[index] CentreCOM ARX640S コマンドリファレンス 5.1.5

access-list ip extended(rule entry)

モード: 拡張IPアクセスリストモード
カテゴリー: ファイアウォール / IPフィルター


(config-acl-ip-ext)# [dynamic] ACTION ip SRCIP DSTIP [IPOPT] [log] [sequence <1-65535>]

(config-acl-ip-ext)# [dynamic] ACTION <0-255> SRCIP DSTIP [IPOPT] [log] [sequence <1-65535>]

(config-acl-ip-ext)# [dynamic] ACTION icmp SRCIP DSTIP [IPOPT] [ICMPOPT] [log] [sequence <1-65535>]

(config-acl-ip-ext)# [dynamic] ACTION tcp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [TCPOPT] [log] [sequence <1-65535>]

(config-acl-ip-ext)# [dynamic] ACTION udp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [log] [sequence <1-65535>]

(config-acl-ip-ext)# no sequence <1-65535>

(config-acl-ip-ext)# no [dynamic] ACTION ip SRCIP DSTIP [IPOPT] [log]

(config-acl-ip-ext)# no [dynamic] ACTION <0-255> SRCIP DSTIP [IPOPT] [log]

(config-acl-ip-ext)# no [dynamic] ACTION icmp SRCIP DSTIP [IPOPT] [ICMPOPT] [log]

(config-acl-ip-ext)# no [dynamic] ACTION tcp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [TCPOPT] [log]

(config-acl-ip-ext)# no [dynamic] ACTION udp SRCIP [SRCPORT] DSTIP [DSTPORT] [IPOPT] [log]


対象拡張IPアクセスリストにエントリーを追加する。または、既存エントリーを変更する。
no形式で実行した場合は指定したエントリーを削除する。

拡張IPアクセスリストは複数のエントリーから構成されるリストで、検索はシーケンス番号順に行われる。検索時には、最初にマッチしたエントリーで処理 (permitかdeny)が行われ、マッチした時点で検索は終了する。どのエントリーにもマッチしなかった場合はdenyとなる。


