[index] CentreCOM ARX640S コマンドリファレンス 5.1.5
モード: 拡張IPアクセスリストモード
カテゴリー: ファイアウォール / IPフィルター
(config-acl-ip-ext)# [dynamic] ACTION ip SRCIP DSTIP [IPOPT] [log] [sequence <1-65535>]
(config-acl-ip-ext)# [dynamic] ACTION <0-255> SRCIP DSTIP [IPOPT] [log] [sequence <1-65535>]
(config-acl-ip-ext)# [dynamic] ACTION icmp SRCIP DSTIP [IPOPT] [ICMPOPT] [log] [sequence <1-65535>]
(config-acl-ip-ext)# [dynamic] ACTION tcp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [TCPOPT] [log] [sequence <1-65535>]
(config-acl-ip-ext)# [dynamic] ACTION udp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [log] [sequence <1-65535>]
(config-acl-ip-ext)# no sequence <1-65535>
(config-acl-ip-ext)# no [dynamic] ACTION ip SRCIP DSTIP [IPOPT] [log]
(config-acl-ip-ext)# no [dynamic] ACTION <0-255> SRCIP DSTIP [IPOPT] [log]
(config-acl-ip-ext)# no [dynamic] ACTION icmp SRCIP DSTIP [IPOPT] [ICMPOPT] [log]
(config-acl-ip-ext)# no [dynamic] ACTION tcp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [TCPOPT] [log]
(config-acl-ip-ext)# no [dynamic] ACTION udp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [log]
対象拡張IPアクセスリストにエントリーを追加する。または、既存エントリーを変更する。
no形式で実行した場合は指定したエントリーを削除する。
拡張IPアクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号順に行われる。検索時には、最初にマッチしたエントリーで処理 (permitかdeny)が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。
dynamic |
条件に合致したパケットを双方向のフローとしてキャッシュに登録し、戻りパケットの自動許可とパフォーマンス向上をはかる。permitアクションに対してのみ有効。denyアクションでは無視される | ||||
ACTION |
条件に合致した場合のアクション。以下から選択する | ||||
deny |
パケットを破棄する | ||||
permit |
パケットを許可する | ||||
ip |
すべてのIPパケットを対象とする場合(上位プロトコルタイプを気にしない場合)に指定する | ||||
<0-255> |
特定の上位プロトコルタイプ(IPヘッダーのプロトコルタイプフィールドの値)を持つパケットだけを対象とする場合に指定する。プロトコルタイプは10進数で指定する | ||||
icmp |
ICMPパケットだけを対象とする場合に指定する。icmpを指定した場合は、ICMPOPTでICMP固有の条件を指定することができる(指定しなくてもよい) | ||||
tcp |
TCPパケットだけを対象とする場合に指定する。tcpを指定した場合は、始点・終点ポート番号とTCP固有の条件を指定することができる(指定しなくてもよい) | ||||
udp |
UDPパケットだけを対象とする場合に指定する。udpを指定した場合は、始点・終点ポート番号を指定することができる(指定しなくてもよい) | ||||
SRCIP |
IPアドレス(通常始点IPアドレス)。次のいずれかの形式で指定する | ||||
host A.B.C.D |
IPアドレス | ||||
A.B.C.D/M |
IPアドレスとマスク長。マスク長Mは、対象アドレスとA.B.C.Dの先頭何ビットを比較するかを指定する | ||||
address-range IPRANGE |
IPアドレス範囲。「192.168.10.100-192.168.10.128」のように先頭アドレスと末尾アドレスをハイフン(-)でつないだ形式で指定する | ||||
any |
すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義 | ||||
SRCPORT |
始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は次のいずれかの形式で指定する。数値の代わりに定義済みのキーワード(サービス名)で指定することもできる(別表参照) | ||||
eq <1-65535> |
指定したポート番号と等しいときにマッチ。たとえば、「eq 80」はポート80とマッチする | ||||
lt <1-65535> |
指定したポート番号より小さいときにマッチ。たとえば、「lt 1024」はポート0〜1023にマッチする | ||||
gt <1-65535> |
指定したポート番号より大きいときにマッチ。たとえば、「gt 32767」はポート32768〜65535にマッチする | ||||
ne <1-65535> |
指定したポート番号と等しくないときにマッチ。たとえば、「ne 22」はポート22以外とマッチする | ||||
range <1-65535> <1-65535> |
ポート番号が指定した範囲内のときにマッチ。たとえば、「range 8080 8088」は、ポート8080〜8088にマッチする | ||||
