[index] CentreCOM 9600シリーズ コマンドリファレンス 2.7
カテゴリー:ファイアウォール / フィルタールール
備考:フィーチャーライセンス AT-FL-02 が必要
ADD FIREWALL POLICY=policy RULE=rule-id ACTION={ALLOW|DENY|NAT|NONAT} INTERFACE=vlan-if PROTOCOL={protocol|ALL|GRE|OSPF|SA|TCP|UDP} [IP=ipadd[-ipadd]] [PORT={ALL|port[-port]|port-name}] [GBLIP=ipadd] [GBLPORT={ALL|port[-port]|port-name}] [REMOTEIP=ipadd[-ipadd]] [SOURCEPORT={ALL|port[-port]|port-name}] [GBLREMOTEIP=ipadd[-ipadd]] [LIST=list-name] [NATTYPE={DOUBLE|ENHANCED|REVERSE|STANDARD}] [NATMASK=ipadd] [AFTER=time] [BEFORE=time] [DAYS=day-list]
policy: ファイアウォールポリシー名(1〜15文字。英数字とアンダースコア(_)を使用可能)
rule-id: ルール番号(1〜299)
vlan-if: VLANインターフェース(VLAN-nameかVLANvidの形式。nameはVLAN名、vidはVLAN ID)またはPPPインターフェース
protocol: IPプロトコル番号(0〜255)
ipadd: IPアドレス
port: TCP/UDPポート番号(0〜65535)
port-name: サービス名
list-name: アクセスリスト名(1〜15文字。英数字とアンダースコア(_)を使用可能)
time: 時刻(hh:mmの形式。hhは時(0〜23)、mmは分(0〜59))
day-list: 曜日リスト(MON、TUE、WED、THU、FRI、SAT、SUN、WEEKDAY、WEEKEND、ALLの組み合わせ。複数指定時はカンマで区切る)
ファイアウォールポリシーに独自ルールを追加する。
始点・終点IPアドレスやポート番号、プロトコル、曜日や時刻等にもとづき、PRIVATE・PUBLICインターフェース間のトラフィック制御(許可・拒否・NAT適用)が可能。ルールは番号の小さい順に検索され、最初にマッチしたものが適用される。
ファイアウォールのNAT機能のうち、ルールNATの設定は本コマンドで行うことができる。ルールNATとインターフェースNATを併用している場合は、ルールNATが優先的に適用される。ただし、見通しが悪くなるので、通常はどちらか一方だけを使うほうがよい。また、ルールNATは設定が複雑なので、一般的な用途ではインターフェースNATを使うことをお勧めする。
なお、インターフェースNAT(ADD FIREWALL POLICY NATコマンド)でダイナミックENATの設定をしている場合は、本コマンドでスタティックENAT(ポート/プロトコル転送)の設定を追加することができる。また、インターフェースNATでスタティックNAT(一対一NAT)の設定をしている場合は、本コマンドでスタティックNAT対象アドレス宛パケットを通過させるよう設定しなくてはならない。
| パラメーター |
POLICY: ファイアウォールポリシー名
RULE: ルール番号
ACTION: アクション。ALLOW(通過)、DENY(破棄)、NONAT(NATをかけない)、NAT(ルールNATを適用)から選択する。NATを指定した場合は、NATTYPEパラメーターでNATの種類を指定する。ルールNATは、ADD FIREWALL POLICY NATコマンドで設定したインターフェースNATよりも優先的に適用される。NONAT、NATを指定した場合は、何らかの形でパケットの通過を許可することになるので注意。
INTERFACE: ルールを適用するIPインターフェース名。ファイアウォールポリシーの管理対象でないインターフェース(ポリシーに追加されていないもの)は指定できない。本パラメーターに(インターフェースNATの)スタティックNATのグローバル側インターフェース(GBLINTERFACE)を指定した場合は、GBLIPパラメーターの指定も必須
PROTOCOL: IPプロトコル。定義済みのプロトコル名かプロトコル番号で指定。TCP、UDPを指定したときは、PORTパラメーターも必須
IP: ローカル側IPアドレス。PUBLICインターフェースのルールでは終点アドレス、PRIVATEインターフェースのルールでは始点アドレスを指定する。ハイフン区切りで範囲指定も可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLIPパラメーターでグローバル側終点アドレスを指定し、IPパラメーターでプライベート側終点アドレスを指定する。
PORT: 終点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLPORTパラメーターでグローバル側の終点ポート番号を指定し、PORTパラメーターでプライベート側の終点ポート番号を指定する。
GBLIP: NAT使用時のグローバル側終点アドレス。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点アドレスはIPパラメーターで指定する。
GBLPORT: NAT使用時のグローバル側終点ポート番号またはサービス名。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点ポート番号はPORTパラメーターで指定する。
