[index] CentreCOM VX811R コマンドリファレンス 1.0.00
- 基本設定 - インターフェースと基本ルール - ICMPパケットの扱い - 本体インターフェース宛ての通信 - ルールの追加 - トラフィックを制限する - アクセスを許可する - インターフェースNAT - スタティックNAT - ダイナミックNAT - ダイナミックENAT - スタティックENAT - ルールの確認・修正・削除 - ファイアウォールルールの処理順序 - ファイアウォールの動作監視 - ログ - ファイアウォールセッションの確認 - その他設定
本製品には、IPトラフィックフローの開始・終了を認識し、これに応じて動的なパケットフィルタリングを行うステートフルインスペクション型のファイアウォールが搭載されています。ここでは、ファイアウォールの基本的な設定方法について説明します。
基本設定 |
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=mynet ↓
ADD FIREWALL POLICY=mynet INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=mynet INT=ppp0 TYPE=PUBLIC ↓
ENABLE FIREWALL POLICY=mynet LOG=DENY ↓
ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
インターフェースと基本ルール |
Note - 「その他」インターフェースに独自ルールを設定することはできません。
Note - 「その他」インターフェース配下から本体に対してTelnetが可能な点にご注意ください。
ルールの追加 |
Note - ルールを追加するときは、RULEパラメーターで指定するルール番号が重ならないようにしてください。また、ルールのチェックは番号の若い順に行われ、最初にマッチしたものが適用されるため、ルールの順序にも留意してください。
Note - ファイアウォールルールの設定ではコマンドラインが長くなりがちなので、適宜省略形を用いるようにしてください。以下の例でも省略形を使っています。
トラフィックを制限する |
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=TCP PORT=135 ↓
ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=vlan1 PROT=UDP PORT=135 ↓
ADD FIREWALL POLICY=mynet RULE=3 AC=DENY INT=vlan1 PROT=TCP PORT=137-139 ↓
ADD FIREWALL POLICY=mynet RULE=4 AC=DENY INT=vlan1 PROT=UDP PORT=137-139 ↓
ADD FIREWALL POLICY=mynet RULE=5 AC=DENY INT=vlan1 PROT=TCP PORT=445 ↓
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=ALL REMOTEIP=12.34.56.0-12.34.56.255 ↓
ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=ALL IP=192.168.10.3 ↓
ACTION | 内部から外部への転送を拒否するためDENYを指定します。 |
INTERFACE | 内部(PRIVATE)インターフェースを指定します。 |
PROTOCOL | 対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。 |
REMOTEIP | 終点IPアドレス。パケットの宛先となる外部ホストのIPアドレスです(範囲指定可)。省略時はすべての終点IPアドレスが対象となります。 |
PORT | 終点ポート番号。パケットの宛先となる外部ホストのポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。 |
IP | 始点IPアドレス。パケットの送信元となる内部ホストのIPアドレスです(範囲指定可)。省略時はすべての始点IPアドレスが対象となります。 |
SOURCEPORT | 始点ポート番号。パケットの送信元となる内部ホストのポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。 |
アクセスを許可する |
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL IP=4.4.4.2 ↓
Note - PROTOCOL=ALLはすべてのIPプロトコルの意味ですが、ICMPは含まれません。ICMPについては「PROTOCOL=ALL」を指定していたとしても、別途ICMPのルールを有効にしておかないとファイアウォールを通過できません。ICMP を転送したい場合は ADD FIREWALL POLICY RULE を参照して下さい。
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP IP=4.4.4.2 PORT=80 ↓
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL REMOTEIP=12.34.56.78 ↓
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL GBLIP=4.4.4.2 IP=192.168.1.2 ↓
Note - この設定が機能するためには、あらかじめスタティックNATの設定が必要です。この例では、次のような設定になります。また、下記のスタティックNATの設定だけでは、グローバル側からのパケットがファイアウォールの基本ルールで遮断されるため、前述のような許可ルールも必須です。スタティックNATの設定詳細については、「スタティックNAT」をご覧ください。
ADD FIREWALL POLICY=mynet NAT=STANDARD INT=vlan1 IP=192.168.1.2 GBLINT=ppp0 GBLIP=4.4.4.2 ↓
ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=4.4.4.2 GBLPORT=80 IP=192.168.1.2 PORT=80 ↓
ACTION | 外部から内部への転送を許可するためALLOWを指定します。 |
INTERFACE | 外部(PUBLIC)インターフェースを指定します。 |
PROTOCOL | 対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。 |
IP | 終点IPアドレス。パケットの宛先となる内部ホストのIPアドレスです(範囲指定可)。省略時はすべての終点IPアドレスが対象となります。 |
PORT | 終点ポート番号。パケットの宛先となる内部ホストのポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。 |
REMOTEIP | 始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです(範囲指定可)。省略時はすべての始点IPアドレスが対象となります。 |