DSTIP |
終点IPアドレス。次のいずれかの形式で指定する | ||||
host A.B.C.D |
IPアドレス | ||||
A.B.C.D/M |
IPアドレスとマスク長。マスク長Mは、対象アドレスとA.B.C.Dの先頭何ビットを比較するかを指定する | ||||
address-range IPRANGE |
IPアドレス範囲。「192.168.10.100-192.168.10.128」のように先頭アドレスと末尾アドレスをハイフン(-)でつないだ形式で指定する | ||||
interface IFNAME |
インターフェース名。指定したインターフェースに設定されているIPアドレスとマッチする | ||||
any |
すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義 | ||||
DSTPORT |
終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。 | ||||
IPOPT := |
ip-option {{dscp <0-63>} | {precedence <0-7> & tos <0-15>}} |
||||
IP固有の条件パラメーター | |||||
dscp <0-63> |
IPヘッダーのDSCPフィールド値(TOSオクテットの第1〜6ビット) | ||||
precedence <0-7> |
IPヘッダーの優先度フィールド値(TOSオクテットの第1〜3ビット)。数値の代わりに定義済みのキーワードで指定することもできる(別表参照) | ||||
tos <0-15> |
IPヘッダーのTOSフラグフィールド値(TOSオクテットの第4〜7ビット)。数値の代わりに定義済みのキーワードで指定することもできる(別表参照) | ||||
ICMPOPT := |
icmp-option {type <0-255> & code <0-255> | message NAME} |
||||
ICMP固有の条件パラメーター | |||||
type <0-255> |
ICMPメッセージタイプ。上位プロトコルタイプとしてicmpを指定したときだけ有効。省略時はすべてのタイプが対象になる | ||||
code <0-255> |
ICMPメッセージコード。ICMPメッセージタイプ(type)を指定した場合のみ有効。省略時はすべてのコードが対象になる | ||||
message NAME |
ICMPメッセージ名(別表参照) | ||||
TCPOPT := |
flags ONFLAGS/CHECKFLAGS |
||||
TCPフラグのチェック条件。チェック対象のフラグをCHECKFLAGSに、チェック対象のうちオンであるべきフラグをONFLAGSに列挙する。フラグは、U、A、P、R、S、Fのフラグ名(大文字小文字を区別しない)を「SA」のように並べるか、「0x12」形式の16進数で指定する(別表参照)。たとえば、「SYN=on」かつ「ACK=off」のTCPパケットにマッチさせたいなら、チェック対象が「SA」、オンであるべきフラグが「S」なので、「flags S/SA」または「flags 0x02/0x12」と指定する | |||||
log |
条件に合致したときログに記録を残したい場合に指定する(本オプションで記録されるログはnoticeレベルになる) | ||||
sequence <1-65535> |
シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。既存エントリーと同じ番号を指定した場合は、既存エントリーの内容を書き換える。エントリーの新規作成時に省略した場合は、リストの最後にエントリーが追加され、シーケンス番号は既存の最後尾エントリーの番号+10になる(最初のエントリーは10になる)。本パラメーターはコマンド行の先頭、末尾のどちらにでも置ける |
■ 拡張IPアクセスリストの末尾には「deny any any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。
■ no形式でエントリーを削除しても、他のエントリーのシーケンス番号は変更されない(削除されたエントリーのシーケンス番号が空きになる)。シーケンス番号を振りなおすにはaccess-list ip resequenceコマンドを使う。
■ TCPのダイナミックキャッシュではシーケンス番号のチェックが行われ、不正な番号を持つパケットは破棄する。このときログに記録する。
■ FTP、TFTP、RTSP、PNA、PPTPの通信は、アプリケーションパケットを監視して、動的に双方向のキャッシュを作成維持する。
■ パラメーターによっては、下記の定義済みキーワードを指定できる。
ftpdata | 20 | FTP data port(20/tcp) | tcp指定時のみ |
ftp | 21 | FTP control port(21/tcp) | tcp指定時のみ |
tftp | 69 | TFTP port(69/udp) | udp指定時のみ |
routine | 0 | Routine (000) |
priority | 1 | Priority (001) |
immediate | 2 | Immediate (010) |
flash | 3 | Flash (011) |
flash-override | 4 | Flash Override (100) |
critical | 5 | CRITIC/ECP (101) |
internet | 6 | Internetwork Control (110) |
network | 7 | Network Control (111) |
normal | 0 | normal service (0000) |
min-monetary-cost | 1 | minimize monetary cost (0001) |
max-reliability | 2 | maximize reliability (0010) |
max-throughput | 4 | maximize throughput (0100) |
min-delay | 8 | minimize delay (1000) |
echo-reply | 0 | 0 | Echo Reply |
unreachable | 3 | すべて | Destination Unreachable |
