[index] CentreCOM VX811R コマンドリファレンス 1.0.00

ADD FIREWALL POLICY RULE

カテゴリー:ファイアウォール / フィルタールール


ADD FIREWALL POLICY=policy RULE=rule-id ACTION={ALLOW|DENY|NONAT} INTERFACE=interface PROTOCOL={protocol|ALL|TCP|UDP|ICMP} [IP=ipadd[-ipadd]] [PORT={ALL|port[-port]|port-name}] [GBLIP=ipadd] [GBLPORT={ALL|port[-port]|port-name}] [REMOTEIP=ipadd[-ipadd]] [SOURCEPORT={ALL|port[-port]|port-name}] [ICMPTYPE=icmptype] [ICMPCODE=icmpcode] [SESSIONTIMEOUT=minutes]

policy: ファイアウォールポリシー名(1〜15文字。英数字とアンダースコアを使用可能)
rule-id: ルール番号(1〜299)
interface: IPインターフェース名(eth0、ppp0など)
protocol: IPプロトコル番号(0〜255)
ipadd: IPアドレスまたはネットマスク
port: TCP/UDPポート番号(0〜65535)
port-name: サービス名
icmptype: ICMPメッセージ番号(0〜65535)
icmpcode: ICMPコード番号(0〜65535)
minutes: 時間(分)


ファイアウォールポリシーに独自ルールを追加する。

始点・終点IPアドレスやポート番号、プロトコル、曜日や時刻等にもとづき、PRIVATE・PUBLICインターフェース間のトラフィック制御(許可・拒否・NAT適用)が可能。ルールは番号の若い順に検索され、最初にマッチしたものが適用される。

なお、インターフェースNAT(ADD FIREWALL POLICY NATコマンド)でダイナミックENATの設定をしている場合は、本コマンドでスタティックENAT(ポート/プロトコル転送)の設定を追加することができる。また、インターフェースNATでスタティックNAT(一対一NAT)の設定をしている場合は、本コマンドでスタティックNAT対象アドレス宛パケットを通過させるよう設定しなくてはならない。



パラメーター

POLICY: ファイアウォールポリシー名

RULE: ルール番号

ACTION: アクション。ALLOW(通過)、DENY(破棄)、NONAT(NATをかけない)から選択する。NONATを指定した場合は、何らかの形でパケットの通過を許可することになるので注意。

INTERFACE: ルールを適用するIPインターフェース名。ファイアウォールポリシーの管理対象でないインターフェース(ポリシーに追加されていないもの)は指定できない。本パラメーターに(インターフェースNATの)スタティックNATのグローバル側インターフェース(GBLINTERFACE)を指定した場合は、GBLIPパラメーターの指定も必須

PROTOCOL: IPプロトコル。定義済みのプロトコル名かプロトコル番号で指定。TCP、UDPを指定したときは、PORTパラメーターも必須

IP: ローカル側IPアドレス。PUBLICインターフェースのルールでは終点アドレス、PRIVATEインターフェースのルールでは始点アドレスを指定する。ハイフン区切りで範囲指定も可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLIPパラメーターでグローバル側終点アドレスを指定し、IPパラメーターでプライベート側終点アドレスを指定する。

PORT: 終点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLPORTパラメーターでグローバル側の終点ポート番号を指定し、PORTパラメーターでプライベート側の終点ポート番号を指定する。

GBLIP: NAT使用時のグローバル側終点アドレス。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点アドレスはIPパラメーターで指定する。

GBLPORT: NAT使用時のグローバル側終点ポート番号またはサービス名。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点ポート番号はPORTパラメーターで指定する。

REMOTEIP: リモート側IPアドレス。PUBLICインターフェースのルールでは始点アドレス、PRIVATEインターフェースのルールでは終点アドレスを指定する。ハイフン区切りで範囲指定も可能。省略時はすべてのアドレスが対象になる

