)# application esp ↓ awplus(config-application)# protocol 50 ↓ awplus(config-application)# exit ↓
awplus(config)# application path-mtu-ipv4 ↓ awplus(config-application)# protocol icmp ↓ awplus(config-application)# icmp-type 3 ↓ awplus(config-application)# icmp-code 4 ↓ awplus(config-application)# exit ↓
awplus(config)# application path-mtu-ipv6 ↓ awplus(config-application)# protocol ipv6-icmp ↓ awplus(config-application)# icmp-type 2 ↓ awplus(config-application)# icmp-code 0 ↓ awplus(config-application)# exit ↓
awplus# show application detail custom ↓ Name Protocol Detail -------------------------------------------------------------------------- esp 50 - isakmp UDP sport=500 dport=500 mydb TCP sport=1024-65535 dport=8704 mystream UDP sport=1024-65535 dport=50000-50099,51024 path-mtu-ipv4 ICMP type=3 code=4 path-mtu-ipv6 IPv6-ICMP type=2 code=0
Note同じ名前のアプリケーション定義が存在する場合の優先度は、カスタムアプリケーション > 事前定義済みアプリケーションの順になります。すなわち、事前定義済みアプリケーションと同じ名前のカスタムアプリケーション定義を作成した場合、事前定義済みアプリケーションは使われなくなります。
Noteアプリケーション定義名は大文字小文字を区別しませんが、エンティティー定義名(ゾーン、ネットワーク、ホスト定義名)は大文字小文字を区別しますのでご注意ください。
awplus(config)# firewall ↓ awplus(config-firewall)# rule permit any from private to public ↓ awplus(config-firewall)# rule permit mydb from private to private.wired.dbserver ↓ awplus(config-firewall)# rule permit ssh from private.wired.adminpc to dmz.servernet ↓ awplus(config-firewall)# rule permit http from public to dmz.servernet.web log ↓ awplus(config-firewall)# rule permit isakmp from public.internet.vpngw to public.internet.myself ↓ awplus(config-firewall)# rule permit esp from public.internet.vpngw to public.internet.myself ↓
awplus(config)# nat ↓ awplus(config-nat)# rule masq any from private to public ↓ awplus(config-nat)# rule portfwd http from public with dst dmz.servernet.web ↓NATの詳細については、「UTM」/「NAT」をご覧ください。
(C) 2019 - 2024 アライドテレシスホールディングス株式会社
PN: 613-002735 Rev.AD