net-unreachable | 3 | 0 | Destination Unreachable / Net Unreachable |
host-unreachable | 3 | 1 | Destination Unreachable / Host Unreachable |
protocol-unreachable | 3 | 2 | Destination Unreachable / Protocol Unreachable |
port-unreachable | 3 | 3 | Destination Unreachable / Port Unreachable |
source-route-failed | 3 | 5 | Destination Unreachable / Source Route Failed |
network-unknown | 3 | 6 | Destination Unreachable / Destination Network Unknown |
host-unknown | 3 | 7 | Destination Unreachable / Destination Host Unknown |
host-isolated | 3 | 8 | Destination Unreachable / Source Host Isolated |
dod-net-prohibited | 3 | 9 | Destination Unreachable / Communication with Destination Network is Administratively Prohibited |
dod-host-prohibited | 3 | 10 | Destination Unreachable / Communication with Destination Host is Administratively Prohibited |
net-tos-unreachable | 3 | 11 | Destination Unreachable / Destination Network Unreachable for Type of Service |
host-tos-unreachable | 3 | 12 | Destination Unreachable / Destination Host Unreachable for Type of Service |
administratively-prohibited | 3 | 13 | Destination Unreachable / Communication Administratively Prohibited |
host-precedence-unreachable | 3 | 14 | Destination Unreachable / Host Precedence Violation |
precedence-unreachable | 3 | 15 | Destination Unreachable / Precedence cutoff in effect |
source-quench | 4 | 0 | Source Quench |
redirect | 5 | すべて | Redirect |
net-redirect | 5 | 0 | Redirect / Redirect Datagram for the Network (or subnet) |
host-redirect | 5 | 1 | Redirect / Redirect Datagram for the Host |
host-tos-redirect | 5 | 3 | Redirect / Redirect Datagram for the Type of Service and Host |
echo | 8 | 0 | Echo |
router-advertisement | 9 | 0 | Normal router advertisement |
router-solicitation | 10 | 0 | Router Solicitation |
time-exceeded | 11 | すべて | Time Exceeded |
ttl-exceeded | 11 | 0 | Time Exceeded / Time to Live exceeded in Transit |
reassembly-timeout | 11 | 1 | Time Exceeded / Fragment Reassembly Time Exceeded |
general-parameter-problem | 12 | すべて | Parameter Problem |
option-missing | 12 | 1 | Parameter Problem / Missing a Required Option |
timestamp-request | 13 | 0 | Timestamp |
timestamp-reply | 14 | 0 | Timestamp Reply |
information-request | 15 | 0 | Information Request |
information-reply | 16 | 0 | Information Reply |
mask-request | 17 | 0 | Address Mask Request |
mask-reply | 18 | 0 | Address Mask Reply |
U | 0x20 | URGフラグ |
A | 0x10 | ACKフラグ |
P | 0x08 | PSHフラグ |
R | 0x04 | RSTフラグ |
S | 0x02 | SYNフラグ |
F | 0x01 | FINフラグ |
access-list ip extended(list) (グローバルコンフィグモード)
|
+- access-list ip extended(rule entry)(拡張IPアクセスリストモード)
access-list ip resequence(グローバルコンフィグモード)
show access-list ip(特権EXECモード)
(C) 2011 - 2014 アライドテレシスホールディングス株式会社
PN: 613-001491 Rev.E