[index] CentreCOM GS900M V2シリーズコマンドリファレンス 2.3.2

運用・管理/アクセスフィルター

  - アクセスフィルターの基本設定
  - コマンド例
   - デフォルトアクションの設定例
   - エントリーの作成例
   - 設定内容の確認
  - マッチ判定
   - フィルター適用のまとめ

アクセスフィルターとは本製品宛てへの通信に適用するセキュリティー機能です。本製品宛てのパケットを受信すると、受信パケットに関連付けられたフィルターを参照し、受信を許可するか、拒否するかの決定を行います。

本製品では、各種サービス（ICMP、TELNET、FTP、HTTP、SNMP）にIPアドレスおよび受信ポートを組み合わせて関連付けたフィルタリングに対応しています。各組み合わせパターンをエントリーと呼び、システム全体で512件まで登録できます。

以下では、コマンドラインインターフェースによる設定方法を説明します。なお、Web GUIでは「システム設定」-「アクセスフィルター」で設定できます。（詳細は「Web GUI」/「システム設定」をご覧ください。）

アクセスフィルターの基本設定

アクセスフィルターのコマンド例をいくつか示します。本製品へのIPアドレスの付与については、「IP」の章をご覧ください。

■ 管理用端末（192.168.10.100）からのアクセスを除き、本製品（192.168.10.1）宛てへのすべてのアクセスを拒否するよう設定します。

ENABLE ACCESS FILTERコマンドでアクセスフィルター機能を有効にします。ここでは、あらゆるプロトコル・サービスを含むグローバルフィルターを設定します。
次に、SET ACCESS FILTERコマンドで、デフォルトのアクション（処理）ではパケットを破棄するよう設定します。
エントリーを作成します。ADD ACCESS FILTERコマンドで、管理用端末（ポート：14、IPアドレス：192.168.10.100）からのすべてのパケットを許可するエントリーを作成します。
ここで、MASKに指定するのはこのIPアドレスのサブネットマスクではなく、受信パケットの送信元IPアドレスをマスクするのに指定するものです（マスクされた送信元IPアドレスと指定したIPADDRESSがマッチするとフィルタリングを行います）。

以上で設定は終わりです。

Note - アクセスフィルター機能はデフォルトで無効になっています。

■ エントリーを削除するには、DELETE ACCESS FILTER ENTRYコマンドを使います。

DELETE ACCESS FILTER=TELNET ENTRY=1 ↓

Note - エントリー番号は、SHOW ACCESS FILTERコマンドで確認してから指定してください。

■ エントリーの設定を変更するには、SET ACCESS FILTER ENTRYコマンドを使います。

SET ACCESS FILTER=TELNET ENTRY=1 IPADDRESS=192.168.1.2 MASK=255.255.255.255 ACTION=PASS PORT=1-7 ↓

Note - エントリー番号は、SHOW ACCESS FILTERコマンドで確認してから指定してください。

■ アクセスフィルター機能を無効にするには、DISABLE ACCESS FILTERコマンドを使います。

DISABLE ACCESS FILTER=ALL ↓

コマンド例

上記基本設定の手順2と3にあたるコマンドについて、いくつか例を示します。

デフォルトアクションの設定例

■ デフォルトのアクションでは、すべてのサービス（SNMP、FTP、TELNET、HTTP、ICMPのすべて）のパケットを破棄します。

SET ACCESS FILTER=ALL DEFAULT=DISCARD ↓

Note - FILTERオプションのGLOBALはすべてのサービスを意味します。ALLを指定した場合、SNMP、FTP、TELNET、HTTP、ICMP、GLOBALを指定したことと同じになります。

