[index] CentreCOM AR550S コマンドリファレンス 2.9
カテゴリー:ファイアウォール / フィルタールール
ADD FIREWALL POLICY=policy RULE=rule-id ACTION={ALLOW|DENY|NAT|NONAT} INTERFACE=interface PROTOCOL={protocol|ALL|GRE|OSPF|SA|TCP|UDP|ICMP|ESP} [IP=ipadd[-ipadd]] [PORT={ALL|port[-port]|port-name}] [GBLIP=ipadd] [GBLPORT={ALL|port[-port]|port-name}] [REMOTEIP=ipadd[-ipadd]] [SOURCEPORT={ALL|port[-port]|port-name}] [GBLREMOTEIP=ipadd[-ipadd]] [LIST={list-name|RADIUS}] [NATTYPE={DOUBLE|ENHANCED|REVERSE|STANDARD}] [NATMASK=ipadd] [ENCAPSULATION={NONE|IPSEC}] [AFTER=time] [BEFORE=time] [DAYS=day-list] [TTL=hour:minute]
policy: ファイアウォールポリシー名(1〜15文字。英数字とアンダースコアを使用可能)
rule-id: ルール番号(1〜1000)
interface: IPインターフェース名(eth0、ppp0など)
protocol: IPプロトコル番号(0〜255)
ipadd: IPアドレスまたはネットマスク
port: TCP/UDPポート番号(0〜65535)
port-name: サービス名
list-name: アクセスリスト名(1〜15文字。英数字とアンダースコアを使用可能)
time: 時刻(hh:mmの形式。hhは時(0〜23)、mmは分(0〜59))
day-list: 曜日リスト(MON、TUE、WED、THU、FRI、SAT、SUN、WEEKDAY、WEEKEND、ALLの組み合わせ。複数指定時はカンマで区切る)
hour: 時間
minute: 時間(分)
ファイアウォールポリシーに独自ルールを追加する。
始点・終点IPアドレスやポート番号、プロトコル、曜日や時刻等にもとづき、PRIVATE・PUBLICインターフェース間のトラフィック制御(許可・拒否・NAT適用)が可能。ルールは番号の若い順に検索され、最初にマッチしたものが適用される。
ファイアウォールのNAT機能のうち、ルールNATの設定は本コマンドで行うことができる。ルールNATとインターフェースNATを併用している場合は、ルールNATが優先的に適用される。ただし、見通しが悪くなるので、通常はどちらか一方だけを使うほうがよい。また、ルールNATは設定が複雑なので、一般的な用途ではインターフェースNATを使うことをお勧めする。
なお、インターフェースNAT(ADD FIREWALL POLICY NATコマンド)でダイナミックENATの設定をしている場合は、本コマンドでスタティックENAT(ポート/プロトコル転送)の設定を追加することができる。また、インターフェースNATでスタティックNAT(一対一NAT)の設定をしている場合は、本コマンドでスタティックNAT対象アドレス宛パケットを通過させるよう設定しなくてはならない。
| パラメーター |
POLICY: ファイアウォールポリシー名
RULE: ルール番号。既存ルールと同じ番号を指定した場合は、既存ルールの位置に新規ルールが挿入され、既存ルール以降は番号が1つずつ後ろにずれる。
ACTION: アクション。ALLOW(通過)、DENY(破棄)、NONAT(NATをかけない)、NAT(ルールNATを適用)から選択する。NATを指定した場合は、NATTYPEパラメーターでNATの種類を指定する。ルールNATは、ADD FIREWALL POLICY NATコマンドで設定したインターフェースNATよりも優先的に適用される。NONAT、NATを指定した場合は、何らかの形でパケットの通過を許可することになるので注意。
INTERFACE: ルールを適用するIPインターフェース名。ファイアウォールポリシーの管理対象でないインターフェース(ポリシーに追加されていないもの)は指定できない。本パラメーターに(インターフェースNATの)スタティックNATのグローバル側インターフェース(GBLINTERFACE)を指定した場合は、GBLIPパラメーターの指定も必須
PROTOCOL: IPプロトコル。定義済みのプロトコル名かプロトコル番号で指定。TCP、UDPを指定したときは、PORTパラメーターも必須
IP: ローカル側IPアドレス。PUBLICインターフェースのルールでは終点アドレス、PRIVATEインターフェースのルールでは始点アドレスを指定する。ハイフン区切りで範囲指定も可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLIPパラメーターでグローバル側終点アドレスを指定し、IPパラメーターでプライベート側終点アドレスを指定する。
PORT: 終点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLPORTパラメーターでグローバル側の終点ポート番号を指定し、PORTパラメーターでプライベート側の終点ポート番号を指定する。
GBLIP: NAT使用時のグローバル側終点アドレス。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点アドレスはIPパラメーターで指定する。
