[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

access-list ip extended(rule entry)

モード: 拡張IPアクセスリストモード
カテゴリー: ファイアウォール / IPフィルター

(config-acl-ip-ext)# [dynamic] ACTION ip SRCIP DSTIP [IPOPT] [log] [sequence <1-65535>]

(config-acl-ip-ext)# [dynamic] ACTION <0-255> SRCIP DSTIP [IPOPT] [log] [sequence <1-65535>]

(config-acl-ip-ext)# [dynamic] ACTION icmp SRCIP DSTIP [IPOPT] [ICMPOPT] [log] [sequence <1-65535>]

(config-acl-ip-ext)# [dynamic] ACTION tcp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [TCPOPT] [log] [sequence <1-65535>]

(config-acl-ip-ext)# [dynamic] ACTION udp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [log] [sequence <1-65535>]

(config-acl-ip-ext)# no sequence <1-65535>

(config-acl-ip-ext)# no [dynamic] ACTION ip SRCIP DSTIP [IPOPT] [log]

(config-acl-ip-ext)# no [dynamic] ACTION <0-255> SRCIP DSTIP [IPOPT] [log]

(config-acl-ip-ext)# no [dynamic] ACTION icmp SRCIP DSTIP [IPOPT] [ICMPOPT] [log]

(config-acl-ip-ext)# no [dynamic] ACTION tcp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [TCPOPT] [log]

(config-acl-ip-ext)# no [dynamic] ACTION udp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [log]

対象拡張IPアクセスリストにエントリーを追加する。または、既存エントリーを変更する。
no形式で実行した場合は指定したエントリーを削除する。

拡張IPアクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号順に行われる。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。

パラメーター

dynamic 条件に合致したパケットを双方向のフローとしてキャッシュに登録し、戻りパケットの自動許可とパフォーマンス向上をはかる。permitアクションに対してのみ有効。denyアクションでは無視される

ACTION 条件に合致した場合のアクション。以下から選択する

deny パケットを破棄する

permit パケットを許可する

ip すべてのIPパケットを対象とする場合（上位プロトコルタイプを気にしない場合）に指定する

<0-255> 特定の上位プロトコルタイプ（IPヘッダーのプロトコルタイプフィールドの値）を持つパケットだけを対象とする場合に指定する。プロトコルタイプは10進数で指定する

icmp ICMPパケットだけを対象とする場合に指定する。icmpを指定した場合は、ICMPOPTでICMP固有の条件を指定することができる（指定しなくてもよい）

tcp TCPパケットだけを対象とする場合に指定する。tcpを指定した場合は、始点・終点ポート番号とTCP固有の条件を指定することができる（指定しなくてもよい）

udp UDPパケットだけを対象とする場合に指定する。udpを指定した場合は、始点・終点ポート番号を指定することができる（指定しなくてもよい）

SRCIP IPアドレス（通常始点IPアドレス）。次のいずれかの形式で指定する

host A.B.C.D IPアドレス

A.B.C.D/M IPアドレスとマスク長。マスク長Mは、対象アドレスとA.B.C.Dの先頭何ビットを比較するかを指定する

address-range IPRANGE IPアドレス範囲。「192.168.10.100-192.168.10.128」のように先頭アドレスと末尾アドレスをハイフン（-）でつないだ形式で指定する

any すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義

SRCPORT 始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は次のいずれかの形式で指定する。数値の代わりに定義済みのキーワード（サービス名）で指定することもできる（別表参照）

eq <1-65535> 指定したポート番号と等しいときにマッチ。たとえば、「eq 80」はポート80とマッチする

lt <1-65535> 指定したポート番号より小さいときにマッチ。たとえば、「lt 1024」はポート0～1023にマッチする

gt <1-65535> 指定したポート番号より大きいときにマッチ。たとえば、「gt 32767」はポート32768～65535にマッチする

ne <1-65535> 指定したポート番号と等しくないときにマッチ。たとえば、「ne 22」はポート22以外とマッチする

range <1-65535> <1-65535> ポート番号が指定した範囲内のときにマッチ。たとえば、「range 8080 8088」は、ポート8080～8088にマッチする

