[index] CentreCOM AR410 V2 コマンドリファレンス 2.6
- IPフィルターとの比較 - 基本設定 - インターフェースと基本ルール - ICMPパケットの扱い - 本体インターフェース宛ての通信 - ルールの追加 - トラフィックを制限する - アクセスを許可する - インターフェースNAT - スタティックNAT - ダイナミックNAT - ダイナミックENAT - スタティックENAT - ルールNAT - スタンダードNAT - エンハンストNAT - リバースNAT - ダブルNAT - ルールNATのまとめ - アクセスリストによるルール - RADIUSサーバーを利用したルール - ルールの時間制限 - ルールの確認・修正・削除 - ルールの処理順序 - ファイアウォールの動作監視 - ログ - イベント通知 - トリガー - アカウンティング - デバッグオプション - セッションの確認 - ダイナミックインターフェース - テンプレートの作成 - テンプレートの使用 - その他設定
本製品には、IPトラフィックフローの開始・終了を認識し、これに応じて動的なパケットフィルタリングを行うステートフルインスペクション型のファイアウォールが搭載されています。ここでは、ファイアウォールの基本的な設定方法について説明します。
なお、オプションのフィーチャーライセンスにより、アプリケーションゲートウェイ型ファイアウォールの機能(SMTPおよびHTTPプロキシー)も使用できます。こちらについては、「ファイアウォール」/「アプリケーションゲートウェイ」をご覧ください。
IPフィルターとの比較 |
基本設定 |
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=mynet ↓
ADD FIREWALL POLICY=mynet INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=mynet INT=ppp0 TYPE=PUBLIC ↓
ENABLE FIREWALL POLICY=mynet ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=mynet IDENTPROXY ↓
ENABLE FIREWALL POLICY=mynet LOG=DENY ↓
ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
インターフェースと基本ルール |
Note - 「その他」インターフェースに独自ルールを設定することはできません。
Note - ICMPの転送をオンにしても、PRIVATE・その他間では転送されません(PRIVATE・その他間では、ICMPも含め、いっさい通信ができません)。
Note - ICMPは双方向とも通すか、まったく通さないかの設定しかできません。ファイアウォールの独自ルールでもICMPパケットの通過・拒否は制御できませんので、片側からのみ通すような設定をしたい場合はIPフィルターを併用してください。
Note - 「その他」インターフェース配下から本体に対してTelnetが可能な点にご注意ください。
ルールの追加 |
Note - ルールを追加するときは、RULEパラメーターで指定するルール番号が重ならないようにしてください。また、ルールのチェックは番号の小さい順に行われ、最初にマッチしたものが適用されるため、ルールの順序にも留意してください。
Note - ファイアウォールルールの設定ではコマンドラインが長くなりがちなので、適宜省略形を用いるようにしてください。以下の例でも省略形を使っています。
トラフィックを制限する |
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=TCP PORT=135 ↓
ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=vlan1 PROT=UDP PORT=135 ↓
ADD FIREWALL POLICY=mynet RULE=3 AC=DENY INT=vlan1 PROT=TCP PORT=137-139 ↓
ADD FIREWALL POLICY=mynet RULE=4 AC=DENY INT=vlan1 PROT=UDP PORT=137-139 ↓
ADD FIREWALL POLICY=mynet RULE=5 AC=DENY INT=vlan1 PROT=TCP PORT=445 ↓
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=ALL REMOTEIP=12.34.56.0-12.34.56.255 ↓
Note - デフォルトではICMPはファイアウォールを通過しません。ICMPの転送を有効にするには、ENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGオプションを使う必要があります。
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=ALL IP=192.168.10.3 ↓
ACTION | 内部から外部への転送を拒否するためDENYを指定します |
INTERFACE | 内部(PRIVATE)インターフェースを指定します |
PROTOCOL | 対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です |
REMOTEIP | 終点IPアドレス。パケットの宛先となる外部ホストのIPアドレスです(範囲指定可)。省略時はすべての終点IPアドレスが対象となります |
PORT | 終点ポート番号。パケットの宛先となる外部ホストのポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合にのみ必要です |
IP | 始点IPアドレス。パケットの送信元となる内部ホストのIPアドレスです(範囲指定可)。省略時はすべての始点IPアドレスが対象となります |
SOURCEPORT | 始点ポート番号。パケットの送信元となる内部ホストのポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります |
アクセスを許可する |
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL IP=4.4.4.2 ↓
Note - PROTOCOL=ALLはすべてのIPプロトコルの意味ですが、ICMPは含まれません。ICMPについては「PROTOCOL=ALL」を指定していたとしても、別途ICMPの転送を有効にしておかないとファイアウォールを通過できません。ICMPの転送を有効にするには、ENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGオプションを使う必要があります。
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP IP=4.4.4.2 PORT=80 ↓
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL REMOTEIP=12.34.56.78 ↓
