YAMAHAルータで学ぶネットワーク構築術 > 静的フィルタリングの基本コマンド(その1)
当サイト概要学習環境の準備プライバシーポリシーリンクについてリンクの申込お問い合せ
◆スポンサードリンク

◆Amazon
◆静的フィルタリングの基本コマンド(その1)
◇スポンサードリンク

◆静的フィルタリングの基本コマンド(その1)

ここでは、静的フィルタリングを設定するコマンドを紹介してゆきます。


◆パケットのフィルタ設定

 IPパケットのフィルタは、次のコマンドで設定します。protocol に”*”を指定するか、TCP/UDPを含む複数のプロトコルを列挙している場合には、src_port_list と dest_port_listの指定は、パケットがTCPまたは、UDPである場合はポート番号がフィルタが比較され、その他のプロトコル(ICMPなど)の場合には、src_port_list と dest_port_list の指定は存在しないものとしてフィルタと比較されます。

# ip filter filter_num pass_reject src_addr[/mask] [dest_addr[/mask] [protocol [src_port_list[dest_port_list]]]]

【設定値及び初期値】

●filter_num
・ 静的フィルタ番号 (1..21474836)

●pass_reject

設定値 :
設定値 説明
pass 一致すれば通す。(ログに記録しない)
pass-log 一致すれば通す。(ログに記録する)
reject 一致すれば破棄する。(ログに記録しない)
reject-log 一致すれば破棄する。(ログに記録する)
※その他の設定値は、コマンドリファレンスを参照して下さい。

●src_addr
IP パケットの始点 IP アドレス

・xxx.xxx.xxx.xxx (xxx は十進数 )
・「* 」( ネットマスクの対応するビットが 8 ビットとも 0 と同じ。すべての IP アドレスに対応 )

●dest_addr
・IP パケットの終点 IP アドレス

・src_addr と同じ形式。省略時は 1 個の * と同じ。

●mask
IP アドレスのビットマスク (src_addr および dest_addr がネットワークアドレスの場合のみ指定可)

・xxx.xxx.xxx.xxx (xxx は十進数 )
・0x に続く十六進数
・マスクビット数
・省略時は 0xffffffff と同じ

●protocol
フィルタリングするパケットの種類

・プロトコルを表す十進数 (0..255)
・プロトコルを表すニーモニック

ニーモニック 10進数 説明
icmp 1 icmpパケット
tcp 6 tcpパケット
udp 17 udpパケット
※その他の設定値は、コマンドリファレンスを参照して下さい。

・上項目のカンマで区切った並び (5 個以内 )

・特殊指定
設定値 説明
icmp-error TYPE が 3、4、5、11、12、31、32 のいずれかであるICMPパケット
icmp-info TYPE が 0、8.10、13.18、30、33.36 のいずれかであるICMPパケット
tcpsyn SYN フラグの立っているtcpパケット
tcpfin FIN フラグの立っているtcpパケット
tcprst RST フラグの立っているtcpパケット
established ACKフラグの立っているtcp パケット内から外への接続は許可するが、外から内への接続は拒否する。
tcpflag=value/mask TCP フラグの値と mask の値の論理積 (AND) が、value に一致、または不一致であるTCP パケット。
value と mask は 0x に続く十六進数で 0x0000〜0xffff
tcpflag!=value/mask
* 全てのプロトコル
※省略時は、*と同じ。

●src_port_list
 protocolに、TCP(tcp/tcpsyn/tcpfin/tcprst/established/tcpflag)、UDP(udp) のいずれかが含まれる場合は、TCP/UDP のソースポート番号。protocolがICMP単独の場合には、ICMPタイプ。

・ポート番号、タイプを表す十進数
・ポート番号を表すニーモニック

ニーモニック ポート番号
ftp 20,21
ftpdata 20
telnet 23
smtp 25
domain 53
gopher 70
www 80
pop3 110
ident 113
ntp 123
snmp 161
syslog 514
※その他のニーモニックは、コマンドリファレンスを参照して下さい。

・上項目のカンマで区切った並び (10個以内)
・* ( すべてのポート、タイプ )
・省略時は * と同じ。

静的フィルタリングの限界」 ← 前項 | 次項 → 「静的フィルタリングの基本コマンド(その2)



Copyright(c)2012〜 YAMAHAルータで学ぶネットワーク構築術 All rights reserved.