DSTIP 終点IPアドレス。次のいずれかの形式で指定する

host A.B.C.D IPアドレス

A.B.C.D/M IPアドレスとマスク長。マスク長Mは、対象アドレスとA.B.C.Dの先頭何ビットを比較するかを指定する

address-range IPRANGE IPアドレス範囲。「192.168.10.100-192.168.10.128」のように先頭アドレスと末尾アドレスをハイフン（-）でつないだ形式で指定する

interface IFNAME インターフェース名。指定したインターフェースに設定されているIPアドレスとマッチする

any すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義

DSTPORT 終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。

IPOPT := ip-option {{dscp <0-63>} | {precedence <0-7> & tos <0-15>}}

IP固有の条件パラメーター

dscp <0-63> IPヘッダーのDSCPフィールド値（TOSオクテットの第1～6ビット）

precedence <0-7> IPヘッダーの優先度フィールド値（TOSオクテットの第1～3ビット）。数値の代わりに定義済みのキーワードで指定することもできる（別表参照）

tos <0-15> IPヘッダーのTOSフラグフィールド値（TOSオクテットの第4～7ビット）。数値の代わりに定義済みのキーワードで指定することもできる（別表参照）

ICMPOPT := icmp-option {type <0-255> & code <0-255> | message NAME}

ICMP固有の条件パラメーター

type <0-255> ICMPメッセージタイプ。上位プロトコルタイプとしてicmpを指定したときだけ有効。省略時はすべてのタイプが対象になる

code <0-255> ICMPメッセージコード。ICMPメッセージタイプ（type）を指定した場合のみ有効。省略時はすべてのコードが対象になる

message NAME ICMPメッセージ名（別表参照）

TCPOPT := flags ONFLAGS/CHECKFLAGS

TCPフラグのチェック条件。チェック対象のフラグをCHECKFLAGSに、チェック対象のうちオンであるべきフラグをONFLAGSに列挙する。フラグは、U、A、P、R、S、Fのフラグ名（大文字小文字を区別しない）を「SA」のように並べるか、「0x12」形式の16進数で指定する（別表参照）。たとえば、「SYN=on」かつ「ACK=off」のTCPパケットにマッチさせたいなら、チェック対象が「SA」、オンであるべきフラグが「S」なので、「flags S/SA」または「flags 0x02/0x12」と指定する

log 条件に合致したときログに記録を残したい場合に指定する（本オプションで記録されるログはnoticeレベルになる）

sequence <1-65535> シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。既存エントリーと同じ番号を指定した場合は、既存エントリーの内容を書き換える。エントリーの新規作成時に省略した場合は、リストの最後にエントリーが追加され、シーケンス番号は既存の最後尾エントリーの番号＋10になる（最初のエントリーは10になる）。本パラメーターはコマンド行の先頭、末尾のどちらにでも置ける

注意・補足事項

■ 拡張IPアクセスリストの末尾には「deny any any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。

■ no形式でエントリーを削除しても、他のエントリーのシーケンス番号は変更されない（削除されたエントリーのシーケンス番号が空きになる）。シーケンス番号を振りなおすにはaccess-list ip resequenceコマンドを使う。

■ TCPのダイナミックキャッシュではシーケンス番号のチェックが行われ、不正な番号を持つパケットは破棄する。このときログに記録する。

■ FTP、TFTP、RTSP、PNA、PPTPの通信は、アプリケーションパケットを監視して、動的に双方向のキャッシュを作成維持する。

■ パラメーターによっては、下記の定義済みキーワードを指定できる。

表 1：SRCPORT、DSTPORTの値として指定できるサービス名キーワード

キーワード ポート番号 説明備考

ftpdata 20 FTP data port（20/tcp） tcp指定時のみ

ftp 21 FTP control port（21/tcp） tcp指定時のみ

tftp 69 TFTP port（69/udp） udp指定時のみ

表 2：precedenceの値として指定できるキーワード

キーワード 対応する値 説明

routine 0 Routine (000)

priority 1 Priority (001)

immediate 2 Immediate (010)

flash 3 Flash (011)

flash-override 4 Flash Override (100)

critical 5 CRITIC/ECP (101)

internet 6 Internetwork Control (110)

network 7 Network Control (111)