SOURCEPORT | 始点ポート番号。パケットの送信元となる外部ホストのポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。 |
ACTION | 外部から内部への転送を許可するためALLOWを指定します。 |
INTERFACE | 外部(PUBLIC)インターフェースを指定します。 |
PROTOCOL | 対象となるプロトコルを指定します。TCP、UDPを指定した場合はGBLPORT、PORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。 |
IP | 転送後の終点IPアドレス。パケットの最終的な宛先となるプライベートアドレスで、内部ホストに実際に割り当てられているアドレスを示します。GBLIPで指定したグローバルアドレス(外から見た終点IPアドレス)に対応するアドレスを指定してください。 |
PORT | 転送後の終点ポート番号。パケットの最終的な宛先となるポート番号で、内部ホストの実際のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。GBLPORTで指定したグローバル側ポート番号(外から見た終点ポート)に対応するポート番号を指定してください。 |
GBLIP | 転送前の終点グローバルIPアドレス。外部から見た場合の終点IPアドレスです。NAT変換後のプライベートアドレス(最終的な宛先アドレス)はIPパラメーターで指定します。 |
GBLPORT | 転送前の終点グローバルポート番号。外部から見た場合の終点ポート番号です。NAT変換後のプライベートポート番号(最終的な宛先ポート)はPORTパラメーターで指定します。 |
REMOTEIP | 始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです(範囲指定可)。省略時はすべての始点IPアドレスが対象となります。 |
SOURCEPORT | 始点ポート番号。パケットの送信元となる外部ホストのポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。 |
インターフェースNAT |
ADD FIREWALL POLICY=net NAT=STANDARD INT=内IF GBLINT=外IF IP=内IP GBLIP=外IP ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=外IF IP=内IP GBLIP=外IP ↓
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan1 IP=192.168.10.5 GBLINT=ppp0 GBLIP=1.1.1.5 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=ALL GBLIP=1.1.1.5 IP=192.168.10.5 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.1.1.5 GBLPO=HTTP IP=192.168.10.5 PO=HTTP ↓
Note - これらのルールを設定しないと、ファイアウォールの基本ルールにより、1.1.1.5宛てのパケットがppp0インターフェースで破棄されてしまいます。
Note - ダイナミックNATは、他のNATに比べてメリットが少ないためあまり使われません。
ADD FIREWALL POLICY=net NAT=STANDARD INT=内IF GBLINT=外IF GBLIP=外IP範囲
ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan1 GBLINT=eth0 GBLIP=1.1.1.2-1.1.1.4 ↓
ADD IP ROUTE=1.1.1.2 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓
ADD IP ROUTE=1.1.1.3 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓
ADD IP ROUTE=1.1.1.4 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓
Note - この方法(「外IP」へのスタティック経路を登録する方法)は、グローバル側からの通信開始を前提とするスタティックNATのときには使えません。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=内IF GBLINT=外IF [GBLIP=外IP]
ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=内IF GBLINT=外IF ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=外IF PROT=プロトコル GBLIP=外IP GBLPORT=外ポート IP=内IP PORT=内ポート ↓
Note - スタティックENATの設定はADD FIREWALL POLICY RULEコマンドで行います。
Note - スタティックENAT単独では使用できません。必ずダイナミックENATと組み合わせて設定してください。
ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=80 IP=192.168.10.2 PORT=80 ↓
Note - グローバルIPアドレスが動的に割り当てられる場合は、GBLIPに0.0.0.0を指定します。
ADD FIRE POLI=mynet RU=2 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=25 IP=192.168.10.3 PORT=25 ↓
ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=80 IP=192.168.10.5 PORT=80 ↓
ADD FIRE POLI=mynet RU=2 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=8080 IP=192.168.10.10 PORT=80 ↓
http://1.2.3.4:8080/ ... (実際は192.168.10.10のWebサーバーにアクセスすることになる)
http://1.2.3.4/ ... (実際は192.168.10.5のWebサーバーにアクセスすることになる)
ACTION | 外部から内部への転送を許可するので常にALLOWとなります |
INTERFACE | 外部(PUBLIC)インターフェースを指定します |
PROTOCOL | 転送するプロトコルを指定します。通常はTCPかUDPです。その場合、GBLPORTとPORTの指定も必要です。また、プロトコル番号による指定も可能です。ただし、スタティックENATでは外部から内部にICMPを転送することはできません |
GBLIP | 転送前の終点IPアドレス。外部インターフェースに割り当てられたグローバルIPアドレスを指定します。IPCP(PPP)やDHCPなどで動的にアドレスを取得している場合は0.0.0.0を指定します |
GBLPORT | 転送前の終点ポート番号。PROTOCOLにTCPかUDPを指定した場合にのみ必要です |
IP | 転送後の終点IPアドレス。転送先ホストのプライベートIPアドレスです |
