[index] SwitchBlade x3100シリーズコマンドリファレンス

CREATE ACCESSLIST

カテゴリー: スイッチング / ハードウェアパケットフィルター

CREATE ACCESSLIST=accesslistname [DEFAULTRULE={PERMIT|DENY}] [RULE={PERMIT|DENY}] [IPSOURCE={ipaddress|ANY}] [SOURCEMASK=mask] [IPDEST={ipaddress|ANY}] [DESTMASK=mask] [MACSOURCE={macaddress|ANY}] [MACDEST={macaddress|ANY}] [APPLICATION={DHCPSERVER|DHCPCLIENT|NETBIOS|FUM|TELNET|SSH|SNMP|FTP|TFTP}] [TCPPORTDEST={tcp-port-list|ANY}] [TCPPORTSOURCE={tcp-port|ANY}] [UDPPORTDEST={udp-port-list|ANY}] [UDPPORTSOURCE={udp-port|ANY}] [PROTOCOL={IPV4|IPV6|protocol-type|ANY}] [IPPROTOCOL={TCP|UDP|ICMP|IGMP|ipprotocol-type|ANY}] [INTERFACE={type:id-range|id-range|ifname-list}]

アクセスコントロールリスト（ACL）を作成する。ACLは受信パケットに対するルールが含まれており、ルールに適合するか否かでアクションを決めることができる。ルールはACL作成時またはACLとインターフェースの関連付けを行う際に決めることができる。ルールは条件に一致したパケットに対して許可または拒否することができる。ルールとアクションは、CREATE ACCESSLISTコマンド、ADD ACCESSLIST RULEコマンド、SET ACCESSLIST RULEコマンドのいずれかで指定できる。

ルールの番号は優先順になっており、ルール1から順にルール2、3...と続く。たとえば、ルール1でIPSOURCE 1.1.1.1を拒否（DENY）にし、ルール2で全てのパケットを許可した場合、1.1.1.1以外のパケットは許可される。ルール番号は、ルールを追加または削除した場合に変更できる。ACLには初期設定のルールが含まれており、全てのパケットを拒否する。たとえば、CREATE ACCESSLISTコマンドでルールを指定せずにACLを作成した場合は、全てのパケットをドロップする。

初期設定の拒否（DENY）ルールはリストの最後に含まれ、DEFAULTRULEパラメーターで削除、編集が行える

パラメーター

ACCESSLIST ACL名を指定する

accesslistname ACL名

DEFAULTRULE ACL内のルールに一致しないパケットに対するアクションを指定する

PERMIT|DENY 許可（PERMIT）、拒否（DENY）のどちらかを指定。初期設定はDENY

RULE 条件に合致した場合のアクションを指定する

PERMIT|DENY 許可（PERMIT）、拒否（DENY）のどちらかを指定。初期設定はDENY

IPSOURCE 始点IPアドレスを指定する

ipaddress|ANY IPアドレスまたはANY

SOURCEMASK 始点サブネットマスクを指定する

mask サブネットマスク

IPDEST 終点IPアドレスを指定する

ipaddress|ANY IPアドレスまたはANY

DESTMASK 終点サブネットマスクを指定する

mask サブネットマスク

MACSOURCE 送信元MACアドレスを指定する

macaddress|ANY MACアドレスまたはANY

MACDEST 終点MACアドレスを指定する

macaddress|ANY MACアドレスまたはANY

APPLICATION DHCPSERVER、DHCPCLIENT、NETBIOS、FUM、TELNET、SSH、SNMP、FTP、TFTPの中から対象とするアプリケーションを指定する

TCPPORTDEST 終点TCPポートを指定する

tcp-port-list|ANY TCPポートまたはANY

TCPPORTSOURCE 始点TCPポートを指定する

tcp-port|ANY TCPポートまたはANY

UDPPORTDEST 終点UDPポートを指定する

udp-port-list|ANY UDPポートまたはANY

UDPPORTSOURCE 始点UDPポートを指定する

udp-port|ANY UDPポートまたはANY

PROTOCOL IPV4、IPV6、protocol-type、ANYの中から対象とするプロトコルを指定する。ANYは全てのプロトコルが対象

IPPROTOCOL TCP、UDP、ICMP、IGMP、ipprotocol-type、ANYの中から対象とするIPプロトコルを指定する。ANYは全てのIPプロトコルが対象

INTERFACE インターフェースを指定する

type:id-range インターフェースタイプとID

id-range ID

ifname-list インターフェース名

使用例

officer SEC>> CREATE ACCESSLIST=stb_range RULE=PERMIT IPSOURCE=172.16.5.0 SOURCEMASK=255.255.255.240 ↓

`ACCESSLIST`	ACL名を指定する
	`accesslistname`	ACL名
`DEFAULTRULE`	ACL内のルールに一致しないパケットに対するアクションを指定する
	`PERMIT\|DENY`	許可（PERMIT）、拒否（DENY）のどちらかを指定。初期設定はDENY
`RULE`	条件に合致した場合のアクションを指定する
	`PERMIT\|DENY`	許可（PERMIT）、拒否（DENY）のどちらかを指定。初期設定はDENY
`IPSOURCE`	始点IPアドレスを指定する
	`ipaddress\|ANY`	IPアドレスまたはANY
`SOURCEMASK`	始点サブネットマスクを指定する
	`mask`	サブネットマスク
`IPDEST`	終点IPアドレスを指定する
	`ipaddress\|ANY`	IPアドレスまたはANY
`DESTMASK`	終点サブネットマスクを指定する
	`mask`	サブネットマスク
`MACSOURCE`	送信元MACアドレスを指定する
	`macaddress\|ANY`	MACアドレスまたはANY
`MACDEST`	終点MACアドレスを指定する
	`macaddress\|ANY`	MACアドレスまたはANY
`APPLICATION`	DHCPSERVER、DHCPCLIENT、NETBIOS、FUM、TELNET、SSH、SNMP、FTP、TFTPの中から対象とするアプリケーションを指定する
`TCPPORTDEST`	終点TCPポートを指定する
	`tcp-port-list\|ANY`	TCPポートまたはANY
`TCPPORTSOURCE`	始点TCPポートを指定する
	`tcp-port\|ANY`	TCPポートまたはANY
`UDPPORTDEST`	終点UDPポートを指定する
	`udp-port-list\|ANY`	UDPポートまたはANY
`UDPPORTSOURCE`	始点UDPポートを指定する
	`udp-port\|ANY`	UDPポートまたはANY
`PROTOCOL`	IPV4、IPV6、protocol-type、ANYの中から対象とするプロトコルを指定する。ANYは全てのプロトコルが対象
`IPPROTOCOL`	TCP、UDP、ICMP、IGMP、ipprotocol-type、ANYの中から対象とするIPプロトコルを指定する。ANYは全てのIPプロトコルが対象
`INTERFACE`	インターフェースを指定する
	`type:id-range`	インターフェースタイプとID
	`id-range`	ID
	`ifname-list`	インターフェース名

CREATE ACCESSLIST

パラメーター

使用例

関連コマンド