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL GBLIP=4.4.4.2 IP=192.168.1.2 ↓
Note - この設定が機能するためには、あらかじめスタティックNATの設定が必要です。この例では、次のような設定になります。また、下記のスタティックNATの設定だけでは、グローバル側からのパケットがファイアウォールの基本ルールで遮断されるため、前述のような許可ルールも必須です。スタティックNATの設定詳細については、「スタティックNAT」をご覧ください。
ADD FIREWALL POLICY=mynet NAT=STANDARD INT=vlan1 IP=192.168.1.2 GBLINT=ppp0 GBLIP=4.4.4.2 ↓
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=4.4.4.2 GBLPORT=80 IP=192.168.1.2 PORT=80 ↓
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLIP=4.4.4.1 GBLPORT=500 IP=4.4.4.1 PORT=500 ↓
ACTION | 外部から内部への転送を許可するためALLOWを指定します |
INTERFACE | 外部(PUBLIC)インターフェースを指定します |
PROTOCOL | 対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です |
IP | 終点IPアドレス。パケットの宛先となる内部ホストのIPアドレスです(範囲指定可)。省略時はすべての終点IPアドレスが対象となります |
PORT | 終点ポート番号。パケットの宛先となる内部ホストのポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合にのみ必要です |
REMOTEIP | 始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです(範囲指定可)。省略時はすべての始点IPアドレスが対象となります |
SOURCEPORT | 始点ポート番号。パケットの送信元となる外部ホストのポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります |
ACTION | 外部から内部への転送を許可するためALLOWを指定します |
INTERFACE | 外部(PUBLIC)インターフェースを指定します |
PROTOCOL | 対象となるプロトコルを指定します。TCP、UDPを指定した場合はGBLPORT、PORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です |
IP | 転送後の終点IPアドレス。パケットの最終的な宛先となるプライベートアドレスで、内部ホストに実際に割り当てられているアドレスを示します。GBLIPで指定したグローバルアドレス(外から見た終点IPアドレス)に対応するアドレスを指定してください |
PORT | 転送後の終点ポート番号。パケットの最終的な宛先となるポート番号で、内部ホストの実際のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。GBLPORTで指定したグローバル側ポート番号(外から見た終点ポート)に対応するポート番号を指定してください |
GBLIP | 転送前の終点グローバルIPアドレス。外部から見た場合の終点IPアドレスです。NAT変換後のプライベートアドレス(最終的な宛先アドレス)はIPパラメーターで指定します |
GBLPORT | 転送前の終点グローバルポート番号。外部から見た場合の終点ポート番号です。NAT変換後のプライベートポート番号(最終的な宛先ポート)はPORTパラメーターで指定します |
REMOTEIP | 始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです(範囲指定可)。省略時はすべての始点IPアドレスが対象となります |
SOURCEPORT | 始点ポート番号。パケットの送信元となる外部ホストのポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります |
インターフェースNAT |
Note - インターフェースNATとルールNATの両方を設定した場合、ルールNATのほうが優先的に適用されます。設定の見通しをよくするためにも、通常はどちらか一方のみをご使用ください。
ADD FIREWALL POLICY=net NAT=STANDARD INT=内IF GBLINT=外IF IP=内IP GBLIP=外IP ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=外IF PROTOCOL=プロトコル IP=内IP GBLIP=外IP ↓
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan1 IP=192.168.10.5 GBLINT=ppp0 GBLIP=1.1.1.5 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=ALL GBLIP=1.1.1.5 IP=192.168.10.5 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.1.1.5 GBLPO=HTTP IP=192.168.10.5 PO=HTTP ↓
Note - これらのルールを設定しないと、ファイアウォールの基本ルールにより、1.1.1.5宛てのパケットがppp0インターフェースで破棄されてしまいます。
ADD IP INT=eth0-1 IP=1.1.1.5 MASK=255.255.255.255 ↓
ADD FIREWALL POLICY=net INT=eth0-1 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan1 IP=192.168.10.5 GBLINT=eth0-1 GBLIP=1.1.1.5 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=eth0-1 PROT=ALL GBLIP=1.1.1.5 IP=192.168.10.5 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=eth0-1 PROT=TCP GBLIP=1.1.1.5 GBLPO=HTTP IP=192.168.10.5 PO=HTTP ↓
Note - これらのルールを設定しないと、ファイアウォールの基本ルールにより、1.1.1.5宛てのパケットがeth0-1インターフェースで破棄されてしまいます。
ADD IP FILTER=100 SOURCE=192.168.10.5 SMASK=255.255.255.255 POLICY=1 ↓
SET IP INT=vlan1 POLICYFILTER=100 ↓
ADD IP ROUTE=0.0.0.0 INT=eth0-1 NEXTHOP=1.1.1.6 POLICY=1 ↓