表 3：tcの値として指定できるキーワード

キーワード 対応する値 説明

normal 0 normal service (0000)

min-monetary-cost 1 minimize monetary cost (0001)

max-reliability 2 maximize reliability (0010)

max-throughput 4 maximize throughput (0100)

min-delay 8 minimize delay (1000)

表 4：messageの値として指定できるICMPメッセージ名キーワード

キーワード タイプ番号 コード番号 説明

echo-reply 0 0 Echo Reply

unreachable 3 すべて Destination Unreachable

net-unreachable 3 0 Destination Unreachable / Net Unreachable

host-unreachable 3 1 Destination Unreachable / Host Unreachable

protocol-unreachable 3 2 Destination Unreachable / Protocol Unreachable

port-unreachable 3 3 Destination Unreachable / Port Unreachable

source-route-failed 3 5 Destination Unreachable / Source Route Failed

network-unknown 3 6 Destination Unreachable / Destination Network Unknown

host-unknown 3 7 Destination Unreachable / Destination Host Unknown

host-isolated 3 8 Destination Unreachable / Source Host Isolated

dod-net-prohibited 3 9 Destination Unreachable / Communication with Destination Network is Administratively Prohibited

dod-host-prohibited 3 10 Destination Unreachable / Communication with Destination Host is Administratively Prohibited

net-tos-unreachable 3 11 Destination Unreachable / Destination Network Unreachable for Type of Service

host-tos-unreachable 3 12 Destination Unreachable / Destination Host Unreachable for Type of Service

administratively-prohibited 3 13 Destination Unreachable / Communication Administratively Prohibited

host-precedence-unreachable 3 14 Destination Unreachable / Host Precedence Violation

precedence-unreachable 3 15 Destination Unreachable / Precedence cutoff in effect

source-quench 4 0 Source Quench

redirect 5 すべて Redirect

net-redirect 5 0 Redirect / Redirect Datagram for the Network (or subnet)

host-redirect 5 1 Redirect / Redirect Datagram for the Host

host-tos-redirect 5 3 Redirect / Redirect Datagram for the Type of Service and Host

echo 8 0 Echo

router-advertisement 9 0 Normal router advertisement

router-solicitation 10 0 Router Solicitation

time-exceeded 11 すべて Time Exceeded

ttl-exceeded 11 0 Time Exceeded / Time to Live exceeded in Transit

reassembly-timeout 11 1 Time Exceeded / Fragment Reassembly Time Exceeded

general-parameter-problem 12 すべて Parameter Problem

option-missing 12 1 Parameter Problem / Missing a Required Option

timestamp-request 13 0 Timestamp

timestamp-reply 14 0 Timestamp Reply

information-request 15 0 Information Request

information-reply 16 0 Information Reply

mask-request 17 0 Address Mask Request

mask-reply 18 0 Address Mask Reply

表 5：flagsの値として指定できるフラグ名

フラグ名 対応する16進数値 説明

U 0x20 URGフラグ

A 0x10 ACKフラグ

P 0x08 PSHフラグ

R 0x04 RSTフラグ

S 0x02 SYNフラグ

F 0x01 FINフラグ

コマンドツリー

access-list ip extended(list) (グローバルコンフィグモード) | +- access-list ip extended(rule entry)（拡張IPアクセスリストモード）

