[index] CentreCOM FS808M/FS816M コマンドリファレンス 1.0.1

アクセスフィルター/概要・基本設定

  - アクセスフィルターの基本設定
  - コマンド例
   - デフォルトアクションの設定例
   - エントリーの作成例
   - 設定内容の確認
  - マッチ判定
   - フィルター適用のまとめ

アクセスフィルターとは本製品宛への通信に適用するセキュリティー機能です。本製品宛のパケットを受信すると、受信パケットに関連付けられたフィルターを参照し、受信を許可するか、拒否するかの決定を行います。

本製品では、各種サービス（IP、TELNET、FTP、TFTP、SNMP）にIPアドレスおよび受信ポートを組み合わせて関連付けたフィルタリングに対応しています。各組み合わせパターンをエントリーと呼び、システム全体で512件まで登録できます。

アクセスフィルターの基本設定

アクセスフィルターのコマンド例をいくつか示します。本製品へのIPアドレスの付与については、「IP」をご覧ください。

■ 管理用端末（192.168.10.100）からのアクセスを除き、本製品（192.168.10.1）宛へのすべてのアクセスを拒否するよう設定します。

ENABLE ACCESS FILTERコマンドでアクセスフィルター機能を有効にします。ここでは、あらゆるプロトコル・サービスを含むグローバルフィルターを設定します。
次に、SET ACCESS FILTERコマンドで、デフォルトのアクション（処理）ではパケットを破棄するよう設定します。
エントリーを作成します。ADD ACCESS FILTERコマンドで、管理用端末（ポート：14、IPアドレス：192.168.10.100）からのすべてのパケットを許可するエントリーを作成します。
ここで、MASKに指定するのはこのIPアドレスのサブネットマスクではなく、このIPアドレスのどこまでをマスクするか指定するものです。
設定内容をファイルに保存し、起動スクリプトに指定します。
アクセスフィルター関連コマンドは、再起動後に反映されるため、RESTART REBOOTコマンドで再起動します。
Do restart system now ? (Y/N):Y

以上で設定は終わりです。

Note - アクセスフィルター機能はデフォルトで無効になっています。

コマンド例

上記基本設定の手順2と3にあたるコマンドについて、いくつか例を示します。

デフォルトアクションの設定例

■ デフォルトのアクションでは、すべてのサービス（SNMP、FTP、TELNET、TFTP、ICMP、GLOBALのすべて）のパケットを破棄します。

SET ACCESS FILTER=ALL DEFAULT=DISCARD ↓

Note - FILTERオプションのGLOBALはすべてのサービスを意味します。ALLを指定した場合、SNMP、FTP、TELNET、TFTP、ICMP、GLOBALを指定したことと同じになります。

■ デフォルトのアクションでは、ICMP（PINGなど）のみ許可します。

SET ACCESS FILTER=ICMP DEFAULT=PASS ↓

エントリーの作成例

■ 管理用端末（ポート：1、IPアドレス：192.168.10.100）からのICMP（PINGパケットなど）を許可します。

ADD ACCESS FILTER=ICMP IPADDRESS=192.168.10.100 MASK=255.255.255.255 ACTION=PASS PORT=1 ↓

■ ポート5配下の、IPアドレス：192.168.30.nからのICMP（PINGパケットなど）を拒否します。

ADD ACCESS FILTER=ICMP IPADDRESS=192.168.30.0 MASK=255.255.255.0 ACTION=DISCARD PORT=5 ↓

■ ポート7配下の、IPアドレス：192.168.50.nからのすべてのパケットを許可します。

ADD ACCESS FILTER=GLOBAL IPADDRESS=192.168.50.0 MASK=255.255.255.0 ACTION=PASS PORT=7 ↓

■ ポート9配下の、IPアドレス：192.168.70.nからのFTPとTelnetのパケットを許可します。

ADD ACCESS FILTER=FTP IPADDRESS=192.168.70.0 MASK=255.255.255.0 ACTION=PASS PORT=9 ↓

ADD ACCESS FILTER=TELNET IPADDRESS=192.168.70.0 MASK=255.255.255.0 ACTION=PASS PORT=9 ↓

Note - エントリーとして設定するサービスは、ENABLE ACCESS FILTERコマンドで有効にする必要があります。デフォルトでは無効になっています。

設定内容の確認

■ 各サービスの有効/無効を確認します。

SHOW ACCESS FILTER ↓

■ Telnetサービスのエントリー内容を確認します。

SHOW ACCESS FILTER=TELNET ↓

Note - アクセスフィルターコマンドを有効にするには、RESTART REBOOTコマンドで再起動が必要です。

マッチ判定

受信パケットが複数のエントリーに一致した場合は、より限定された条件のエントリーの処理が適用されます（最長マッチ）。

■ Telnetサービスに対し、次のコマンドを実行したとします。

ENABLE ACCESS FILTER=TELNET ↓

SET ACCESS FILTER=TELNET DEFAULT=DISCARD ↓

ADD ACCESS FILTER=TELNET IPADDRESS=192.168.0.0 MASK=255.255.0.0 ACTION=PASS PORT=1 ↓

ADD ACCESS FILTER=TELNET IPADDRESS=192.168.1.0 MASK=255.255.255.0 ACTION=DISCARD PORT=1 ↓

表 1

エントリー番号 ポート マスク IPアドレス 処理

（なし。Telnetサービスに対するデフォルト）なし 0.0.0.0 0.0.0.0 DISCARD

1 1 255.255.0.0 192.168.0.0 PASS

2 1 255.255.255.0 192.168.1.0 DISCARD

受信パケットの送信元IPアドレスが192.168.1.1であるとします。
このとき
<エントリー1> 192.168.1.1 AND 255.255.0.0 -> 192.168.0.0 （一致）
<エントリー2> 192.168.1.1 AND 255.255.255.0 -> 192.168.1.0 （一致）
となり、エントリー1とエントリー2の2つが一致します。

各エントリーのマスク長（マスクビット数）はエントリー2（24ビット）＞エントリー1（16ビット）ですので、エントリー2の処理が適用されます。

したがって上記のTelnetフィルターグループは
「192.168.x.xは（192.168.1.xを除いて）許可」
「その他はすべて破棄」
という動作になります。

※マスク長：32 - 値が1である最下位ビット番号

フィルター適用のまとめ

フィルタリング対象パケットは

各サービス（Telnet、SNMPなど）に関連付けられたフィルター
グローバルフィルター

の順でフィルタリングされます。

上記で一致した場合、さらなるマッチ判定は

各ポートによるフィルター
PORT=ALLのフィルター
フィルターグループのデフォルト

の順で判定されます。

PN: J613-M6983-03 Rev.B

エントリー番号	ポート	マスク	IPアドレス	処理
（なし。Telnetサービスに対するデフォルト）	なし	0.0.0.0	0.0.0.0	DISCARD
1	1	255.255.0.0	192.168.0.0	PASS
2	1	255.255.255.0	192.168.1.0	DISCARD