[index] CentreCOM AR450S コマンドリファレンス 2.9
カテゴリー:ファイアウォール / アプリケーションゲートウェイ
ADD FIREWALL POLICY=policy PROXY=HTTP INTERFACE=interface GBLINTERFACE=interface DIRECTION=OUT [DAYS=day-list] [AFTER=time] [BEFORE=time]
ADD FIREWALL POLICY=policy PROXY=SMTP INTERFACE=interface GBLINTERFACE=interface DIRECTION={IN|OUT} [IP=ipadd] [DAYS=day-list] [AFTER=time] [BEFORE=time]
policy: ファイアウォールポリシー名(1〜15文字。英数字とアンダースコアを使用可能)
interface: IPインターフェース名(eth0、ppp0など)
ipadd: IPアドレス
day-list: 曜日リスト(MON、TUE、WED、THU、FRI、SAT、SUN、WEEKDAY、WEEKEND、ALLの組み合わせ。複数指定時はカンマで区切る)
time: 時刻(hh:mmの形式。hhは時(0〜23)、mmは分(0〜59))
ファイアウォールポリシーにアプリケーションプロキシーの設定を追加する。
アプリケーションプロキシーは、ネットワーク層(例:IPアドレス)やトランスポート層(例:TCP/UDPポート番号やSyn/Ackフラグ)ではなく、より上位のアプリケーション層(例:SMTPのMAIL FROM: やHTTPのGETなど)を解釈して通信を制御する機能。
HTTPプロキシーは、内側から外側に向けたHTTP通信に対してのみ機能する。
HTTPプロキシーを有効にした場合、本製品は内側(LAN側)インターフェースでHTTPプロキシーとして振る舞う。この場合、内側(LAN側)からのHTTPプロキシー要求を受け付け、自らDNSを検索して適切な外部HTTPサーバーにアクセスし、結果をクライアントに返送する。このとき、HTTPの通信内容を検査することで、特定URLへのアクセスを禁止したり、サーバーからのCookie要求を拒否したりすることができる。
一方、SMTPプロキシーは、外側から内側に向けたSMTP通信(外部から自ドメインへのメール配送)と、内側から外側に向けたSMTP通信(内部から他ドメインへのメール配送)の両方に対して機能させることができる。
Note - 1つのファイアウォールポリシーにおいては、外向き、内向きのどちらか一方のみ使用可能。
| パラメーター |
POLICY: ファイアウォールポリシー名
PROXY: 使用するアプリケーションプロキシー。現時点ではHTTPとSMTPをサポートしている。HTTPプロキシーは、URLフィルタリングとクッキーフィルタリングの機能を提供する。SMTPプロキシーは、リストファイルに基づくspamメールのフィルタリングと、メールの不正中継防止機能を提供する。
INTERFACE: ファイアウォールのプライベート(内部)側IPインターフェース
GBLINTERFACE: ファイアウォールのパブリック(外部)側IPインターフェース
DIRECTION: アプリケーションプロキシーを機能させる方向。INは外部から内部への通信、OUTは内部から外部への通信に対してプロキシーを機能させる。HTTPプロキシーを使用するときは必ずOUTを指定すること。また、SMTPプロキシーを使用するときはINかOUTを指定すること。その他の方向を指定した場合は意図した動作をしないので注意。
IP: (SMTPプロキシーのみ)ファイアウォールのプライベート(内部)側にあるSMTPサーバーのIPアドレス。外部から本製品(プロキシー)に対して張られたSMTPセッションは、ここで指定したアドレスに中継される。PROXYパラメーターにSMTPを、DIRECTIONパラメーターにINを指定した場合にのみ有効。DIRECTION=OUTのときは指定不要。
DAYS: 曜日を指定。カンマ区切りで複数指定可能。プロキシーは指定した曜日にのみ有効となる。WEEKDAYは「MON,TUE,WED,THU,FRI」と同義。また、WEEKENDは「SAT,SUN」と同義。省略時はALL
AFTER: 時刻を指定。プロキシーは同日中の指定した時刻以降にのみ有効。
BEFORE: 時刻を指定。プロキシーは同日中の指定した時刻以前にのみ有効。