REMOTEIP: リモート側IPアドレス。PUBLICインターフェースのルールでは始点アドレス、PRIVATEインターフェースのルールでは終点アドレスを指定する。ハイフン区切りで範囲指定も可能。省略時はすべてのアドレスが対象になる
SOURCEPORT: 始点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象になる
GBLREMOTEIP: リバースNAT、ダブルNAT使用時のリモート側IPアドレス。PUBLICインターフェースのNATルールでは、受信パケットの始点アドレスを指定する。PRIVATEインターフェースのNATルールでは、NAT変換後の終点IPアドレスを指定する。本パラメーターは、ACTIONがNATで、NATTYPEがREVERSEかDOUBLEのときだけ有効。
LIST: アクセスリスト名を指定する。アクセスリストは、1つのポリシーに4つまで指定可能。IPアドレスリストは、PUBLICインターフェースのルールでは始点アドレスとして、PRIVATEインターフェースのルールでは終点アドレスとして解釈される。また、MACアドレスリストは始点MACアドレスとして解釈される。
NATTYPE: NATの種類。DOUBLE、ENHANCED、REVERSE、STANDARDがある。ACTIONパラメーターにNATを指定したときのみ有効。省略時はSTANDARD。
NATMASK: NAT時のマスク。ACTIONパラメーターにNATを指定し、NATTYPEパラメーターにDOUBLE、REVERSE、STANDARDのいずれかを指定したときのみ有効。
AFTER: 時刻を指定。ルールは同日中の指定した時刻以降にのみ有効。
BEFORE: 時刻を指定。ルールは同日中の指定した時刻以前にのみ有効。
DAYS: 曜日を指定。カンマ区切りで複数指定可能。ルールは指定した曜日にのみ有効となる。WEEKDAYは「MON,TUE,WED,THU,FRI」と同義。また、WEEKENDは「SAT,SUN」と同義。省略時はALL
| ECHO | 7 |
| DISCARD | 9 |
| FTP | 21 |
| TELNET | 23 |
| SMTP | 25 |
| TIME | 37 |
| DNS | 53 |
| BOOTPS | 67 |
| BOOTPC | 68 |
| TFTP | 69 |
| GOPHER | 70 |
| FINGER | 79 |
| WWW | 80 |
| HTTP | 80 |
| KERBEROS | 88 |
| RTELNET | 107 |
| POP2 | 109 |
| POP3 | 110 |
| SNMPTRAP | 162 |
| SNMP | 161 |
| BGP | 179 |
| RIP | 520 |
| VDOLIVE | 7000 |
| REALAUDIO | 7070 |
| REALVIDEO | 7070 |
| 例 |
■ VLAN in側からのMS-Networksパケット(終点ポート137〜139)を遮断する。
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan-in PROT=UDP PORT=137-139■ 終点アドレスが200.100.10.10のものに限り、VLAN out側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=vlan-in PROT=TCP PORT=137-139
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=vlan-out PROT=ALL IP=200.100.10.10■ 終点アドレスが200.100.10.5で終点ポートがTCP 80番のものに限り、VLAN out側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=vlan-out PROT=TCP IP=200.100.10.5 PORT=80■ アクセスリスト「myguest」に記述されているIPアドレスからのみ、VLAN out側からのアクセスを許可する
ADD FIREWALL POLICY=mynet RULE=1 ACTION=ALLOW INT=vlan-out PROTO=ALL LIST=myguest
| 備考・注意事項 |
「PROTOCOL=ALL」の意味は、アクション(ACTION)とICMP転送のオン・オフによって異なる。ICMP転送がオフのときは、アクションに関係なく「PROTOCOL=ALL」はICMPを含まない。ICMP転送がオンのとき、ALLOW、DENYアクションでは「PROTOCOL=ALL」にICMPを含まないが、NAT、NONATアクションではICMPを含む。ICMP転送のオン・オフは、ENABLE FIREWALL POLICYコマンド、DISABLE FIREWALL POLICYコマンドのICMP_FORWARDINGパラメーターで設定する。
ルールの設定にあたっては、ルール(ルール番号)が下記の順序になるようにすること。異なる順序で設定した場合、ルールが正しく機能しないことがあるので注意。
1. 許可・拒否ルール(ACTION=ALLOWとACTION=DENY)
2. アクセスリストを使用したルール
3. NAT・NONATルール(ACTION=NATとACTION=NONAT)
NAT用のIPアドレスとして、実インターフェースに割り当てられていないIPアドレスを指定した場合、本製品はNAT用IPアドレスへのARP Requestに自動的に応答する。
| 関連コマンド |
CREATE FIREWALL POLICY
DELETE FIREWALL POLICY RULE
SET FIREWALL POLICY RULE
SHOW FIREWALL POLICY
(C) 2000 - 2006 アライドテレシスホールディングス株式会社
PN: J613-M6873-04 Rev.E