[index]
CentreCOM FS808M V2 コマンドリファレンス 2.5.1
運用・管理 / アクセスフィルター
- アクセスフィルターの基本設定
- コマンド例
- デフォルトアクションの設定例
- エントリーの作成例
- 設定内容の確認
- マッチ判定
- フィルター適用のまとめ
アクセスフィルターとは本製品宛てへの通信に適用するセキュリティー機能です。本製品宛てのパケットを受信すると、受信パケットに関連付けられたフィルターを参照し、受信を許可するか、拒否するかの決定を行います。
本製品では、各種サービス(ICMP、TELNET、FTP、SNMP)にIPアドレスおよび受信ポートを組み合わせて関連付けたフィルタリングに対応しています。各組み合わせパターンをエントリーと呼び、システム全体で512件まで登録できます。
以下では、コマンドラインインターフェースによる設定方法を説明します。
アクセスフィルターの基本設定
アクセスフィルターのコマンド例をいくつか示します。本製品へのIPアドレスの付与については、「IP」の章をご覧ください。
■ 管理用端末(192.168.10.100)からのアクセスを除き、本製品(192.168.10.1)宛てへのすべてのアクセスを拒否するよう設定します。
- ENABLE ACCESS FILTERコマンドでアクセスフィルター機能を有効にします。ここでは、あらゆるプロトコル・サービスを含むグローバルフィルターを設定します。
ENABLE ACCESS FILTER=GLOBAL
- 次に、SET ACCESS FILTERコマンドで、デフォルトのアクション(処理)ではパケットを破棄するよう設定します。
SET ACCESS FILTER=GLOBAL DEFAULT=DISCARD
- エントリーを作成します。ADD ACCESS FILTERコマンドで、管理用端末(ポート:8、IPアドレス:192.168.10.100)からのすべてのパケットを許可するエントリーを作成します。
ここで、MASKに指定するのはこのIPアドレスのサブネットマスクではなく、受信パケットの送信元IPアドレスをマスクするのに指定するものです(マスクされた送信元IPアドレスと指定したIPADDRESSがマッチするとフィルタリングを行います)。
ADD ACCESS FILTER=GLOBAL IPADDRESS=192.168.10.100 MASK=255.255.255.255 ACTION=PASS PORT=8
以上で設定は終わりです。
Note - アクセスフィルター機能はデフォルトで無効になっています。
■ エントリーを削除するには、DELETE ACCESS FILTER ENTRYコマンドを使います。
DELETE ACCESS FILTER=TELNET ENTRY=1
Note - エントリー番号は、SHOW ACCESS FILTERコマンドで確認してから指定してください。
■ エントリーの設定を変更するには、SET ACCESS FILTER ENTRYコマンドを使います。
SET ACCESS FILTER=TELNET ENTRY=1 IPADDRESS=192.168.1.2 MASK=255.255.255.255 ACTION=PASS PORT=1-7
Note - エントリー番号は、SHOW ACCESS FILTERコマンドで確認してから指定してください。
■ アクセスフィルター機能を無効にするには、DISABLE ACCESS FILTERコマンドを使います。
DISABLE ACCESS FILTER=ALL
コマンド例
上記基本設定の手順2と3にあたるコマンドについて、いくつか例を示します。
デフォルトアクションの設定例
■ デフォルトのアクションでは、すべてのサービス(SNMP、FTP、TELNET、ICMPのすべて)のパケットを破棄します。
SET ACCESS FILTER=ALL DEFAULT=DISCARD
Note - FILTERオプションのGLOBALはすべてのサービスを意味します。ALLを指定した場合、SNMP、FTP、TELNET、ICMP、GLOBALを指定したことと同じになります。
■ デフォルトのアクションでは、ICMP(PINGなど)のみ許可します。
SET ACCESS FILTER=ICMP DEFAULT=PASS
エントリーの作成例
■ 管理用端末(ポート:1、IPアドレス:192.168.10.100)からのICMP(PINGパケットなど)を許可します。
ADD ACCESS FILTER=ICMP IPADDRESS=192.168.10.100 MASK=255.255.255.255 ACTION=PASS PORT=1
■ ポート4配下の、IPアドレス:192.168.30.nからのICMP(PINGパケットなど)を拒否します。
ADD ACCESS FILTER=ICMP IPADDRESS=192.168.30.0 MASK=255.255.255.0 ACTION=DISCARD PORT=4
■ ポート5配下の、IPアドレス:192.168.50.nからのすべてのパケットを許可します。
ADD ACCESS FILTER=GLOBAL IPADDRESS=192.168.50.0 MASK=255.255.255.0 ACTION=PASS PORT=5
■ ポート6配下の、IPアドレス:192.168.70.nからのFTPとTelnetのパケットを許可します。
ADD ACCESS FILTER=FTP IPADDRESS=192.168.70.0 MASK=255.255.255.0 ACTION=PASS PORT=6
ADD ACCESS FILTER=TELNET IPADDRESS=192.168.70.0 MASK=255.255.255.0 ACTION=PASS PORT=6
Note - エントリーとして設定するサービスは、ENABLE ACCESS FILTERコマンドで有効にする必要があります。デフォルトでは無効になっています。
設定内容の確認
■ 各サービスの有効/無効を確認します。
■ Telnetサービスのエントリー内容を確認します。
SHOW ACCESS FILTER=TELNET
マッチ判定
受信パケットが複数のエントリーに一致した場合は、より限定された条件のエントリーの処理が適用されます(最長マッチ)。
■ Telnetサービスに対し、次のコマンドを実行したとします。
ENABLE ACCESS FILTER=TELNET
SET ACCESS FILTER=TELNET DEFAULT=DISCARD
ADD ACCESS FILTER=TELNET IPADDRESS=192.168.0.0 MASK=255.255.0.0 ACTION=PASS PORT=1
ADD ACCESS FILTER=TELNET IPADDRESS=192.168.1.0 MASK=255.255.255.0 ACTION=DISCARD PORT=1
表 1
| エントリー番号 |
ポート |
マスク |
IPアドレス |
処理 |
| (なし。Telnetサービスに対するデフォルト) |
なし |
0.0.0.0 |
0.0.0.0 |
DISCARD |
| 1 |
1 |
255.255.0.0 |
192.168.0.0 |
PASS |
| 2 |
1 |
255.255.255.0 |
192.168.1.0 |
DISCARD |
受信パケットの送信元IPアドレスが192.168.1.1であるとします。
このとき
<エントリー1> 192.168.1.1 AND 255.255.0.0 -> 192.168.0.0 (一致)
<エントリー2> 192.168.1.1 AND 255.255.255.0 -> 192.168.1.0 (一致)
となり、エントリー1とエントリー2の2つが一致します。
各エントリーのマスク長(マスクビット数)はエントリー2(24ビット) >エントリー1(16ビット)ですので、エントリー2の処理が適用されます。
したがって上記のTelnetフィルターグループは
「192.168.x.xは(192.168.1.xを除いて)許可」
「その他はすべて破棄」
という動作になります。
※マスク長:32 - 値が1である最下位ビット番号
フィルター適用のまとめ
フィルタリング対象パケットは
- 各サービス(Telnet、SNMPなど)に関連付けられたフィルター
1.1. 各ポートによるフィルター
1.2. PORT=ALLのフィルター
1.3. フィルターグループのデフォルト
- グローバルフィルター
の順でフィルタリングされます。
(C) 2014 アライドテレシスホールディングス株式会社
PN: 613-001851 Rev.A