パラメーター

dynamic 条件に合致したパケットを双方向のフローとしてキャッシュに登録し、戻りパケットの自動許可とパフォーマンス向上をはかる。permitアクションに対してのみ有効。denyアクションでは無視される
ACTION 条件に合致した場合のアクション。以下から選択する
deny パケットを破棄する
permit パケットを許可する
ip すべてのIPパケットを対象とする場合(上位プロトコルタイプを気にしない場合)に指定する
<0-255> 特定の上位プロトコルタイプ(IPヘッダーのプロトコルタイプフィールドの値)を持つパケットだけを対象とする場合に指定する。プロトコルタイプは10進数で指定する
icmp ICMPパケットだけを対象とする場合に指定する。icmpを指定した場合は、ICMPOPTでICMP固有の条件を指定することができる(指定しなくてもよい)
tcp TCPパケットだけを対象とする場合に指定する。tcpを指定した場合は、始点・終点ポート番号とTCP固有の条件を指定することができる(指定しなくてもよい)
udp UDPパケットだけを対象とする場合に指定する。udpを指定した場合は、始点・終点ポート番号を指定することができる(指定しなくてもよい)
SRCIP IPアドレス(通常始点IPアドレス)。次のいずれかの形式で指定する
host A.B.C.D IPアドレス
A.B.C.D/M IPアドレスとマスク長。マスク長Mは、対象アドレスとA.B.C.Dの先頭何ビットを比較するかを指定する
address-range IPRANGE IPアドレス範囲。「192.168.10.100-192.168.10.128」のように先頭アドレスと末尾アドレスをハイフン(-)でつないだ形式で指定する
any すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義
SRCPORT 始点ポート番号。上位プロトコルタイプとしてtcpかudpを指定したときだけ有効。省略時はすべてのポートが対象。ポート番号は次のいずれかの形式で指定する。数値の代わりに定義済みのキーワード(サービス名)で指定することもできる(別表参照)
eq <1-65535> 指定したポート番号と等しいときにマッチ。たとえば、「eq 80」はポート80とマッチする
lt <1-65535> 指定したポート番号より小さいときにマッチ。たとえば、「lt 1024」はポート0〜1023にマッチする
gt <1-65535> 指定したポート番号より大きいときにマッチ。たとえば、「gt 32767」はポート32768〜65535にマッチする
ne <1-65535> 指定したポート番号と等しくないときにマッチ。たとえば、「ne 22」はポート22以外とマッチする
range <1-65535> <1-65535> ポート番号が指定した範囲内のときにマッチ。たとえば、「range 8080 8088」は、ポート8080〜8088にマッチする
DSTIP 終点IPアドレス。次のいずれかの形式で指定する
host A.B.C.D IPアドレス
A.B.C.D/M IPアドレスとマスク長。マスク長Mは、対象アドレスとA.B.C.Dの先頭何ビットを比較するかを指定する
address-range IPRANGE IPアドレス範囲。「192.168.10.100-192.168.10.128」のように先頭アドレスと末尾アドレスをハイフン(-)でつないだ形式で指定する
interface IFNAME インターフェース名。指定したインターフェースに設定されているIPアドレスとマッチする
any すべてのIPアドレスに合致させる場合に指定する。「0.0.0.0/0」と同義
DSTPORT 終点ポート番号。上位プロトコルタイプとしてtcpかudpを指定した場合のみ有効。省略時はすべてのポートが対象。指定方法はSRCPORTと同じ。
IPOPT := ip-option {{dscp <0-63>} | {precedence <0-7> & tos <0-15>}}
IP固有の条件パラメーター
dscp <0-63> IPヘッダーのDSCPフィールド値(TOSオクテットの第1〜6ビット)
precedence <0-7> IPヘッダーの優先度フィールド値(TOSオクテットの第1〜3ビット)。数値の代わりに定義済みのキーワードで指定することもできる(別表参照)
tos <0-15> IPヘッダーのTOSフラグフィールド値(TOSオクテットの第4〜7ビット)。数値の代わりに定義済みのキーワードで指定することもできる(別表参照)
ICMPOPT := icmp-option {type <0-255> & code <0-255> | message NAME}
ICMP固有の条件パラメーター
type <0-255> ICMPメッセージタイプ。上位プロトコルタイプとしてicmpを指定したときだけ有効。省略時はすべてのタイプが対象になる
code <0-255> ICMPメッセージコード。ICMPメッセージタイプ(type)を指定した場合のみ有効。省略時はすべてのコードが対象になる
message NAME ICMPメッセージ名(別表参照)
TCPOPT := flags ONFLAGS/CHECKFLAGS
TCPフラグのチェック条件。チェック対象のフラグをCHECKFLAGSに、チェック対象のうちオンであるべきフラグをONFLAGSに列挙する。フラグは、UAPRSFのフラグ名(大文字小文字を区別しない)を「SA」のように並べるか、「0x12」形式の16進数で指定する(別表参照)。たとえば、「SYN=on」かつ「ACK=off」のTCPパケットにマッチさせたいなら、チェック対象が「SA」、オンであるべきフラグが「S」なので、「flags S/SA」または「flags 0x02/0x12」と指定する
log 条件に合致したときログに記録を残したい場合に指定する(本オプションで記録されるログはnoticeレベルになる)
sequence <1-65535> シーケンス番号。対象アクセスリスト内におけるエントリーの位置を指定する。既存エントリーと同じ番号を指定した場合は、既存エントリーの内容を書き換える。エントリーの新規作成時に省略した場合は、リストの最後にエントリーが追加され、シーケンス番号は既存の最後尾エントリーの番号+10になる(最初のエントリーは10になる)。本パラメーターはコマンド行の先頭、末尾のどちらにでも置ける


注意・補足事項

■ 拡張IPアクセスリストの末尾には「deny any any」、すなわち、すべてをdenyする暗黙のエントリーが存在している。

■ no形式でエントリーを削除しても、他のエントリーのシーケンス番号は変更されない(削除されたエントリーのシーケンス番号が空きになる)。シーケンス番号を振りなおすにはaccess-list ip resequenceコマンドを使う。