■ デフォルトのアクションでは、ICMP（PINGなど）のみ許可します。

SET ACCESS FILTER=ICMP DEFAULT=PASS ↓

エントリーの作成例

■ 管理用端末（ポート：1、IPアドレス：192.168.10.100）からのICMP（PINGパケットなど）を許可します。

ADD ACCESS FILTER=ICMP IPADDRESS=192.168.10.100 MASK=255.255.255.255 ACTION=PASS PORT=1 ↓

■ ポート4配下の、IPアドレス：192.168.30.nからのICMP（PINGパケットなど）を拒否します。

ADD ACCESS FILTER=ICMP IPADDRESS=192.168.30.0 MASK=255.255.255.0 ACTION=DISCARD PORT=4 ↓

■ ポート5配下の、IPアドレス：192.168.50.nからのすべてのパケットを許可します。

ADD ACCESS FILTER=GLOBAL IPADDRESS=192.168.50.0 MASK=255.255.255.0 ACTION=PASS PORT=5 ↓

■ ポート6配下の、IPアドレス：192.168.70.nからのFTPとTelnetのパケットを許可します。

ADD ACCESS FILTER=FTP IPADDRESS=192.168.70.0 MASK=255.255.255.0 ACTION=PASS PORT=6 ↓

ADD ACCESS FILTER=TELNET IPADDRESS=192.168.70.0 MASK=255.255.255.0 ACTION=PASS PORT=6 ↓

Note - エントリーとして設定するサービスは、ENABLE ACCESS FILTERコマンドで有効にする必要があります。デフォルトでは無効になっています。

設定内容の確認

■ 各サービスの有効/無効を確認します。

SHOW ACCESS FILTER ↓

■ Telnetサービスのエントリー内容を確認します。

SHOW ACCESS FILTER=TELNET ↓

マッチ判定

受信パケットが複数のエントリーに一致した場合は、より限定された条件のエントリーの処理が適用されます（最長マッチ）。

■ Telnetサービスに対し、次のコマンドを実行したとします。

ENABLE ACCESS FILTER=TELNET ↓

SET ACCESS FILTER=TELNET DEFAULT=DISCARD ↓

ADD ACCESS FILTER=TELNET IPADDRESS=192.168.0.0 MASK=255.255.0.0 ACTION=PASS PORT=1 ↓

ADD ACCESS FILTER=TELNET IPADDRESS=192.168.1.0 MASK=255.255.255.0 ACTION=DISCARD PORT=1 ↓

表 1

エントリー番号 ポート マスク IPアドレス 処理

（なし。Telnetサービスに対するデフォルト）なし 0.0.0.0 0.0.0.0 DISCARD

1 1 255.255.0.0 192.168.0.0 PASS

2 1 255.255.255.0 192.168.1.0 DISCARD

受信パケットの送信元IPアドレスが192.168.1.1であるとします。
このとき
<エントリー1> 192.168.1.1 AND 255.255.0.0 -> 192.168.0.0 （一致）
<エントリー2> 192.168.1.1 AND 255.255.255.0 -> 192.168.1.0 （一致）
となり、エントリー1とエントリー2の2つが一致します。

各エントリーのマスク長（マスクビット数）はエントリー2（24ビット）＞エントリー1（16ビット）ですので、エントリー2の処理が適用されます。

したがって上記のTelnetフィルターグループは
「192.168.x.xは（192.168.1.xを除いて）許可」
「その他はすべて破棄」
という動作になります。

※マスク長：32 - 値が1である最下位ビット番号

フィルター適用のまとめ

フィルタリング対象パケットは

各サービス（Telnet、SNMPなど）に関連付けられたフィルター
　1.1. 各ポートによるフィルター
　1.2. PORT=ALLのフィルター
　1.3. フィルターグループのデフォルト
グローバルフィルター

の順でフィルタリングされます。

PN: 613-001180 Rev.E

エントリー番号	ポート	マスク	IPアドレス	処理
（なし。Telnetサービスに対するデフォルト）	なし	0.0.0.0	0.0.0.0	DISCARD
1	1	255.255.0.0	192.168.0.0	PASS
2	1	255.255.255.0	192.168.1.0	DISCARD