Note - ポリシーフィルターの設定を行わないと、サーバー側から通信を開始したときにパケットがeth0-1に転送されず、手順3のスタティックNATルールが適用されない可能性があります。たとえば、eth0-0にクライアント用のダイナミックENAT設定が施されている場合、サーバーからのパケットがeth0-0に転送されると、サーバーからのパケットもダイナミックENAT用アドレスに変換されてしまいます。これは、インターフェースNATのアドレス変換が、INTからGBLINTにパケットが転送されたときに行われるためです。なお、WAN側からサーバーに対して通信を開始した場合は、スタティックNATルールのとおりに変換されます。また、サーバー側からの通信にスタティックNATが適用されなくても問題ないときは、ポリシーフィルターの設定は不要です。
Note - ダイナミックNATは、他のNATに比べてメリットが少ないためあまり使われません。
ADD FIREWALL POLICY=net NAT=STANDARD INT=内IF GBLINT=外IF GBLIP=外IP範囲
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan1 GBLINT=eth0 GBLIP=1.1.1.2-1.1.1.4 ↓
ADD IP ROUTE=1.1.1.2 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓
ADD IP ROUTE=1.1.1.3 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓
ADD IP ROUTE=1.1.1.4 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓
Note - この方法(「外IP」へのスタティック経路を登録する方法)は、グローバル側からの通信開始を前提とするスタティックNATのときには使えません。スタティックNATのときは、前節のとおりマルチホーミングとポリシーフィルターを併用してください。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=内IF GBLINT=外IF [GBLIP=外IP]
ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan1-1 GBLINT=ppp0 GBLIP=1.2.3.6 ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=内IF GBLINT=外IF ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=外IF PROT=プロトコル GBLIP=外IP GBLPORT=外ポート IP=内IP PORT=内ポート ↓
Note - スタティックENATの設定はADD FIREWALL POLICY RULEコマンドで行います。
Note - スタティックENAT単独では使用できません。必ずダイナミックENATと組み合わせて設定してください。
ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=80 IP=192.168.10.2 PORT=80 ↓
Note - グローバルIPアドレスが動的に割り当てられる場合は、GBLIPに0.0.0.0を指定します。
ADD FIRE POLI=mynet RU=2 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=25 IP=192.168.10.3 PORT=25 ↓
ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=80 IP=192.168.10.5 PORT=80 ↓
ADD FIRE POLI=mynet RU=2 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=8080 IP=192.168.10.10 PORT=80 ↓
http://1.2.3.4:8080/ ... (実際は192.168.10.10のWebサーバーにアクセスすることになる)
http://1.2.3.4/ ... (実際は192.168.10.5のWebサーバーにアクセスすることになる)
ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROTO=41 REMOTEIP=12.34.56.78 GBLIP=1.2.3.4 IP=192.168.10.2 ↓
ACTION | 外部から内部への転送を許可するので常にALLOWとなります |
INTERFACE | 外部(PUBLIC)インターフェースを指定します |
PROTOCOL | 転送するプロトコルを指定します。通常はTCPかUDPです。その場合、GBLPORTとPORTの指定も必要です。また、プロトコル番号による指定も可能です。ただし、スタティックENATでは外部から内部にICMPを転送することはできません |
GBLIP | 転送前の終点IPアドレス。外部インターフェースに割り当てられたグローバルIPアドレスを指定します。IPCP(PPP)やDHCPなどで動的にアドレスを取得している場合は0.0.0.0を指定します |
GBLPORT | 転送前の終点ポート番号。PROTOCOLにTCPかUDPを指定した場合にのみ必要です |
IP | 転送後の終点IPアドレス。転送先ホストのプライベートIPアドレスです |
PORT | 転送後の終点ポート番号。転送先のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です |
REMOTEIP | 始点IPアドレス。外部の送信者のIPアドレスです(範囲指定可)。省略時はすべての始点IPアドレスが対象になります |
SOURCEPORT | 始点ポート番号。外部の送信者のポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります |
ルールNAT |
Note - ルールNATは、ADD FIREWALL POLICY NATコマンドで設定するインターフェースNATよりも優先的に適用されます。
Note - ルールのアクションにNAT、NONATを指定することは、ALLOW同様パケットを許可することになるので注意してください。
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=STANDARD INT=ppp0 PROT=ALL GBLIP=1.1.1.100 IP=192.168.10.100 ↓
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=STANDARD INT=ppp0 PROT=TCP GBLIP=1.1.1.100 GBLPO=23 IP=192.168.10.100 PO=23 ↓
ADD IP ROUTE=1.1.1.100 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓
ADD FIREWALL POLICY=net RULE=2 AC=NAT NATTYPE=STANDARD INT=vlan1 PROT=ALL IP=192.168.10.100 GBLIP=1.1.1.100 ↓