| 例 |
■ ファイアウォールポリシーofficeにSMTPプロキシー(内向き)の設定を追加する。自ドメインはexample.com、内部SMTPサーバーのIPアドレスは192.168.1.10とする。SMTPプロキシーを内向きで使用するときは、自ドメイン名と内部SMTPサーバーのIPアドレスを必ず設定すること。
SET FIREWALL POLICY=office SMTPDOMAIN=example.com■ ファイアウォールポリシーofficeにSMTPプロキシー(外向き)の設定を追加する。DNSサーバーアドレスは10.1.1.1、自ドメインはexample.comとする。SMTPプロキシーを外向きで使用するときは、DNSサーバーアドレスと自ドメイン名を必ず設定すること。
ADD FIREWALL POLICY=office PROXY=SMTP GBLINTERFACE=ppp0 INTERFACE=vlan1 IP=192.168.1.10 DIRECTION=IN
ADD IP DNS PRIMARY=10.1.1.1■ ファイアウォールポリシーofficeにHTTPプロキシーの設定を追加する。DNSサーバーアドレスは10.1.1.1とする。HTTPプロキシーは内部から外部への通信に対してのみ機能するので、DIRECTIONにはOUTを指定すること。また、DNSサーバーアドレスを必ず設定すること。
SET FIREWALL POLICY=office SMTPDOMAIN=example.com
ADD FIREWALL POLICY=office PROXY=SMTP INTERFACE=vlan1 GBLINTERFACE=ppp0 DIRECTION=OUT
ADD IP DNS PRIMARY=10.1.1.1
ADD FIREWALL POLICY=office PROXY=HTTP INTERFACE=vlan1 GBLINTERFACE=ppp0 DIRECTION=OUT
| 備考・注意事項 |
SMTPプロキシーをDIRECTION=INで使用するときは、自ドメインのDNSサーバーに対して、他のドメインからは本製品がメールエクスチェンジャー(MX)として認識されるよう設定しておく必要がある。
SMTPプロキシーをDIRECTION=INで使用するときは、SET FIREWALL POLICY SMTPDOMAINコマンドで自ドメイン名を設定しておくこと。
SMTPプロキシーをDIRECTION=OUTで使用するときは、内部側のメールクライアントに対し、送信メールサーバーとして本製品の内部側インターフェースのIPアドレス(またはドメイン名)を使うよう設定すること。
SMTPプロキシーをDIRECTION=OUTで使用するときは、ADD IP DNSコマンドでDNSサーバーのアドレスを設定しておくこと。また、SET FIREWALL POLICY SMTPDOMAINコマンドで自ドメイン名を設定しておくこと。
HTTPプロキシーを使用するときは、内部側の各HTTPクライアント(Webブラウザーなど)に対し、「プロキシーサーバー」の設定をする必要がある。具体的には、「HTTPプロキシー」として、本製品の内部側インターフェースのIPアドレス(またはドメイン名)を指定する。また、ポート番号には80を指定する。なお、本製品はHTTP以外のプロトコル、たとえば、HTTPS(Secure、Security)やFTP、Gopherなどには対応していないので、これらのサービスに対するプロキシーとして本製品を指定してはならない。
HTTPプロキシーを使用するときは、ADD IP DNSコマンドでDNSサーバーのアドレスを設定しておくこと。
| 関連コマンド |
ADD FIREWALL POLICY SPAMSOURCES
ADD IP DNS
DELETE FIREWALL POLICY PROXY
DELETE FIREWALL POLICY SPAMSOURCES
DISABLE FIREWALL POLICY SMTPRELAY
ENABLE FIREWALL POLICY SMTPRELAY
SET FIREWALL POLICY SMTPDOMAIN
| 参考 |
RFC821, SIMPLE MAIL TRANSFER PROTOCOL
(C) 2003 - 2009 アライドテレシスホールディングス株式会社
PN: J613-M3069-03 Rev.L