[index] CentreCOM 9600/8600シリーズ コマンドリファレンス 2.2
カテゴリー:ファイアウォール / フィルタールール
対象機種:8624(AT-FL-02が必要)、9606(AT-FL-02が必要)
ADD FIREWALL POLICY=policy RULE=rule-id ACTION={ALLOW|DENY|NONAT} INTERFACE=vlan-if PROTOCOL={protocol|ALL|GRE|OSPF|SA|TCP|UDP} [IP=ipadd[-ipadd]] [PORT={ALL|port[-port]|port-name}] [GBLIP=ipadd] [GBLPORT={ALL|port[-port]|port-name}] [REMOTEIP=ipadd[-ipadd]] [SOURCEPORT={ALL|port[-port]|port-name}] [LIST=list-name] [AFTER=time] [BEFORE=time] [DAYS=day-list]
policy: ファイアウォールポリシー名(1〜15文字。英数字とアンダースコア(_)を使用可能)
rule-id: ルール番号(1〜299)
vlan-if: VLANインターフェース(VLAN-nameかVLANvidの形式。nameはVLAN名、vidはVLAN ID)
protocol: IPプロトコル番号(0〜65535)
ipadd: IPアドレス
port: TCP/UDPポート番号(0〜65535)
port-name: サービス名
list-name: アクセスリスト名(1〜15文字。英数字とアンダースコア(_)を使用可能)
time: 時刻(hh:mmの形式。hhは時(0〜23)、mmは分(0〜59))
day-list: 曜日リスト(MON、TUE、WED、THU、FRI、SAT、SUN、WEEKDAY、WEEKEND、ALLの組み合わせ。複数指定時はカンマで区切る)
ファイアウォールポリシーに独自ルールを追加する。
始点・終点IPアドレスやポート番号、プロトコル、曜日や時刻等にもとづき、トラフィックの制御(許可・拒否)が可能。ルールは番号の小さい順に検索され、最初にマッチしたものが適用される。
ダイナミックENATの設定がされている場合は、本コマンドでスタティックENAT(ポート/プロトコル転送)の設定を追加することができる。また、スタティックNAT(一対一NAT)の設定がされている場合は、本コマンドでスタティックNAT対象アドレス宛パケットを通過させるよう設定しなくてはならない。
| パラメーター |
POLICY: ファイアウォールポリシー名
RULE: ルール番号
ACTION: アクション。ALLOW(通過)、DENY(破棄)、NONAT(NATをかけない)
INTERFACE: ルールを適用するIP(VLAN)インターフェース名。ファイアウォールポリシーの管理対象でないインターフェース(ポリシーに追加されていないもの)は指定できない。
PROTOCOL: IPプロトコル。定義済みのプロトコル名かプロトコル番号で指定。TCP、UDPを指定したときは、PORTパラメーターも必須
IP: ローカル側IPアドレス。PUBLICインターフェースのルールでは終点アドレス、PRIVATEインターフェースのルールでは始点アドレスを指定する。ハイフン区切りで範囲指定も可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLIPパラメーターでグローバル側終点アドレスを指定し、IPパラメーターでプライベート側終点アドレスを指定する。
PORT: 終点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLPORTパラメーターでグローバル側の終点ポート番号を指定し、PORTパラメーターでプライベート側の終点ポート番号を指定する。
GBLIP: NAT使用時のグローバル側終点アドレス。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点アドレスはIPパラメーターで指定する。
GBLPORT: NAT使用時のグローバル側終点ポート番号またはサービス名。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点ポート番号はPORTパラメーターで指定する。
REMOTEIP: リモート側IPアドレス。PUBLICインターフェースのルールでは始点アドレス、PRIVATEインターフェースのルールでは終点アドレスを指定する。ハイフン区切りで範囲指定も可能。省略時はすべてのアドレスが対象になる
SOURCEPORT: 始点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象になる
LIST: アクセスリスト名を指定する。アクセスリストは、1つのポリシーに4つまで指定可能。IPアドレスリストは、PUBLICインターフェースのルールでは始点アドレスとして、PRIVATEインターフェースのルールでは終点アドレスとして解釈される。また、MACアドレスリストは始点MACアドレスとして解釈される。
AFTER: 時刻を指定。ルールは同日中の指定した時刻以降にのみ有効。
BEFORE: 時刻を指定。ルールは同日中の指定した時刻以前にのみ有効。
DAYS: 曜日を指定。カンマ区切りで複数指定可能。ルールは指定した曜日にのみ有効となる。WEEKDAYは「MON,TUE,WED,THU,FRI」と同義。また、WEEKENDは「SAT,SUN」と同義。省略時はALL
| ECHO | 7 |
| DISCARD | 9 |
| FTP | 21 |
| TELNET | 23 |
| SMTP | 25 |
| TIME | 37 |
| DNS | 53 |
| BOOTPS | 67 |
| BOOTPC | 68 |
| TFTP | 69 |
| GOPHER | 70 |
| FINGER | 79 |
| WWW | 80 |
| HTTP | 80 |
| KERBEROS | 88 |
| RTELNET | 107 |
| POP2 | 109 |
| POP3 | 110 |
| SNMPTRAP | 162 |
| SNMP | 161 |
| BGP | 179 |
| RIP | 520 |
| VDOLIVE | 7000 |
| REALAUDIO | 7070 |
| REALVIDEO | 7070 |
| 例 |
■ VLAN in側からのMS-Networksパケット(終点ポート137〜139)を遮断する。
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan-in PROT=UDP PORT=137-139■ 終点アドレスが200.100.10.10のものに限り、VLAN out側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=vlan-in PROT=TCP PORT=137-139
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=vlan-out PROT=ALL IP=200.100.10.10■ 終点アドレスが200.100.10.5で終点ポートがTCP 80番のものに限り、VLAN out側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=vlan-out PROT=TCP IP=200.100.10.5 PORT=80■ アクセスリスト「myguest」に記述されているIPアドレスからのみ、VLAN out側からのアクセスを許可する
ADD FIREWALL POLICY=mynet RULE=1 ACTION=ALLOW INT=vlan-out PROTO=ALL LIST=myguest
| 関連コマンド |
CREATE FIREWALL POLICY
DELETE FIREWALL POLICY RULE
SET FIREWALL POLICY RULE
SHOW FIREWALL POLICY
Copyright (C) 2000-2002 アライドテレシス株式会社
PN: J613-M0522-00 Rev.C