[index] CentreCOM VX811R コマンドリファレンス 1.0.00
カテゴリー:ファイアウォール / フィルタールール
ADD FIREWALL POLICY=policy RULE=rule-id ACTION={ALLOW|DENY|NONAT} INTERFACE=interface PROTOCOL={protocol|ALL|TCP|UDP|ICMP} [IP=ipadd[-ipadd]] [PORT={ALL|port[-port]|port-name}] [GBLIP=ipadd] [GBLPORT={ALL|port[-port]|port-name}] [REMOTEIP=ipadd[-ipadd]] [SOURCEPORT={ALL|port[-port]|port-name}] [ICMPTYPE=icmptype] [ICMPCODE=icmpcode] [SESSIONTIMEOUT=minutes]
policy: ファイアウォールポリシー名(1〜15文字。英数字とアンダースコアを使用可能)
rule-id: ルール番号(1〜299)
interface: IPインターフェース名(eth0、ppp0など)
protocol: IPプロトコル番号(0〜255)
ipadd: IPアドレスまたはネットマスク
port: TCP/UDPポート番号(0〜65535)
port-name: サービス名
icmptype: ICMPメッセージ番号(0〜65535)
icmpcode: ICMPコード番号(0〜65535)
minutes: 時間(分)
ファイアウォールポリシーに独自ルールを追加する。
始点・終点IPアドレスやポート番号、プロトコル、曜日や時刻等にもとづき、PRIVATE・PUBLICインターフェース間のトラフィック制御(許可・拒否・NAT適用)が可能。ルールは番号の若い順に検索され、最初にマッチしたものが適用される。
なお、インターフェースNAT(ADD FIREWALL POLICY NATコマンド)でダイナミックENATの設定をしている場合は、本コマンドでスタティックENAT(ポート/プロトコル転送)の設定を追加することができる。また、インターフェースNATでスタティックNAT(一対一NAT)の設定をしている場合は、本コマンドでスタティックNAT対象アドレス宛パケットを通過させるよう設定しなくてはならない。
| パラメーター |
POLICY: ファイアウォールポリシー名
RULE: ルール番号
ACTION: アクション。ALLOW(通過)、DENY(破棄)、NONAT(NATをかけない)から選択する。NONATを指定した場合は、何らかの形でパケットの通過を許可することになるので注意。
INTERFACE: ルールを適用するIPインターフェース名。ファイアウォールポリシーの管理対象でないインターフェース(ポリシーに追加されていないもの)は指定できない。本パラメーターに(インターフェースNATの)スタティックNATのグローバル側インターフェース(GBLINTERFACE)を指定した場合は、GBLIPパラメーターの指定も必須
PROTOCOL: IPプロトコル。定義済みのプロトコル名かプロトコル番号で指定。TCP、UDPを指定したときは、PORTパラメーターも必須
IP: ローカル側IPアドレス。PUBLICインターフェースのルールでは終点アドレス、PRIVATEインターフェースのルールでは始点アドレスを指定する。ハイフン区切りで範囲指定も可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLIPパラメーターでグローバル側終点アドレスを指定し、IPパラメーターでプライベート側終点アドレスを指定する。
PORT: 終点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLPORTパラメーターでグローバル側の終点ポート番号を指定し、PORTパラメーターでプライベート側の終点ポート番号を指定する。
GBLIP: NAT使用時のグローバル側終点アドレス。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点アドレスはIPパラメーターで指定する。
GBLPORT: NAT使用時のグローバル側終点ポート番号またはサービス名。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点ポート番号はPORTパラメーターで指定する。
REMOTEIP: リモート側IPアドレス。PUBLICインターフェースのルールでは始点アドレス、PRIVATEインターフェースのルールでは終点アドレスを指定する。ハイフン区切りで範囲指定も可能。省略時はすべてのアドレスが対象になる
SOURCEPORT: 始点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象になる
ICMTYPE: ICMPメッセージ番号。PROTOCOL=ICMPの場合のみ有効
ECMPORT: ICMPコード番号。PROTOCOL=ICMPの場合のみ有効
SESSIONTIMEOUT: ルールで設定したセッションのタイムアウト値(分)。
| ECHO | 7 |
| DISCARD | 9 |
| FTP | 21 |
| TELNET | 23 |
| SMTP | 25 |
| TIME | 37 |
| DNS | 53 |
| BOOTPS | 67 |
| BOOTPC | 68 |
| TFTP | 69 |
| GOPHER | 70 |
| FINGER | 79 |