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=STANDARD INT=vlan1 PROT=ALL IP=192.168.10.16 GBLIP=1.1.1.16 NATMASK=255.255.255.240 ↓
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=ENHANCED INT=vlan1 PROT=ALL GBLIP=1.1.1.10 ↓
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=ENHANCED INT=ppp0 PROT=ALL REMOTEIP=192.168.10.200 ↓
ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=REVERSE INT=vlan1 REMOTEIP=1.1.1.126 GBLREMOTEIP=1.1.1.10 PROT=ALL ↓
ADD FIRE POLI=net RU=1 AC=NAT NATT=DOUBLE INT=vlan1 IP=192.168.10.100 GBLIP=1.1.1.100 PROT=ALL GBLREM=1.1.1.10 ↓
スタンダード | 内 → 外(PRIVATE) | IP → [REMOTEIP] | GBLIP → [REMOTEIP] | 始点アドレスをIPからGBLIPに変換 |
内 ← 外(PUBLIC) | IP ← [REMOTEIP] | GBLIP ← [REMOTEIP] | 終点アドレスをGBLIPからIPに変換 | |
エンハンスト | 内 → 外(PRIVATE) | [IP] → [REMOTEIP] | GBLIP → [REMOTEIP] | 始点アドレスをIPからGBLIPに変換(ポートも変換) |
内 ← 外(PUBLIC) | [IP] ← REMOTEIP | [IP] ← [GBLREMOTEIP] | 始点アドレスをGBLREMOTEIPからREMOTEIPに変換(ポートも変換) | |
リバース | 内 → 外(PRIVATE) | [IP] → [REMOTEIP] | [IP] → GBLREMOTEIP | 終点アドレスをREMOTEIPからGBLREMOTEIPに変換 |
内 ← 外(PUBLIC) | [IP] ← REMOTEIP | [IP] ← [GBLREMOTEIP] | 始点アドレスをGBLREMOTEIPからREMOTEIPに変換 | |
ダブル | 内 → 外(PRIVATE) | IP → REMOTEIP | GBLIP → GBLREMOTEIP | 始点アドレスをIPからGBLIPに、終点アドレスをREMOTEIPからGBLREMOTEIPに変換 |
内 ← 外(PUBLIC) | IP ← REMOTEIP | GBLIP ← GBLREMOTEIP | 始点アドレスをGBLREMOTEIPからREMOTEIPに、終点アドレスをGBLIPからIPに変換 |
アクセスリストによるルール |
# Access-list "denylist.txt" # HOST or NETWORK NICKNAME 10.20.30.40 22.33.44.55 henna-server 123.45.67.0 - 123.45.67.255 henna-network # comment |
ADD FIREWALL POLICY=mynet LIST=denyto FILE=denylist.txt TYPE=IP ↓
ADD FIREWALL POLICY=mynet RULE=1 ACTION=DENY INT=vlan1 PROTO=ALL LIST=denyto ↓
ADD FIREWALL POLICY=mynet RULE=1 ACTION=DENY INT=vlan1 PROTO=ALL REMOTEIP=10.20.30.40 ↓
ADD FIREWALL POLICY=mynet RULE=2 ACTION=DENY INT=vlan1 PROTO=ALL REMOTEIP=22.33.44.55 ↓
ADD FIREWALL POLICY=mynet RULE=3 ACTION=DENY INT=vlan1 PROTO=ALL REMOTEIP=123.45.67.0-123.45.67.255 ↓
RADIUSサーバーを利用したルール |
# client secret 192.168.10.1 himitsu |
User-Name [ipadd], User-Password allowdeny ↓
User-Name | [ipadd] |
User-Password | allowdeny |
Framed-IP-Address | 拒否なら0.0.0.0、許可ならipadd |
[49.49.49.49] Password = "allowdeny" Framed-IP-Address = 0.0.0.0 [18.18.18.4] Password = "allowdeny" Framed-IP-Address = 0.0.0.0 |
ADD RADIUS SERVER=192.168.10.5 SECRET=himitsu ↓
ADD FIREWALL POLICY=mynet RULE=1 ACTION=DENY INT=vlan1 PROTO=TCP PORT=80 LIST=RADIUS ↓
Note - ALLOWが「デフォルト拒否」で、DENYが「デフォルト許可」というのは逆のようにも思えますが、ALLOWは「RADIUSサーバー上で許可するよう登録されているものだけ」を許可、DENYは「RADIUSサーバー上で拒否するよう登録されているものだけ」を拒否、という意味合いになります。
ルールの時間制限 |
ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROT=TCP IP=1.2.3.2 PORT=80 DAYS=WEEKDAY AFT=9:00 BEF=20:00 ↓
ルールの確認・修正・削除 |
ルールの処理順序 |
ファイアウォールの動作監視 |
ログ |
ENABLE FIREWALL POLICY=mynet LOG=DENY ↓
INATCP | 外部(PUBLIC側)からのTCPセッション開始を許可 |
INAUDP | 外部からのUDPフロー開始を許可 |
INAICMP | 外部からのICMP要求を許可 |
INAOTHER | 外部からのIPフロー開始(TCP、UDP、ICMP以外)を許可 |
INALLOW | 外部からのセッション/フロー開始を許可。INATCP、INAUDP、INAICMP、INAOTHERをすべて指定したのに等しい |
OUTATCP | 内部(PRIVATE側)からのTCPセッション開始を許可 |
OUTAUDP | 内部からのUDPフロー開始を許可 |
OUTAICMP | 内部からのICMP要求を許可 |
OUTAOTHER | 内部からのIPフロー開始(TCP、UDP、ICMP以外)を許可 |
OUTALLOW | 内部からのセッション/フロー開始を許可。OUTATCP、OUTAUDP、OUTAICMP、OUTAOTHERをすべて指定したのと等しい |
ALLOW | 内外からのセッション/フロー開始を許可 |
INDTCP | 外部からのTCPセッション開始を遮断 |
INDUDP | 外部からのUDPフロー開始を遮断 |
INDICMP | 外部からのICMP要求を遮断 |