GBLPORT: NAT使用時のグローバル側終点ポート番号またはサービス名。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点ポート番号はPORTパラメーターで指定する。
REMOTEIP: リモート側IPアドレス。PUBLICインターフェースのルールでは始点アドレス、PRIVATEインターフェースのルールでは終点アドレスを指定する。ハイフン区切りで範囲指定も可能。省略時はすべてのアドレスが対象になる
SOURCEPORT: 始点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象になる
GBLREMOTEIP: リバースNAT、ダブルNAT使用時のリモート側IPアドレス。PUBLICインターフェースのNATルールでは、受信パケットの始点アドレスを指定する。PRIVATEインターフェースのNATルールでは、NAT変換後の終点IPアドレスを指定する。本パラメーターは、ACTIONがNATで、NATTYPEがREVERSEかDOUBLEのときだけ有効。
LIST: アクセスリスト名を指定する。RADIUSを指定し、なおかつ、RADIUSサーバーが設定されている場合は、RADIUSサーバーを使ってアクセス制御を行う。アクセスリストは、1つのポリシーに4つまで指定可能。IPアドレスリストは、PUBLICからPRIVATEへのフローでは始点アドレスとして、PRIVATEからPUBLICへのフローでは終点アドレスとして解釈される。また、MACアドレスリストはEthernetインターフェースに関連付けられたルールでのみ有効で、始点MACアドレスとして解釈される。
NATTYPE: NATの種類。DOUBLE、ENHANCED、REVERSE、STANDARDがある。ACTIONパラメーターにNATを指定したときのみ有効。省略時はSTANDARD。
NATMASK: NAT時のマスク。ACTIONパラメーターにNATを指定し、NATTYPEパラメーターにDOUBLE、REVERSE、STANDARDのいずれかを指定したときのみ有効。
ENCAPSULATION: IPSECを指定した場合、IPsecパケットからオリジナルのIPパケットを取り出したあとでこのルールが適用される。IPsecトンネル終端のIPアドレスが固定されていない場合などに使う。通常はNONE。
AFTER: 時刻を指定。ルールは同日中の指定した時刻以降にのみ有効。
BEFORE: 時刻を指定。ルールは同日中の指定した時刻以前にのみ有効。
DAYS: 曜日を指定。カンマ区切りで複数指定可能。ルールは指定した曜日にのみ有効となる。WEEKDAYは「MON,TUE,WED,THU,FRI」と同義。また、WEEKENDは「SAT,SUN」と同義。省略時はALL
TTL: 本ルールの有効期間(時:分)
| ECHO | 7 |
| DISCARD | 9 |
| FTP | 21 |
| TELNET | 23 |
| SMTP | 25 |
| TIME | 37 |
| DNS | 53 |
| BOOTPS | 67 |
| BOOTPC | 68 |
| TFTP | 69 |
| GOPHER | 70 |
| FINGER | 79 |
| WWW | 80 |
| HTTP | 80 |
| KERBEROS | 88 |
| RTELNET | 107 |
| POP2 | 109 |
| POP3 | 110 |
| SNMPTRAP | 162 |
| SNMP | 161 |
| BGP | 179 |
| RIP | 520 |
| L2TP | 1701 |
| PPTP | 1723 |
| VDOLIVE | 7000 |
| REALAUDIO | 7070 |
| REALVIDEO | 7070 |
| 例 |
■ LAN(vlan1)側からのMS-Networksパケット(終点ポート137〜139)を遮断する。
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=UDP PORT=137-139■ 終点アドレスが200.100.10.10のものに限り、ppp0側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=vlan1 PROT=TCP PORT=137-139
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL IP=200.100.10.10■ 終点アドレスが200.100.10.5で終点ポートがTCP 80番のものに限り、ppp0側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP IP=200.100.10.5 PORT=80■ アクセスリスト「myguest」に記述されているIPアドレスからのみ、ppp0側からのアクセスを許可する
ADD FIREWALL POLICY=mynet RULE=1 ACTION=ALLOW INT=ppp0 PROTO=ALL LIST=myguest
| 関連コマンド |
CREATE FIREWALL POLICY
CREATE FIREWALL POLICY DYNAMIC
DELETE FIREWALL POLICY RULE
SET FIREWALL POLICY RULE
SHOW FIREWALL POLICY
| 参考 |
RFC2865, Remote Authentication Dial In User Service (RADIUS)
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-03 Rev.K