[index] CentreCOM VX811R コマンドリファレンス 1.0.00

SET FIREWALL POLICY RULE

カテゴリー:ファイアウォール / フィルタールール


SET FIREWALL POLICY=policy RULE=rule-id [PROTOCOL={protocol|ALL|TCP|UDP|ICMP}] [IP=ipadd[-ipadd]] [PORT={ALL|port[-port]|port-name}] [GBLIP=ipadd] [GBLPORT={ALL|port[-port]|port-name}] [REMOTEIP=ipadd[-ipadd]] [SOURCEPORT={ALL|port[-port]|port-name}] [ICMPTYPE=icmptype] [ICMPCODE=icmpcode] [SESSIONTIMEOUT=minutes]

policy: ファイアウォールポリシー名(1〜15文字。英数字とアンダースコアを使用可能)
rule-id: ルール番号(1〜299)
protocol: IPプロトコル番号(0〜255)
ipadd: IPアドレスまたはネットマスク
port: TCP/UDPポート番号(0〜65535)
port-name: サービス名
minutes: 時間(分)
icmptype: ICMPメッセージ番号(0〜65535)
icmpcode: ICMPコード番号(0〜65535)


ファイアウォールルールの設定を変更する。



パラメーター

POLICY: ファイアウォールポリシー名

RULE: ルール番号

ACTION: アクション。ALLOW(通過)、DENY(破棄)、NONAT(NATをかけない)、NAT(ルールNATを適用)から選択する。NATを指定した場合は、NATTYPEパラメーターでNATの種類を指定する。ルールNATは、ADD FIREWALL POLICY NATコマンドで設定したインターフェースNATよりも優先的に適用される。NONAT、NATを指定した場合は、何らかの形でパケットの通過を許可することになるので注意。

INTERFACE: ルールを適用するIPインターフェース名。ファイアウォールポリシーの管理対象でないインターフェース(ポリシーに追加されていないもの)は指定できない。本パラメーターに(インターフェースNATの)スタティックNATのグローバル側インターフェース(GBLINTERFACE)を指定した場合は、GBLIPパラメーターの指定も必須

PROTOCOL: IPプロトコル。定義済みのプロトコル名かプロトコル番号で指定。TCP、UDPを指定したときは、PORTパラメーターも必須

IP: ローカル側IPアドレス。PUBLICインターフェースのルールでは終点アドレス、PRIVATEインターフェースのルールでは始点アドレスを指定する。ハイフン区切りで範囲指定も可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLIPパラメーターでグローバル側終点アドレスを指定し、IPパラメーターでプライベート側終点アドレスを指定する。

PORT: 終点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLPORTパラメーターでグローバル側の終点ポート番号を指定し、PORTパラメーターでプライベート側の終点ポート番号を指定する。

GBLIP: NAT使用時のグローバル側終点アドレス。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点アドレスはIPパラメーターで指定する。

GBLPORT: NAT使用時のグローバル側終点ポート番号またはサービス名。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点ポート番号はPORTパラメーターで指定する。

REMOTEIP: リモート側IPアドレス。PUBLICインターフェースのルールでは始点アドレス、PRIVATEインターフェースのルールでは終点アドレスを指定する。ハイフン区切りで範囲指定も可能。省略時はすべてのアドレスが対象になる

SOURCEPORT: 始点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象になる

ICMPTYPE: ICMPメッセージ番号。PROTOCOL=ICMPの場合のみ有効

ICMPCODE: ICMPコード番号。PROTOCOL=ICMPの場合のみ有効

SESSIONTIMEOUT: ルールで設定したセッションのタイムアウト値。



表 1:定義済みのICMPメッセージタイプ名一覧
メッセージタイプ名
タイプ番号
サブコード
説明
ECHORPLY 0 なし エコー応答(Echo Reply)
UNREACHABLE 3 あり 宛先到達不可能(Unreachable)
QUENCH 4 なし 送信抑制要求(Source Quench)
REDIRECT 5 あり 経路変更要求(Redirect)
ECHO 8 なし エコー要求(Echo Request)
ADVERTISEMENT 9 なし ルーター通知(Router Advertisement)
SOLICITATION 10 なし ルーター要請(Router Solicitation)
TIMEEXCEED 11 あり 時間超過(Time Exceeded)
PARAMETER 12 あり パラメーター異常(Parameter Problem)
TSTAMP 13 なし タイムスタンプ要求(Timestamp Request)
TSTAMPRPLY 14 なし タイムスタンプ応答(Timestamp Reply)
INFOREQ 15 なし 情報要求(Information Request)
INFOREP 16 なし 情報応答(Information Reply)
ADDRREQ 17 なし アドレスマスク要求
ADDRREP 18 なし アドレスマスク応答

表 2:定義済みのICMPコード名一覧
コード名
コード番号
説明
ANY   すべて
UNREACHABLE(Type=3)
NETUNREACH 0 ネットワーク到達不可能
HOSTUNREACH 1 ホスト到達不可能
PROTUNREACH 2 プロトコル到達不可能
PORTUNREACH 3 ポート到達不可能
FRAGMENT 4 フラグメント化不可能
SOURCEROUTE 5 始点経路制御失敗
NETUNKNOWN 6 宛先ネットワーク不明
HOSTUNKNOWN 7 宛先ホスト不明
HOSTISOLATED 8 始点ホスト隔離
NETCOMM 9 宛先ネットワークとの通信が禁止されている
HOSTCOMM 10 宛先ホストとの通信が禁止されている
NETTOS 11 指定のサービスタイプでは宛先ネットワークに到達不可能
HOSTTOS 12 指定のサービスタイプでは宛先ホストに到達不可能
FILTER 13 フィルタリングにより通信が禁止されている
HOSTPREC 14 ホスト優先度違反
PRECEDENT 15 優先度制限
REDIRECT(Type=5)
NETREDIRECT 0 ネットワーク経路変更要求
HOSTREDIRECT 1 ホスト経路変更要求
NETRTOS 2 指定サービスタイプのネットワーク経路変更要求
HOSTRTOS 3 指定サービスタイプのホスト経路変更要求
TIMEEXCEEDED(Type=11)
TTL 0 生存時間超過
FRAGREASSM 1 フラグメント再構成時間超過
PARAMETER(Type=12)
PTRPROBLEM 0 ポインターフィールドの値がエラーのあった箇所を示す
NOPTR 1 ポインターなし



関連コマンド

ADD FIREWALL POLICY RULE
DELETE FIREWALL POLICY RULE
SHOW FIREWALL POLICY




Copyright (C) 2007 アライドテレシス株式会社

PN: 613-000415 Rev.B