[index] CentreCOM 8700SLシリーズコマンドリファレンス 2.9

ENABLE FIREWALL POLICY

カテゴリー：ファイアウォール / ファイアウォールポリシー
備考：フィーチャーライセンス AT-FL-02またはAT-FL-02-B が必要

ENABLE FIREWALL POLICY=policy [ACCOUNTING] [DEBUG={ALL|ARP|PACKET|PKT|PROCESS}] [FRAGMENT={UDP|ICMP|OTHER}] [ICMP_FORWARDING={ALL|PARAMETER|PING|SOURCEQUENCH|TIMEEXCEEDED|TIMESTAMP|UNREACHABLE}] [LOG={ALLOW|DENY|DENYDUMP|INAICMP|INALLOW|INAOTHER|INATCP|INAUDP|INDDICMP|INDDOTHER|INDDTCP|INDDUDP|INDDUMP|INDENY|INDICMP|INDOTHER|INDTCP|INDUDP|OUTAICMP|OUTALLOW|OUTAOTHER|OUTATCP|OUTAUDP|OUTDDICMP|OUTDDOTHER|OUTDDTCP|OUTDDUDP|OUTDDUMP|OUTDENY|OUTDICMP|OUTDOTHER|OUTDTCP|OUTDUDP}] [OPTIONS={ALL|RECORD_ROUTE|SECURITY|SOURCEROUTE|TIMESTAMP}] [PING]

policy: ファイアウォールポリシー名（1～15文字。英数字とアンダースコア（_）を使用可能）

ファイアウォールポリシーの各種オプション機能を有効にする。

ICMPメッセージの転送、デバッグオプション、アカウンティング機能、イベントログ機能、IPオプションの扱いなどの設定変更ができる。

パラメーター

POLICY: ファイアウォールポリシー名

ACCOUNTING: アカウンティング機能を有効にするときに指定する。アカウンティング情報はログにも出力される（ログレベルは3（INFO））。

DEBUG: 有効にするデバッグオプション。ARP（ARP Requestの情報表示）、PKT、PACKET（パケット先頭56バイトのダンプ表示）、PROCESS（パケット処理過程の表示）、ALL（すべて）から選択する。

FRAGMENT: 指定したプロトコルのフラグメント化パケットを透過するよう設定する。カンマ区切りで複数指定可能。デフォルトはすべて不透過。不透過の場合、再構成後のIPデータサイズ（L4パケットサイズ）が1660バイトを越えるか、フラグメントの数が8個を超えるパケットはファイアウォールで破棄される。透過の場合、再構成後サイズの制限はないが、フラグメントの数がSET FIREWALL MAXFRAGMENTSコマンドで設定した値（デフォルトは20個）を超えるパケットはファイアウォールで破棄される。

ICMP_FORWARDING: 転送するICMPメッセージタイプを指定する。カンマ区切りで複数指定可能。ALLを指定した場合は、すべてのICMPメッセージを転送する（セキュリティー的にはお勧めできない）。デフォルトでは、ICMPメッセージはいっさい転送しない。

LOG: ログに記録するファイアウォールイベントを指定する。カンマ区切りで複数指定可能。

OPTIONS: ここで指定したIPオプション付きのパケットを処理するよう設定する。カンマ区切りで複数指定が可能。デフォルトではIPオプション付きパケットはすべて破棄する。

PING: 自分自身に対するPingパケット（ICMP ECHO/ECHO REPLY）に応答するよう設定する。デフォルトはオン。

例

■ ICMPはPing（Echo/EchoReply）とUnreachableのみ通過させる。
ENABLE FIREWALL POLICY=mypolicy ICMP_FORWARDING=PING,UNREACH■ ファイアウォールでブロックされたパケットをログに記録するよう設定する
ENABLE FIREWALL POLICY=mypolicy LOG=DENY

備考・注意事項

DEBUGパラメーターは、トラブルシューティング時など、内部情報の確認が必要な場合を想定したものですので、ご使用に際しては弊社技術担当にご相談ください。

PN: J613-M0019-01 Rev.Q