[index] CentreCOM AR740 コマンドリファレンス 2.6

ADD FIREWALL POLICY INTERFACE

カテゴリー：ファイアウォール / ファイアウォールポリシー

ADD FIREWALL POLICY=policy INTERFACE=interface TYPE={PUBLIC|PRIVATE} [METHOD={DYNAMIC|PASSALL}]

policy: ファイアウォールポリシー名（1～15文字。英数字とアンダースコアを使用可能）
interface: IPインターフェース名（eth0、ppp0など）

ファイアウォールポリシーにインターフェースを追加する。

ファイアウォールポリシーが機能するためには、PRIVATE（内部）とPUBLIC（外部）のインターフェースがそれぞれ最低一つずつ必要。

あるインターフェースを複数のポリシーでPRIVATEインターフェースに設定することはできないが、同じインターフェースを複数のポリシーでPUBLICインターフェースとして設定することはできる。同一ポリシー内にPRIVATEインターフェースが複数存在する場合、PRIVATEインターフェース間の通信は制限されない。

パラメーター

POLICY: ファイアウォールポリシー名

INTERFACE: IPインターフェース名。ダイナミックインターフェースは、「DYN-」＋ダイナミックインターフェーステンプレート名で指定する（例：DYN-pon）

TYPE: インターフェース種別。PUBLIC（外部）とPRIVATE（内部）がある。ファイアウォールの基本ルールでは、PRIVATEからPUBLICへのパケットはすべて通すが、PUBLICからPRIVATEへのパケットはすべて遮断する。この基本ルールをもとに、ADD FIREWALL POLICY RULEコマンドで独自のルール（通過、遮断など）を追加し、ファイアウォールの動作をカスタマイズすることができる。

METHOD: PUBLICインターフェースの動作を指定する。DYNAMIC（デフォルト）では、ダイナミックパケットフィルタリングにより、PRIVATE側から開始されたセッションに限りPUBLIC側からPRIVATEにパケットを転送する。PASSALLを指定した場合は、ファイアウォールによるフィルタリングは行われない。スタティックNATを使う場合、グローバル側インターフェースをMETHOD=PASSALLに設定することで、許可ルールの設定を省くことができる。

例

■ ファイアウォールポリシー「net」の内部側（PRIVATE）インターフェースとしてeth0を、外部側（PUBLIC）インターフェースとしてppp0を追加する。
ADD FIREWALL POLICY=net INT=eth0 TYPE=PRIVATE ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC

参考

RFC1631, The IP Network Address Translator (NAT)

PN: 613-000215 Rev.C