SOURCEPORT: 始点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象になる

ICMTYPE: ICMPメッセージ番号。PROTOCOL=ICMPの場合のみ有効

ECMPORT: ICMPコード番号。PROTOCOL=ICMPの場合のみ有効

SESSIONTIMEOUT: ルールで設定したセッションのタイムアウト値(分)。



表 1:定義済みのサービス名とTCP/UDPポート番号
サービス名
ポート番号
ECHO 7
DISCARD 9
FTP 21
TELNET 23
SMTP 25
TIME 37
DNS 53
BOOTPS 67
BOOTPC 68
TFTP 69
GOPHER 70
FINGER 79
WWW 80
HTTP 80
KERBEROS 88
RTELNET 107
POP2 109
POP3 110
SNMPTRAP 162
SNMP 161
BGP 179
RIP 520
L2TP 1701
VDOLIVE 7000
REALAUDIO 7070
REALVIDEO 7070

表 2:定義済みのICMPメッセージタイプ名一覧
メッセージタイプ名
タイプ番号
サブコード
説明
ECHORPLY 0 なし エコー応答(Echo Reply)
UNREACHABLE 3 あり 宛先到達不可能(Unreachable)
QUENCH 4 なし 送信抑制要求(Source Quench)
REDIRECT 5 あり 経路変更要求(Redirect)
ECHO 8 なし エコー要求(Echo Request)
ADVERTISEMENT 9 なし ルーター通知(Router Advertisement)
SOLICITATION 10 なし ルーター要請(Router Solicitation)
TIMEEXCEED 11 あり 時間超過(Time Exceeded)
PARAMETER 12 あり パラメーター異常(Parameter Problem)
TSTAMP 13 なし タイムスタンプ要求(Timestamp Request)
TSTAMPRPLY 14 なし タイムスタンプ応答(Timestamp Reply)
INFOREQ 15 なし 情報要求(Information Request)
INFOREP 16 なし 情報応答(Information Reply)
ADDRREQ 17 なし アドレスマスク要求
ADDRREP 18 なし アドレスマスク応答

表 3:定義済みのICMPコード名一覧
コード名
コード番号
説明
ANY   すべて
UNREACHABLE(Type=3)
NETUNREACH 0 ネットワーク到達不可能
HOSTUNREACH 1 ホスト到達不可能
PROTUNREACH 2 プロトコル到達不可能
PORTUNREACH 3 ポート到達不可能
FRAGMENT 4 フラグメント化不可能
SOURCEROUTE 5 始点経路制御失敗
NETUNKNOWN 6 宛先ネットワーク不明
HOSTUNKNOWN 7 宛先ホスト不明
HOSTISOLATED 8 始点ホスト隔離
NETCOMM 9 宛先ネットワークとの通信が禁止されている
HOSTCOMM 10 宛先ホストとの通信が禁止されている
NETTOS 11 指定のサービスタイプでは宛先ネットワークに到達不可能
HOSTTOS 12 指定のサービスタイプでは宛先ホストに到達不可能
FILTER 13 フィルタリングにより通信が禁止されている
HOSTPREC 14 ホスト優先度違反
PRECEDENT 15 優先度制限
REDIRECT(Type=5)
NETREDIRECT 0 ネットワーク経路変更要求
HOSTREDIRECT 1 ホスト経路変更要求
NETRTOS 2 指定サービスタイプのネットワーク経路変更要求
HOSTRTOS 3 指定サービスタイプのホスト経路変更要求
TIMEEXCEEDED(Type=11)
TTL 0 生存時間超過
FRAGREASSM 1 フラグメント再構成時間超過
PARAMETER(Type=12)
PTRPROBLEM 0 ポインターフィールドの値がエラーのあった箇所を示す
NOPTR 1 ポインターなし



LAN(vlan1)側からのMS-Networksパケット(終点ポート137〜139)を遮断する。
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=UDP PORT=137-139
ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=vlan1 PROT=TCP PORT=137-139

終点アドレスが200.100.10.10のものに限り、ppp0側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL IP=200.100.10.10

終点アドレスが200.100.10.5で終点ポートがTCP 80番のものに限り、ppp0側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP IP=200.100.10.5 PORT=80



関連コマンド

CREATE FIREWALL POLICY
DELETE FIREWALL POLICY RULE
SET FIREWALL POLICY RULE
SHOW FIREWALL POLICY



参考

RFC2865, Remote Authentication Dial In User Service (RADIUS)


Copyright (C) 2007 アライドテレシス株式会社

PN: 613-000415 Rev.B