| WWW | 80 |
| HTTP | 80 |
| KERBEROS | 88 |
| RTELNET | 107 |
| POP2 | 109 |
| POP3 | 110 |
| SNMPTRAP | 162 |
| SNMP | 161 |
| BGP | 179 |
| RIP | 520 |
| L2TP | 1701 |
| VDOLIVE | 7000 |
| REALAUDIO | 7070 |
| REALVIDEO | 7070 |
| ECHORPLY | 0 | なし | エコー応答(Echo Reply) |
| UNREACHABLE | 3 | あり | 宛先到達不可能(Unreachable) |
| QUENCH | 4 | なし | 送信抑制要求(Source Quench) |
| REDIRECT | 5 | あり | 経路変更要求(Redirect) |
| ECHO | 8 | なし | エコー要求(Echo Request) |
| ADVERTISEMENT | 9 | なし | ルーター通知(Router Advertisement) |
| SOLICITATION | 10 | なし | ルーター要請(Router Solicitation) |
| TIMEEXCEED | 11 | あり | 時間超過(Time Exceeded) |
| PARAMETER | 12 | あり | パラメーター異常(Parameter Problem) |
| TSTAMP | 13 | なし | タイムスタンプ要求(Timestamp Request) |
| TSTAMPRPLY | 14 | なし | タイムスタンプ応答(Timestamp Reply) |
| INFOREQ | 15 | なし | 情報要求(Information Request) |
| INFOREP | 16 | なし | 情報応答(Information Reply) |
| ADDRREQ | 17 | なし | アドレスマスク要求 |
| ADDRREP | 18 | なし | アドレスマスク応答 |
| ANY | すべて | |
| NETUNREACH | 0 | ネットワーク到達不可能 |
| HOSTUNREACH | 1 | ホスト到達不可能 |
| PROTUNREACH | 2 | プロトコル到達不可能 |
| PORTUNREACH | 3 | ポート到達不可能 |
| FRAGMENT | 4 | フラグメント化不可能 |
| SOURCEROUTE | 5 | 始点経路制御失敗 |
| NETUNKNOWN | 6 | 宛先ネットワーク不明 |
| HOSTUNKNOWN | 7 | 宛先ホスト不明 |
| HOSTISOLATED | 8 | 始点ホスト隔離 |
| NETCOMM | 9 | 宛先ネットワークとの通信が禁止されている |
| HOSTCOMM | 10 | 宛先ホストとの通信が禁止されている |
| NETTOS | 11 | 指定のサービスタイプでは宛先ネットワークに到達不可能 |
| HOSTTOS | 12 | 指定のサービスタイプでは宛先ホストに到達不可能 |
| FILTER | 13 | フィルタリングにより通信が禁止されている |
| HOSTPREC | 14 | ホスト優先度違反 |
| PRECEDENT | 15 | 優先度制限 |
| NETREDIRECT | 0 | ネットワーク経路変更要求 |
| HOSTREDIRECT | 1 | ホスト経路変更要求 |
| NETRTOS | 2 | 指定サービスタイプのネットワーク経路変更要求 |
| HOSTRTOS | 3 | 指定サービスタイプのホスト経路変更要求 |
| TTL | 0 | 生存時間超過 |
| FRAGREASSM | 1 | フラグメント再構成時間超過 |
| PTRPROBLEM | 0 | ポインターフィールドの値がエラーのあった箇所を示す |
| NOPTR | 1 | ポインターなし |
| 例 |
■ LAN(vlan1)側からのMS-Networksパケット(終点ポート137〜139)を遮断する。
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=UDP PORT=137-139■ 終点アドレスが200.100.10.10のものに限り、ppp0側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=vlan1 PROT=TCP PORT=137-139
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL IP=200.100.10.10■ 終点アドレスが200.100.10.5で終点ポートがTCP 80番のものに限り、ppp0側からのパケットを通過させる。
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP IP=200.100.10.5 PORT=80
| 関連コマンド |
CREATE FIREWALL POLICY
DELETE FIREWALL POLICY RULE
SET FIREWALL POLICY RULE
SHOW FIREWALL POLICY
| 参考 |
RFC2865, Remote Authentication Dial In User Service (RADIUS)
Copyright (C) 2007 アライドテレシス株式会社
PN: 613-000415 Rev.B