`dynamic`	条件に合致したパケットを双方向のフローとしてキャッシュに登録し、戻りパケットの自動許可とパフォーマンス向上をはかる。permitアクションに対してのみ有効。denyアクションでは無視される
`ACTION`	条件に合致した場合のアクション。以下から選択する
	`deny`	パケットを破棄する
	`permit`	パケットを許可する
`ip`	すべてのIPパケットを対象とする場合（上位プロトコルタイプを気にしない場合）に指定する
`<0-255>`	特定の上位プロトコルタイプ（IPヘッダーのプロトコルタイプフィールドの値）を持つパケットだけを対象とする場合に指定する。プロトコルタイプは10進数で指定する
`icmp`	ICMPパケットだけを対象とする場合に指定する。icmpを指定した場合は、ICMPOPTでICMP固有の条件を指定することができる（指定しなくてもよい）
`tcp`	TCPパケットだけを対象とする場合に指定する。tcpを指定した場合は、始点・終点ポート番号とTCP固有の条件を指定することができる（指定しなくてもよい）
`udp`	UDPパケットだけを対象とする場合に指定する。udpを指定した場合は、始点・終点ポート番号を指定することができる（指定しなくてもよい）
`SRCIP`	IPアドレス（通常始点IPアドレス）。次のいずれかの形式で指定する
	`host A.B.C.D`	IPアドレス
	`A.B.C.D/M`	IPアドレスとマスク長。マスク長Mは、対象アドレスとA.B.C.Dの先頭何ビットを比較するかを指定する
	`address-range IPRANGE`	IPアドレス範囲。「192.168.10.100-192.168.10.128」のように先頭アドレスと末尾アドレスをハイフン（-）でつないだ形式で指定する
	`any`	すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義
`SRCPORT`	始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は次のいずれかの形式で指定する。数値の代わりに定義済みのキーワード（サービス名）で指定することもできる（別表参照）
	`eq <1-65535>`	指定したポート番号と等しいときにマッチ。たとえば、「eq 80」はポート80とマッチする
	`lt <1-65535>`	指定したポート番号より小さいときにマッチ。たとえば、「lt 1024」はポート0～1023にマッチする
	`gt <1-65535>`	指定したポート番号より大きいときにマッチ。たとえば、「gt 32767」はポート32768～65535にマッチする
	`ne <1-65535>`	指定したポート番号と等しくないときにマッチ。たとえば、「ne 22」はポート22以外とマッチする
	`range <1-65535> <1-65535>`	ポート番号が指定した範囲内のときにマッチ。たとえば、「range 8080 8088」は、ポート8080～8088にマッチする
`DSTIP`	終点IPアドレス。次のいずれかの形式で指定する
	`host A.B.C.D`	IPアドレス
	`A.B.C.D/M`	IPアドレスとマスク長。マスク長Mは、対象アドレスとA.B.C.Dの先頭何ビットを比較するかを指定する
	`address-range IPRANGE`	IPアドレス範囲。「192.168.10.100-192.168.10.128」のように先頭アドレスと末尾アドレスをハイフン（-）でつないだ形式で指定する
	`interface IFNAME`	インターフェース名。指定したインターフェースに設定されているIPアドレスとマッチする
	`any`	すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義
`DSTPORT`	終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。
`IPOPT :=`	`ip-option {{dscp <0-63>} \| {precedence <0-7> & tos <0-15>}}`
	IP固有の条件パラメーター
	`dscp <0-63>`	IPヘッダーのDSCPフィールド値（TOSオクテットの第1～6ビット）
	`precedence <0-7>`	IPヘッダーの優先度フィールド値（TOSオクテットの第1～3ビット）。数値の代わりに定義済みのキーワードで指定することもできる（別表参照）
	`tos <0-15>`	IPヘッダーのTOSフラグフィールド値（TOSオクテットの第4～7ビット）。数値の代わりに定義済みのキーワードで指定することもできる（別表参照）
`ICMPOPT :=`	`icmp-option {type <0-255> & code <0-255> \| message NAME}`
	ICMP固有の条件パラメーター
	`type <0-255>`	ICMPメッセージタイプ。上位プロトコルタイプとしてicmpを指定したときだけ有効。省略時はすべてのタイプが対象になる
	`code <0-255>`	ICMPメッセージコード。ICMPメッセージタイプ（type）を指定した場合のみ有効。省略時はすべてのコードが対象になる
	`message NAME`	ICMPメッセージ名（別表参照）
`TCPOPT :=`	`flags ONFLAGS/CHECKFLAGS`
	TCPフラグのチェック条件。チェック対象のフラグをCHECKFLAGSに、チェック対象のうちオンであるべきフラグをONFLAGSに列挙する。フラグは、U、A、P、R、S、Fのフラグ名（大文字小文字を区別しない）を「SA」のように並べるか、「0x12」形式の16進数で指定する（別表参照）。たとえば、「SYN=on」かつ「ACK=off」のTCPパケットにマッチさせたいなら、チェック対象が「SA」、オンであるべきフラグが「S」なので、「flags S/SA」または「flags 0x02/0x12」と指定する
`log`	条件に合致したときログに記録を残したい場合に指定する（本オプションで記録されるログはnoticeレベルになる）
`sequence <1-65535>`	シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。既存エントリーと同じ番号を指定した場合は、既存エントリーの内容を書き換える。エントリーの新規作成時に省略した場合は、リストの最後にエントリーが追加され、シーケンス番号は既存の最後尾エントリーの番号＋10になる（最初のエントリーは10になる）。本パラメーターはコマンド行の先頭、末尾のどちらにでも置ける