INDOTHER | 外部からのIPフロー開始(TCP、UDP、ICMP以外)を遮断 |
INDENY | 外部からのセッション/フロー開始を遮断。INDTCP、INDUDP、INDICMP、INDOTHERをすべて指定したのに等しい |
OUTDTCP | 内部からのTCPセッション開始を遮断 |
OUTDUDP | 内部からのUDPフロー開始を遮断 |
OUTDICMP | 内部からのICMP要求を遮断 |
OUTDOTHER | 内部からのIPフロー開始(TCP、UDP、ICMP以外)を遮断 |
OUTDENY | 内部からのセッション/フロー開始を遮断。OUTDTCP、OUTDUDP、OUTDICMP、OUTDOTHERをすべて指定したのに等しい |
DENY | 内外からのセッション/フロー開始を遮断 |
INDDTCP | 外部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録 |
INDDUDP | 外部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録 |
INDDICMP | 外部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録 |
INDDOTHER | 外部からのIPフロー開始(TCP、UDP、ICMP以外)を遮断し、IPパケットの先頭最大192バイトを記録 |
INDDUMP | 外部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録 |
OUTDDTCP | 内部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録 |
OUTDDUDP | 内部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録 |
OUTDDICMP | 内部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録 |
OUTDDOTHER | 内部からのIPフロー開始(TCP、UDP、ICMP以外)を遮断し、IPパケットの先頭最大192バイトを記録 |
OUTDDUMP | 内部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録 |
DENYDUMP | 内外からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録 |
SHOW LOG MODULE=FIRE ↓
SHOW LOG TYPE=FIRE ↓
SHOW LOG MODULE=FIRE TAIL(最新の20メッセージを表示) ↓
SHOW LOG MODULE=FIRE TAIL=10(同10メッセージを表示) ↓
Manager > show log module=fire Date/Time S Mod Type SType Message ------------------------------------------------------------------------------- 28 10:39:45 4 FIRE FIRE INDIC ICMP - Source 172.16.28.32 Dest 172.16.28.255 Type 9 Code 0 28 10:39:45 4 FIRE FIRE INDIC bad ICMP message type to pass 28 10:40:05 4 FIRE FIRE INDUD UDP - Source 172.16.28.120:137 Dest 172.16.28.255:137 28 10:40:05 4 FIRE FIRE INDUD flow rejected by policy rule 28 10:40:06 4 FIRE FIRE INDUD UDP - Source 172.16.28.120:137 Dest 172.16.28.255:137 28 10:40:06 4 FIRE FIRE INDUD flow rejected by policy rule 28 10:40:41 3 FIRE FIRE OUTDT TCP - Source 192.168.10.1:1045 Dest 172.16.28.1:139 28 10:40:41 3 FIRE FIRE OUTDT flow rejected by policy rule ------------------------------------------------------------------------------- |
ADD LOG OUTPUT=TEMPORARY MODULE=FIRE ↓
イベント通知 |
SET MAIL HOSTNAME=gw.example.com ↓
ADD IP DNS PRIMARY=192.168.10.5 ↓
ENABLE FIREWALL NOTIFY=MAIL TO=admin@is.example.com ↓
Subject: Firewall message From: manager@gw.example.com To: <admin@is.example.com> Date: Sun, 22 Jul 2001 13:33:19 +0900 22-Jul-2001 13:33:19 SYN attack from 1xx.43.12.xxx is underway |
Note - メール通知を有効にするには、あらかじめメール送信のための基本設定(自ホスト名、DNSサーバーの設定)が必要です。詳細は「運用・管理」/「メール送信」をご覧ください。
ENABLE SNMP ↓
CREATE SNMP COMMUNITY=public MANAGER=192.168.10.5 TRAPHOST=192.168.10.5 ↓
ENABLE SNMP COMMUNITY=public TRAP ↓
ENABLE FIREWALL NOTIFY=SNMP ↓
172.16.10.1: Enterprise Specific Trap (1) Uptime: 2:19:50 enterprises.207.8.4.4.4.77.1.0 = OCTET STRING: "22-Jul-2001 14:15:47.. Port scan from 12.xx.xx.xx is underway" |
Note - SNMPトラップによる通知を有効にするには、あらかじめSNMPの基本設定(SNMPモジュールの有効化、コミュニティーの作成、マネージャー/トラップホストの指定、トラップの有効化)が必要です。詳細は「運用・管理」/「SNMP」をご覧ください。
DISABLE FIREWALL NOTIFY=MAIL ↓
SHOW FIREWALL EVENT ↓
SHOW FIREWALL EVENT=NOTIFY ↓
DoS Flood | 不要なトラフィックで帯域を占有し、ネットワークサービスを妨害する |
Fragment Attack | 巨大なフラグメントや再構成できないフラグメントを送りつける |
Host Scan | 内部ネットワークで稼動中のホストを調べる |
IP Spoofing | 送信元IPアドレスを詐称する |
Land Attack | 始点と終点に同じアドレスを設定したIPパケットによるDOS攻撃。システムのバグを狙う |
