[index] CentreCOM 9600シリーズコマンドリファレンス 2.7

SET FIREWALL POLICY RULE

カテゴリー：ファイアウォール / フィルタールール
備考：フィーチャーライセンス AT-FL-02 が必要

SET FIREWALL POLICY=policy RULE=rule-id [PROTOCOL={protocol|ALL|GRE|OSPF|SA|TCP|UDP}] [IP=ipadd[-ipadd]] [PORT={ALL|port[-port]|port-name}] [GBLIP=ipadd] [GBLPORT={ALL|port[-port]|port-name}] [REMOTEIP=ipadd[-ipadd]] [SOURCEPORT={ALL|port[-port]|port-name}] [GBLREMOTEIP=ipadd[-ipadd]] [NATMASK=ipadd] [AFTER=time] [BEFORE=time] [DAYS=day-list]

policy: ファイアウォールポリシー名（1～15文字。英数字とアンダースコア（_）を使用可能）
rule-id: ルール番号（1～299）
protocol: IPプロトコル番号（0～255）
ipadd: IPアドレス
port: TCP/UDPポート番号（0～65535）
port-name: サービス名
time: 時刻（hh:mmの形式。hhは時（0～23）、mmは分（0～59））
day-list: 曜日リスト（MON、TUE、WED、THU、FRI、SAT、SUN、WEEKDAY、WEEKEND、ALLの組み合わせ。複数指定時はカンマで区切る）

ファイアウォールルールの設定を変更する。

パラメーター

POLICY: ファイアウォールポリシー名

RULE: ルール番号

PROTOCOL: IPプロトコル。定義済みのプロトコル名かプロトコル番号で指定。TCP、UDPを指定したときは、PORTパラメーターも必須

IP: ローカル側IPアドレス。PUBLICインターフェースのルールでは終点アドレス、PRIVATEインターフェースのルールでは始点アドレスを指定する。ハイフン区切りで範囲指定も可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLIPパラメーターでグローバル側終点アドレスを指定し、IPパラメーターでプライベート側終点アドレスを指定する。

PORT: 終点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLPORTパラメーターでグローバル側の終点ポート番号を指定し、PORTパラメーターでプライベート側の終点ポート番号を指定する。

GBLIP: NAT使用時のグローバル側終点アドレス。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点アドレスはIPパラメーターで指定する。

GBLPORT: NAT使用時のグローバル側終点ポート番号またはサービス名。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点ポート番号はPORTパラメーターで指定する。

REMOTEIP: リモート側IPアドレス。PUBLICインターフェースのルールでは始点アドレス、PRIVATEインターフェースのルールでは終点アドレスを指定する。ハイフン区切りで範囲指定も可能。省略時はすべてのアドレスが対象になる

SOURCEPORT: 始点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象になる

GBLREMOTEIP: リバースNAT、ダブルNAT使用時のリモート側IPアドレス。PUBLICインターフェースのNATルールでは、受信パケットの始点アドレスを指定する。PRIVATEインターフェースのNATルールでは、NAT変換後の終点IPアドレスを指定する。本パラメーターは、ACTIONがNATで、NATTYPEがREVERSEかDOUBLEのときだけ有効。

NATMASK: NAT時のマスク。ADD FIREWALL POLICY RULEコマンドのACTIONパラメーターにNATを指定し、NATTYPEパラメーターにDOUBLE、REVERSE、STANDARDのいずれかを指定したときのみ有効。

AFTER: 時刻を指定。ルールは同日中の指定した時刻以降にのみ有効。

BEFORE: 時刻を指定。ルールは同日中の指定した時刻以前にのみ有効。

DAYS: 曜日を指定。カンマ区切りで複数指定可能。ルールは指定した曜日にのみ有効となる。WEEKDAYは「MON,TUE,WED,THU,FRI」と同義。また、WEEKENDは「SAT,SUN」と同義。省略時はALL

備考・注意事項

「PROTOCOL=ALL」の意味は、アクション（ACTION）とICMP転送のオン・オフによって異なる。ICMP転送がオフのときは、アクションに関係なく「PROTOCOL=ALL」はICMPを含まない。ICMP転送がオンのとき、ALLOW、DENYアクションでは「PROTOCOL=ALL」にICMPを含まないが、NAT、NONATアクションではICMPを含む。ICMP転送のオン・オフは、ENABLE FIREWALL POLICYコマンド、DISABLE FIREWALL POLICYコマンドのICMP_FORWARDINGパラメーターで設定する。

ルールの設定にあたっては、ルール（ルール番号）が下記の順序になるようにすること。異なる順序で設定した場合、ルールが正しく機能しないことがあるので注意。

1. 許可・拒否ルール（ACTION=ALLOWとACTION=DENY）
2. アクセスリストを使用したルール
3. NAT・NONATルール（ACTION=NATとACTION=NONAT）

NAT用のIPアドレスとして、実インターフェースに割り当てられていないIPアドレスを指定した場合、本製品はNAT用IPアドレスへのARP Requestに自動的に応答する。

PN: J613-M6873-04 Rev.E