キーワード	ポート番号	説明	備考
ftpdata	20	FTP data port（20/tcp）	tcp指定時のみ
ftp	21	FTP control port（21/tcp）	tcp指定時のみ
tftp	69	TFTP port（69/udp）	udp指定時のみ

キーワード	対応する値	説明
routine	0	Routine (000)
priority	1	Priority (001)
immediate	2	Immediate (010)
flash	3	Flash (011)
flash-override	4	Flash Override (100)
critical	5	CRITIC/ECP (101)
internet	6	Internetwork Control (110)
network	7	Network Control (111)

キーワード	タイプ番号	コード番号	説明
echo-reply	0	0	Echo Reply
unreachable	3	すべて	Destination Unreachable
net-unreachable	3	0	Destination Unreachable / Net Unreachable
host-unreachable	3	1	Destination Unreachable / Host Unreachable
protocol-unreachable	3	2	Destination Unreachable / Protocol Unreachable
port-unreachable	3	3	Destination Unreachable / Port Unreachable
source-route-failed	3	5	Destination Unreachable / Source Route Failed
network-unknown	3	6	Destination Unreachable / Destination Network Unknown
host-unknown	3	7	Destination Unreachable / Destination Host Unknown
host-isolated	3	8	Destination Unreachable / Source Host Isolated
dod-net-prohibited	3	9	Destination Unreachable / Communication with Destination Network is Administratively Prohibited
dod-host-prohibited	3	10	Destination Unreachable / Communication with Destination Host is Administratively Prohibited
net-tos-unreachable	3	11	Destination Unreachable / Destination Network Unreachable for Type of Service
host-tos-unreachable	3	12	Destination Unreachable / Destination Host Unreachable for Type of Service
administratively-prohibited	3	13	Destination Unreachable / Communication Administratively Prohibited
host-precedence-unreachable	3	14	Destination Unreachable / Host Precedence Violation
precedence-unreachable	3	15	Destination Unreachable / Precedence cutoff in effect
source-quench	4	0	Source Quench
redirect	5	すべて	Redirect
net-redirect	5	0	Redirect / Redirect Datagram for the Network (or subnet)
host-redirect	5	1	Redirect / Redirect Datagram for the Host
host-tos-redirect	5	3	Redirect / Redirect Datagram for the Type of Service and Host
echo	8	0	Echo
router-advertisement	9	0	Normal router advertisement
router-solicitation	10	0	Router Solicitation
time-exceeded	11	すべて	Time Exceeded
ttl-exceeded	11	0	Time Exceeded / Time to Live exceeded in Transit
reassembly-timeout	11	1	Time Exceeded / Fragment Reassembly Time Exceeded
general-parameter-problem	12	すべて	Parameter Problem
option-missing	12	1	Parameter Problem / Missing a Required Option
timestamp-request	13	0	Timestamp
timestamp-reply	14	0	Timestamp Reply
information-request	15	0	Information Request
information-reply	16	0	Information Reply
mask-request	17	0	Address Mask Request
mask-reply	18	0	Address Mask Reply

フラグ名	対応する16進数値	説明
U	0x20	URGフラグ
A	0x10	ACKフラグ
P	0x08	PSHフラグ
R	0x04	RSTフラグ
S	0x02	SYNフラグ
F	0x01	FINフラグ

access-list ip extended(rule entry)

パラメーター

注意・補足事項

コマンドツリー

関連コマンド