Ping of Death | システムのバグをつくもので、特定サイズのPingパケットを送りつけることによりシステムをクラッシュさせる |
Port Scan | ホスト上で稼動中のサービスを調べる |
SMTP Third-party Relay | メールの不正中継。宛先とは関係のないドメインのメールサーバーを利用してメールを送信する。spamメールの送信者が送信元を隠すために使用することが多い |
Smurf Attack | 始点アドレスを詐称(標的のアドレスを設定する)したPingパケットを中継サイトのディレクディドブロードキャストアドレスに送り、中継サイトから標的サイトに大量のリプライを送りつけさせる |
Spam | spamメール。不要なメールを送りつける。何をspamと見なすかは受信者次第。本製品では、spamリストで指定されたドメイン、メールアドレスからのメールをspamメールと見なす |
Syn Attack | TCPのSynパケットを断続的に送りつけ、ハーフオープンのコネクションを大量に生成し(始点アドレスを詐称するためSyn/Ackへの応答はない)、標的システムのコネクションキューを枯渇させる |
Tiny Fragment Attack | 微小なフラグメントを用いてTCPフラグを2個目のフラグメントに入れ、Synパケットのフィルタリングをくぐりぬけようとする |
UDP Port Scan | UDPによるポートスキャン |
トリガー |
ENABLE TRIGGER ↓
CREATE TRIGGER=1 FIREWALL=PORTSCAN MODE=START SCRIPT=pscans.scp ↓
MAIL TO=admin@is.example.com SUBJECT="Portscan from %2 started (Policy %1)" |
Subject: Portscan from 1xx.xx.3x.180 started (Policy mynet) From: manager@gw.example.com To: <admin@is.example.com> Date: Sun, 22 Jul 2001 14:37:21 +0900 |
Note - メール機能を使用するためには、あらかじめメール送信のための基本設定(自ホスト名、DNSサーバーの設定)が必要です。詳細は「運用・管理」/「メール送信」をご覧ください。
アカウンティング |
ENABLE FIREWALL POLICY=mynet ACCOUNTING ↓
Manager > show firewall accounting Policy : mynet Date/Time Event Dir Prot IP:Port <-> Dest IP:Port /Traffic statistics ------------------------------------------------------------------------------- 22 14:42:17 END OUT UDP 172.16.28.160:2060 172.16.28.1:53 Traffic out 1:66 in 1:118 22 14:42:17 END OUT TCP 172.16.28.160:36399 172.16.48.16:25 Traffic out 13:846 in 12:967 22 14:44:33 START OUT UDP 192.168.10.5:65406 172.16.28.1:53 22 14:44:33 END OUT ICMP 192.168.10.5 172.16.28.1 Traffic out 1:84 in 1:84 22 14:44:34 END OUT ICMP 192.168.10.5 172.16.28.1 Traffic out 1:84 in 1:84 22 14:44:35 END OUT ICMP 192.168.10.5 172.16.28.1 Traffic out 1:84 in 1:84 22 14:44:36 END OUT ICMP 192.168.10.5 172.16.28.1 Traffic out 1:84 in 1:84 22 14:47:16 START OUT TCP 192.168.10.50:1031 172.16.28.5:80 22 14:47:17 START OUT TCP 192.168.10.50:1032 172.16.28.5:80 22 14:47:44 END IN ICMP 172.16.28.180 172.16.28.160 Traffic out 1:28 in 1:28 ------------------------------------------------------------------------------- |
SHOW LOG TYPE=ACCO ↓
Manager > show log type=acco Date/Time S Mod Type SType Message ------------------------------------------------------------------------------- 22 14:42:18 3 FIRE ACCO END UDP 172.16.28.160:2060 172.16.28.1:53 Flow terminated 22 14:42:18 3 FIRE ACCO END Flow traffic out 1:66 in 1:118 22 14:42:18 3 FIRE ACCO END TCP 172.16.28.160:36399 172.16.48.16:25 Flow terminated 22 14:42:18 3 FIRE ACCO END Flow traffic out 13:846 in 12:967 22 14:44:33 3 FIRE ACCO START UDP 192.168.10.5:65406 172.16.28.1:53 Flow started 22 14:44:33 3 FIRE ACCO END ICMP 192.168.10.5 172.16.28.1 Flow terminated 22 14:44:33 3 FIRE ACCO END Flow traffic out 1:84 in 1:84 22 14:44:34 3 FIRE ACCO END ICMP 192.168.10.5 172.16.28.1 Flow terminated 22 14:44:34 3 FIRE ACCO END Flow traffic out 1:84 in 1:84 22 14:44:35 3 FIRE ACCO END ICMP 192.168.10.5 172.16.28.1 Flow terminated 22 14:44:35 3 FIRE ACCO END Flow traffic out 1:84 in 1:84 22 14:44:36 3 FIRE ACCO END ICMP 192.168.10.5 172.16.28.1 Flow terminated 22 14:44:36 3 FIRE ACCO END Flow traffic out 1:84 in 1:84 22 14:47:15 3 FIRE ACCO START TCP 192.168.10.50:1031 172.16.28.5:80 Flow started 22 14:47:16 3 FIRE ACCO START TCP 192.168.10.50:1032 172.16.28.5:80 Flow started 22 14:47:44 3 FIRE ACCO END ICMP 172.16.28.180 172.16.28.160 Flow terminated 22 14:47:44 3 FIRE ACCO END Flow traffic out 1:28 in 1:28 22 14:49:35 3 FIRE ACCO END UDP 192.168.10.5:65406 172.16.28.1:53 Flow terminated 22 14:49:35 3 FIRE ACCO END Flow traffic out 1:70 in 1:190 ------------------------------------------------------------------------------- |
