[index] CentreCOM AR100 シリーズ コマンドリファレンス 2.3
カテゴリー:ファイアウォール / フィルタールール
対象機種:AR130、AR160
ADD FIREWALL POLICY=policy RULE=rule-id ACTION={ALLOW|DENY} INTERFACE=interface PROTOCOL={protocol|ALL|GRE|OSPF|SA|TCP|UDP} [GBLIP=ipadd] [GBLPORT={ALL|port[-port]}] [IP=ipadd[-ipadd]] [PORT={ALL|port[-port]|service-name] [REMOTEIP=ipadd[-ipadd]] [SOURCEPORT={ALL|port[-port]}]
policy: ファイアウォールポリシー名(1〜15文字。英数字とアンダースコア(_)を使用可能)
rule-id: ルール番号(1〜299)
interface: IPインターフェース名(eth0、ppp0など)
protocol: IPプロトコル番号(0〜255)
ipadd: IPアドレス
port: TCP/UDPポート番号(0〜65535)
service-name: サービス名
ファイアウォールポリシーに独自ルールを追加する。
始点・終点IPアドレスやポート番号、プロトコルにもとづき、PRIVATE・PUBLICインターフェース間のトラフィック制御(許可・拒否)が可能。ルールは番号の若い順に検索され、最初にマッチしたものが適用される。
なお、インターフェースNAT(ADD FIREWALL POLICY NATコマンド)でダイナミックENATの設定をしている場合は、本コマンドでスタティックENAT(ポート/プロトコル転送)の設定を追加することができる。また、インターフェースNATでスタティックNAT(一対一NAT)の設定をしている場合は、本コマンドでスタティックNAT対象アドレス宛パケットを通過させるよう設定しなくてはならない。
| パラメーター |
POLICY: ファイアウォールポリシー名
RULE: ルール番号
ACTION: アクション。ALLOW(通過)、DENY(破棄)から選択する。
INTERFACE: ルールを適用するIPインターフェース名
PROTOCOL: IPプロトコル。定義済みのプロトコル名かプロトコル番号で指定。TCP、UDPを指定したときは、PORTパラメーターも必須
GBLIP: NAT使用時のグローバル側IPアドレス。変換前のプライベートIPアドレスはIPパラメーターで指定する。
GBLPORT: ENAT使用時のグローバル側ポート番号またはサービス名。ハイフン区切りで範囲指定も可能。プライベート側でのポート番号はPORTパラメーターで指定する。
IP: IPアドレス。ハイフン区切りで範囲指定も可能。NAT使用時は、IPパラメーターでプライベート側IPアドレスを指定し、GBLIPパラメーターで変換後のグローバルIPアドレスを指定する。
PORT: 終点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。ALLはすべてのポートにマッチする。また、ENAT使用時は、プライベート側でのポート番号を指定する。グローバル側でのポート番号はGBLPORTパラメーターで指定する。
REMOTEIP: リモート側IPアドレス。PUBLICからPRIVATEへのフローでは始点アドレス、PRIVATEからPUBLICへのフローでは終点アドレスとなる。0.0.0.0は指定できない。
SOURCEPORT: 始点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。
| ECHO | 7 |
| DISCARD | 9 |
| FTP | 21 |
| TELNET | 23 |
| SMTP | 25 |
| TIME | 37 |
| DNS | 53 |
| BOOTPS | 67 |
| BOOTPC | 68 |
| TFTP | 69 |
| GOPHER | 70 |
| FINGER | 79 |
| WWW | 80 |
| HTTP | 80 |
| KERBEROS | 88 |
| RTELNET | 107 |
| POP2 | 109 |
| POP3 | 110 |
| SNMPTRAP | 162 |
| SNMP | 161 |
| BGP | 179 |
| RIP | 520 |
| L2TP | 1701 |
| VDOLIVE | 7000 |
| REALAUDIO | 7070 |
| REALVIDEO | 7070 |
| 例 |
■ LAN(eth0)側からのMS-Networksパケット(終点ポート137〜139)を遮断する。
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=eth0 PROT=UDP PORT=137-139■ 終点アドレスが200.100.10.10のものに限り、ppp0側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=eth0 PROT=TCP PORT=137-139
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL IP=200.100.10.10■ 終点アドレスが200.100.10.5で終点ポートがTCP 80番のものに限り、ppp0側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP IP=200.100.10.5 PORT=80
| 関連コマンド |
CREATE FIREWALL POLICY
DELETE FIREWALL POLICY RULE
SET FIREWALL POLICY RULE
SHOW FIREWALL POLICY
Copyright (C) 2001-2003 アライドテレシス株式会社
PN: J613-M2973-02 Rev.D