PORT | 転送後の終点ポート番号。転送先のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です |
REMOTEIP | 始点IPアドレス。外部の送信者のIPアドレスです(範囲指定可)。省略時はすべての始点IPアドレスが対象になります |
SOURCEPORT | 始点ポート番号。外部の送信者のポート番号です(範囲指定可)。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります |
ルールの確認・修正・削除 |
ファイアウォールルールの処理順序 |
ファイアウォールの動作監視 |
ログ |
ENABLE FIREWALL POLICY=mynet LOG=DENY ↓
ALLOW | 内外からのセッション/フロー開始を許可 |
DENY | 内外からのセッション/フロー開始を遮断 |
SHOW LOG MODULE=FIRE ↓
SHOW LOG TYPE=FIRE ↓
SHOW LOG MODULE=FIRE TAIL(最新の20メッセージを表示) ↓
SHOW LOG MODULE=FIRE TAIL=10(同10メッセージを表示) ↓
ファイアウォールセッションの確認 |
Manager > show firewall session Policy : net Current Sessions ------------------------------------------------------------------------------- 3612 UDP IP: 192.168.10.100:64499 Remote IP: 172.17.28.1:53 Gbl IP: 172.17.28.185:13842 Gbl Remote IP: 172.17.28.1:53 Start time ........................... 17:44:35 07-Mar-2002 Seconds to deletion .................. 264 158f UDP IP: 192.168.10.100:64500 Remote IP: 172.17.28.1:53 Gbl IP: 172.17.28.185:5519 Gbl Remote IP: 172.17.28.1:53 Start time ........................... 17:44:13 07-Mar-2002 Seconds to deletion .................. 246 7527 UDP IP: 192.168.10.100:64501 Remote IP: 172.17.28.1:53 Gbl IP: 172.17.28.185:29991 Gbl Remote IP: 172.17.28.1:53 Start time ........................... 17:41:11 07-Mar-2002 Seconds to deletion .................. 60 5e9e TCP IP: 192.168.10.100:65484 Remote IP: 172.17.28.103:22 Gbl IP: 172.17.28.185:24222 Gbl Remote IP: 172.17.28.103:22 TCP state ............................ closed Start time ........................... 17:35:17 07-Mar-2002 Seconds to deletion .................. 54 ------------------------------------------------------------------------------- |
Manager > show firewall session counter Policy : net Current Sessions ------------------------------------------------------------------------------- 43fa TCP IP: 192.168.10.100:65480 Remote IP: 172.17.22.10:80 Gbl IP: 172.17.28.185:17402 Gbl Remote IP: 172.17.22.10:80 Packets from private IP .............. 8 Octets from private IP ............... 558 Packets to private IP ................ 8 Octets to private IP ................. 6881 TCP state ............................ closed Start time ........................... 17:51:26 07-Mar-2002 Seconds to deletion .................. 300 c296 TCP IP: 192.168.10.100:65483 Remote IP: 172.17.24.1:23 Gbl IP: 172.17.28.185:49814 Gbl Remote IP: 172.17.24.1:23 Packets from private IP .............. 11 Octets from private IP ............... 555 Packets to private IP ................ 12 Octets to private IP ................. 554 TCP state ............................ timeWait Start time ........................... 17:49:33 07-Mar-2002 Seconds to deletion .................. 246 ea27 UDP IP: 192.168.10.100:64433 Remote IP: 172.17.28.1:53 Gbl IP: 172.17.28.185:59943 Gbl Remote IP: 172.17.28.1:53 Packets from private IP .............. 1 Octets from private IP ............... 75 Packets to private IP ................ 1 Octets to private IP ................. 149 Start time ........................... 17:50:05 07-Mar-2002 Seconds to deletion .................. 270 ------------------------------------------------------------------------------- |
DELETE FIREWALL SESSION=c296 ↓
その他設定 |
DISABLE FIREWALL POLICY=mynet PING ↓
Copyright (C) 2007 アライドテレシス株式会社
PN: 613-000415 Rev.B