デバッグオプション |
Note - DEBUGパラメーターは、トラブルシューティング時など、内部情報の確認が必要な場合を想定したものですので、ご使用に際しては弊社技術担当にご相談ください。
ENABLE FIREWALL POLICY=mynet DEBUG=PKT ↓
Manager > FIRE ICMP 45000024 c6070000 01018e04 ac101c20 ac101cff 0900421e 01020168 96571c20 00000000 Manager > FIRE TCP 4500003c c87c4000 40060c3d ac101cb4 ac101ca0 05e70017 3398573f 00000000 a0027d78 19d20000 020405b4 0402080a 0d82ac62 00000000 |
ENABLE FIREWALL POLICY=mynet DEBUG=PROCESS ↓
FIRE UDP 4500004d 218a0000 4011dc10 c0a80a05 ac101c01 ff780035 00393422 067f0100 00010000 00000000 076f6374 6f766572 0274770e 616c6c69 FIREWALL new flow - UDP - session ID 8b2e FIREWALL packet sent to UDP handler FIREWALL flow 8b2e found for packet FIREWALL packet sent to UDP handler FIREWALL packet passed - UDP OUT - passed by rule 0 FIRE UDP 4500004d 218b0000 4011dc0f c0a80a05 ac101c01 ff770035 00394f22 06800100 00010000 00000000 076f6374 6f766572 0274770e 616c6c69 FIREWALL new flow - UDP - session ID 9a14 FIREWALL packet sent to UDP handler FIREWALL flow 9a14 found for packet FIREWALL packet sent to UDP handler FIREWALL packet passed - TCP OUT - passed by rule 0 FIRE TCP 4500003c 218c0000 4006db77 c0a80a05 ac101cb4 e2360017 d71d5199 00000000 a0024000 1d930000 020405b4 01030300 0101080a 000064b7 FIREWALL new flow - TCP - session ID a9c5 FIREWALL packet sent to TCP handler FIREWALL flow a9c5 found for packet FIREWALL packet sent to TCP handler direction IN FIREWALL flow a9c5 found for packet FIREWALL packet sent to TCP handler direction OUT FIREWALL flow a9c5 found for packet FIREWALL packet sent to TCP handler direction OUT FIREWALL flow a9c5 found for packet FIREWALL packet sent to TCP handler direction IN FIREWALL flow a9c5 found for packet FIREWALL packet sent to TCP handler direction IN |
DISABLE FIREWALL POLICY=mynet DEBUG=PKT ↓
セッションの確認 |
Manager > show firewall session Policy : net Current Sessions ------------------------------------------------------------------------------- 3612 UDP IP: 192.168.10.100:64499 Remote IP: 172.17.28.1:53 Gbl IP: 172.17.28.185:13842 Gbl Remote IP: 172.17.28.1:53 Start time ........................... 17:44:35 07-Mar-2002 Seconds to deletion .................. 264 158f UDP IP: 192.168.10.100:64500 Remote IP: 172.17.28.1:53 Gbl IP: 172.17.28.185:5519 Gbl Remote IP: 172.17.28.1:53 Start time ........................... 17:44:13 07-Mar-2002 Seconds to deletion .................. 246 7527 UDP IP: 192.168.10.100:64501 Remote IP: 172.17.28.1:53 Gbl IP: 172.17.28.185:29991 Gbl Remote IP: 172.17.28.1:53 Start time ........................... 17:41:11 07-Mar-2002 Seconds to deletion .................. 60 5e9e TCP IP: 192.168.10.100:65484 Remote IP: 172.17.28.103:22 Gbl IP: 172.17.28.185:24222 Gbl Remote IP: 172.17.28.103:22 TCP state ............................ closed Start time ........................... 17:35:17 07-Mar-2002 Seconds to deletion .................. 54 ------------------------------------------------------------------------------- |
