[index] CentreCOM VX811R コマンドリファレンス 1.0.00
カテゴリー:ファイアウォール / フィルタールール
SET FIREWALL POLICY=policy RULE=rule-id [PROTOCOL={protocol|ALL|TCP|UDP|ICMP}] [IP=ipadd[-ipadd]] [PORT={ALL|port[-port]|port-name}] [GBLIP=ipadd] [GBLPORT={ALL|port[-port]|port-name}] [REMOTEIP=ipadd[-ipadd]] [SOURCEPORT={ALL|port[-port]|port-name}] [ICMPTYPE=icmptype] [ICMPCODE=icmpcode] [SESSIONTIMEOUT=minutes]
policy: ファイアウォールポリシー名(1〜15文字。英数字とアンダースコアを使用可能)
rule-id: ルール番号(1〜299)
protocol: IPプロトコル番号(0〜255)
ipadd: IPアドレスまたはネットマスク
port: TCP/UDPポート番号(0〜65535)
port-name: サービス名
minutes: 時間(分)
icmptype: ICMPメッセージ番号(0〜65535)
icmpcode: ICMPコード番号(0〜65535)
ファイアウォールルールの設定を変更する。
| パラメーター |
POLICY: ファイアウォールポリシー名
RULE: ルール番号
ACTION: アクション。ALLOW(通過)、DENY(破棄)、NONAT(NATをかけない)、NAT(ルールNATを適用)から選択する。NATを指定した場合は、NATTYPEパラメーターでNATの種類を指定する。ルールNATは、ADD FIREWALL POLICY NATコマンドで設定したインターフェースNATよりも優先的に適用される。NONAT、NATを指定した場合は、何らかの形でパケットの通過を許可することになるので注意。
INTERFACE: ルールを適用するIPインターフェース名。ファイアウォールポリシーの管理対象でないインターフェース(ポリシーに追加されていないもの)は指定できない。本パラメーターに(インターフェースNATの)スタティックNATのグローバル側インターフェース(GBLINTERFACE)を指定した場合は、GBLIPパラメーターの指定も必須
PROTOCOL: IPプロトコル。定義済みのプロトコル名かプロトコル番号で指定。TCP、UDPを指定したときは、PORTパラメーターも必須
IP: ローカル側IPアドレス。PUBLICインターフェースのルールでは終点アドレス、PRIVATEインターフェースのルールでは始点アドレスを指定する。ハイフン区切りで範囲指定も可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLIPパラメーターでグローバル側終点アドレスを指定し、IPパラメーターでプライベート側終点アドレスを指定する。
PORT: 終点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PUBLICインターフェースにルールを設定する場合、同インターフェースがNATのグローバル側インターフェースであるなら、GBLPORTパラメーターでグローバル側の終点ポート番号を指定し、PORTパラメーターでプライベート側の終点ポート番号を指定する。
GBLIP: NAT使用時のグローバル側終点アドレス。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点アドレスはIPパラメーターで指定する。
GBLPORT: NAT使用時のグローバル側終点ポート番号またはサービス名。INTERFACEパラメーターにPUBLICインターフェースを指定し、かつ、PUBLICインターフェースがNATのグローバル側インターフェースである場合のみ有効。プライベート側終点ポート番号はPORTパラメーターで指定する。
REMOTEIP: リモート側IPアドレス。PUBLICインターフェースのルールでは始点アドレス、PRIVATEインターフェースのルールでは終点アドレスを指定する。ハイフン区切りで範囲指定も可能。省略時はすべてのアドレスが対象になる
SOURCEPORT: 始点ポート番号またはサービス名。ハイフン区切りで範囲指定が可能。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象になる
ICMPTYPE: ICMPメッセージ番号。PROTOCOL=ICMPの場合のみ有効
ICMPCODE: ICMPコード番号。PROTOCOL=ICMPの場合のみ有効
SESSIONTIMEOUT: ルールで設定したセッションのタイムアウト値。
| ECHORPLY | 0 | なし | エコー応答(Echo Reply) |
| UNREACHABLE | 3 | あり | 宛先到達不可能(Unreachable) |
| QUENCH | 4 | なし | 送信抑制要求(Source Quench) |
| REDIRECT | 5 | あり | 経路変更要求(Redirect) |
| ECHO | 8 | なし | エコー要求(Echo Request) |
| ADVERTISEMENT | 9 | なし | ルーター通知(Router Advertisement) |
| SOLICITATION | 10 | なし | ルーター要請(Router Solicitation) |
| TIMEEXCEED | 11 | あり | 時間超過(Time Exceeded) |
| PARAMETER | 12 | あり | パラメーター異常(Parameter Problem) |
| TSTAMP | 13 | なし | タイムスタンプ要求(Timestamp Request) |
| TSTAMPRPLY | 14 | なし | タイムスタンプ応答(Timestamp Reply) |
| INFOREQ | 15 | なし | 情報要求(Information Request) |
| INFOREP | 16 | なし | 情報応答(Information Reply) |
| ADDRREQ | 17 | なし | アドレスマスク要求 |
| ADDRREP | 18 | なし | アドレスマスク応答 |
| ANY | すべて | |
| NETUNREACH | 0 | ネットワーク到達不可能 |
| HOSTUNREACH | 1 | ホスト到達不可能 |
| PROTUNREACH | 2 | プロトコル到達不可能 |
| PORTUNREACH | 3 | ポート到達不可能 |
| FRAGMENT | 4 | フラグメント化不可能 |
| SOURCEROUTE | 5 | 始点経路制御失敗 |
| NETUNKNOWN | 6 | 宛先ネットワーク不明 |
| HOSTUNKNOWN | 7 | 宛先ホスト不明 |
| HOSTISOLATED | 8 | 始点ホスト隔離 |
| NETCOMM | 9 | 宛先ネットワークとの通信が禁止されている |
| HOSTCOMM | 10 | 宛先ホストとの通信が禁止されている |
| NETTOS | 11 | 指定のサービスタイプでは宛先ネットワークに到達不可能 |
| HOSTTOS | 12 | 指定のサービスタイプでは宛先ホストに到達不可能 |
| FILTER | 13 | フィルタリングにより通信が禁止されている |
| HOSTPREC | 14 | ホスト優先度違反 |
| PRECEDENT | 15 | 優先度制限 |
| NETREDIRECT | 0 | ネットワーク経路変更要求 |
| HOSTREDIRECT | 1 | ホスト経路変更要求 |
| NETRTOS | 2 | 指定サービスタイプのネットワーク経路変更要求 |
| HOSTRTOS | 3 | 指定サービスタイプのホスト経路変更要求 |
| TTL | 0 | 生存時間超過 |
| FRAGREASSM | 1 | フラグメント再構成時間超過 |
| PTRPROBLEM | 0 | ポインターフィールドの値がエラーのあった箇所を示す |
| NOPTR | 1 | ポインターなし |
| 関連コマンド |
ADD FIREWALL POLICY RULE
DELETE FIREWALL POLICY RULE
SHOW FIREWALL POLICY
Copyright (C) 2007 アライドテレシス株式会社
PN: 613-000415 Rev.B