■ TCPのダイナミックキャッシュではシーケンス番号のチェックが行われ、不正な番号を持つパケットは破棄する。このときログに記録する。

■ FTP、TFTP、RTSP、PNA、PPTPの通信は、アプリケーションパケットを監視して、動的に双方向のキャッシュを作成維持する。

■ パラメーターによっては、下記の定義済みキーワードを指定できる。

表 1:SRCPORT、DSTPORTの値として指定できるサービス名キーワード
キーワード
ポート番号
説明
備考
ftpdata 20 FTP data port(20/tcp) tcp指定時のみ
ftp 21 FTP control port(21/tcp) tcp指定時のみ
tftp 69 TFTP port(69/udp) udp指定時のみ


表 2:precedenceの値として指定できるキーワード
キーワード
対応する値
説明
routine 0 Routine (000)
priority 1 Priority (001)
immediate 2 Immediate (010)
flash 3 Flash (011)
flash-override 4 Flash Override (100)
critical 5 CRITIC/ECP (101)
internet 6 Internetwork Control (110)
network 7 Network Control (111)


表 3:tcの値として指定できるキーワード
キーワード
対応する値
説明
normal 0 normal service (0000)
min-monetary-cost 1 minimize monetary cost (0001)
max-reliability 2 maximize reliability (0010)
max-throughput 4 maximize throughput (0100)
min-delay 8 minimize delay (1000)


表 4:messageの値として指定できるICMPメッセージ名キーワード
キーワード
タイプ番号
コード番号
説明
echo-reply 0 0 Echo Reply
unreachable 3 すべて Destination Unreachable
net-unreachable 3 0 Destination Unreachable / Net Unreachable
host-unreachable 3 1 Destination Unreachable / Host Unreachable
protocol-unreachable 3 2 Destination Unreachable / Protocol Unreachable
port-unreachable 3 3 Destination Unreachable / Port Unreachable
source-route-failed 3 5 Destination Unreachable / Source Route Failed
network-unknown 3 6 Destination Unreachable / Destination Network Unknown
host-unknown 3 7 Destination Unreachable / Destination Host Unknown
host-isolated 3 8 Destination Unreachable / Source Host Isolated
dod-net-prohibited 3 9 Destination Unreachable / Communication with Destination Network is Administratively Prohibited
dod-host-prohibited 3 10 Destination Unreachable / Communication with Destination Host is Administratively Prohibited
net-tos-unreachable 3 11 Destination Unreachable / Destination Network Unreachable for Type of Service
host-tos-unreachable 3 12 Destination Unreachable / Destination Host Unreachable for Type of Service
administratively-prohibited 3 13 Destination Unreachable / Communication Administratively Prohibited
host-precedence-unreachable 3 14 Destination Unreachable / Host Precedence Violation
precedence-unreachable 3 15 Destination Unreachable / Precedence cutoff in effect
source-quench 4 0 Source Quench
redirect 5 すべて Redirect
net-redirect 5 0 Redirect / Redirect Datagram for the Network (or subnet)
host-redirect 5 1 Redirect / Redirect Datagram for the Host
host-tos-redirect 5 3 Redirect / Redirect Datagram for the Type of Service and Host
echo 8 0 Echo
router-advertisement 9 0 Normal router advertisement
router-solicitation 10 0 Router Solicitation
time-exceeded 11 すべて Time Exceeded
ttl-exceeded 11 0 Time Exceeded / Time to Live exceeded in Transit
reassembly-timeout 11 1 Time Exceeded / Fragment Reassembly Time Exceeded
general-parameter-problem 12 すべて Parameter Problem
option-missing 12 1 Parameter Problem / Missing a Required Option
timestamp-request 13 0 Timestamp
timestamp-reply 14 0 Timestamp Reply
information-request 15 0 Information Request
information-reply 16 0 Information Reply
mask-request 17 0 Address Mask Request
mask-reply 18 0 Address Mask Reply


表 5:flagsの値として指定できるフラグ名
フラグ名
対応する16進数値
説明
U 0x20 URGフラグ
A 0x10 ACKフラグ
P 0x08 PSHフラグ
R 0x04 RSTフラグ
S 0x02 SYNフラグ
F 0x01 FINフラグ


コマンドツリー

access-list ip extended(list) (グローバルコンフィグモード)
    |
    +- access-list ip extended(rule entry)(拡張IPアクセスリストモード)


関連コマンド

access-list ip resequence(グローバルコンフィグモード)
show access-list ip(特権EXECモード)



(C) 2011 - 2014 アライドテレシスホールディングス株式会社

PN: 613-001491 Rev.E