Manager > show firewall session counter Policy : net Current Sessions ------------------------------------------------------------------------------- 43fa TCP IP: 192.168.10.100:65480 Remote IP: 172.17.22.10:80 Gbl IP: 172.17.28.185:17402 Gbl Remote IP: 172.17.22.10:80 Packets from private IP .............. 8 Octets from private IP ............... 558 Packets to private IP ................ 8 Octets to private IP ................. 6881 TCP state ............................ closed Start time ........................... 17:51:26 07-Mar-2002 Seconds to deletion .................. 300 c296 TCP IP: 192.168.10.100:65483 Remote IP: 172.17.24.1:23 Gbl IP: 172.17.28.185:49814 Gbl Remote IP: 172.17.24.1:23 Packets from private IP .............. 11 Octets from private IP ............... 555 Packets to private IP ................ 12 Octets to private IP ................. 554 TCP state ............................ timeWait Start time ........................... 17:49:33 07-Mar-2002 Seconds to deletion .................. 246 ea27 UDP IP: 192.168.10.100:64433 Remote IP: 172.17.28.1:53 Gbl IP: 172.17.28.185:59943 Gbl Remote IP: 172.17.28.1:53 Packets from private IP .............. 1 Octets from private IP ............... 75 Packets to private IP ................ 1 Octets to private IP ................. 149 Start time ........................... 17:50:05 07-Mar-2002 Seconds to deletion .................. 270 ------------------------------------------------------------------------------- |
DELETE FIREWALL SESSION=c296 ↓
ダイナミックインターフェース |
テンプレートの作成 |
CREATE FIREWALL POLICY=net DYNAMIC=dialup_if ↓
ADD FIREWALL POLICY=net DYNAMIC=dialup_if USER=white ↓
Note - 同じユーザー名を複数のテンプレートに割り当てることはできません。
ADD FIREWALL POLICY=net DYNAMIC=noauth_if USER=NONE ↓
ADD FIREWALL POLICY=net DYNAMIC=alluser USER=ANY ↓
CREATE FIREWALL POLICY=net DYNAMIC=sales_if ↓
ADD FIREWALL POLICY=net DYNAMIC=sales_if USER=hayashi ↓
ADD FIREWALL POLICY=net DYNAMIC=sales_if USER=kobayashi ↓
ADD FIREWALL POLICY=net DYNAMIC=sales_if USER=oobayashi ↓
nakata nakano nakao nakajima nakamura nakayama |
ADD FIREWALL POLICY=net DYNAMIC=sales_if FILE=newusers.txt ↓
DELETE FIREWALL POLICY=net DYNAMIC=sales_if USER=oobayashi ↓
DELETE FIREWALL POLICY=net DYNAMIC=sales_if FILE=newusers.txt ↓
DESTROY FIREWALL POLICY=net DYNAMIC=dialup_if ↓
テンプレートの使用 |
ADD FIREWALL POLICY=net INTERFACE=DYN-dialup_if TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net RULE=1 AC=DENY INT=DYN-dialup_if PROTO=TCP PORT=WWW ↓
Note - ダイナミックインターフェーステンプレートをNATルールのグローバルインターフェースとして指定することはできません。
その他設定 |
ENABLE FIREWALL POLICY=mynet ICMP_F=PING,UNREACH ↓
Note - ICMP Destination Unreachableメッセージ(ICMPタイプ3)は、IPホストが通信経路上の最大パケットサイズ(Path MTU)を知る目的で使用することがあります。そのため、本メッセージを遮断すると、一部のサイトにアクセスできなくなる可能性があります。
ADD IP FILTER=0 SO=0.0.0.0 PROTO=ICMP ICMPTYPE=ECHO ACTION=EXCLUDE ↓
ADD IP FILTER=0 SO=0.0.0.0 ACTION=INCLUDE ↓
SET IP INT=ppp0 FILTER=0 ↓
DISABLE FIREWALL POLICY=mynet ICMP_F=PING ↓
DISABLE FIREWALL POLICY=mynet PING ↓
DISABLE FIREWALL POLICY=mynet IDENTPROXY ↓
DISABLE FIREWALL POLICY=mynet TCPSETUPPROXY ↓
ENABLE FIREWALL POLICY=mynet TCPSETUPPROXY ↓
(C) 2002 - 2008 アライドテレシスホールディングス株式会社
PN: J613-M3048-01 Rev.M