IPパケットフィルタの定義方法
IPパケットフィルタの定義内容を説明します。 詳細はコマンドリファレンスやネットボランチホームページなどの情報を参照してください。
[ IPパケット・フィルタのパターンを定義する ]
IPパケットフィルタで定義できるパケットは、IPパケットです。
IPパケットは、TCPパケット、UDPパケット、ICMPパケットなどに分類されます。
IPパケットフィルタを適切に利用するには、
それらのパケットやそれらを利用したサービスに関する知識を必要とします。
市販のセキュリティやIPパケットフィルタの説明書やネットボランチホームページなどの情報を参考にしてください。
設定項目 | 説明 |
---|---|
フィルタ番号 | フィルタ定義のための識別番号 1から100が使用可能 |
タイプ | 通過や拒絶などの指定 |
始点アドレス | 始点となるIPアドレス (ネットワーク指定可能) |
終点アドレス | 終点となるIPアドレス (ネットワーク指定可能) |
プロトコル | TCP,UDP,ICMPなどの指定 |
始点ポート | 始点となるポート番号(TCPとUDPのみ有効) |
終点ポート | 終点となるポート番号(TCPとUDPのみ有効) |
タイプの識別子 | 説明 | パケットの処理 | ログ |
---|---|---|---|
pass | 通信を許可する | 通す | × |
pass-log | ◎ | ||
pass-nolog | × | ||
reject | 通信を拒絶する | 破棄する | ◎ |
reject-log | ◎ | ||
reject-nolog | × | ||
restrict | 回線の接続状態に応じて 通信を制限する |
接続中は、通す 切断中は、破棄する | ○ |
restrict-log | ◎ | ||
restrict-nolog | × |
IPアドレス | 説明 |
---|---|
* | 任意のIPアドレス |
192.168.0.1 | ホスト・アドレス |
192.168.0.1/24 | 24ビットマスクのネットワーク・アドレス |
192.168.0.1 - 192.168.0.10 | 範囲指定(〜から〜まで) |
192.168.0.1 , 192.168.0.10 | 列挙指定 |
※名前による指定はできません。
プロトコルの識別子 | 説明 |
---|---|
* | 任意のプロトコル |
tcp | tcpパケット |
established | tcpコネクションが確立されたもののみ tcpパケット + ACKフラグ |
tcpfin | tcpパケット + FINフラグ |
tcprst | tcpパケット + RSTフラグ |
udp | udpパケット |
icmp | icmpパケット |
icmp-error | icmpパケット |
icmp-info | icmpパケット |
ah | IPsecのahパケット |
esp | IPsecのespパケット |
ポート番号の識別子 | 説明 |
---|---|
* | 任意のポート番号 |
0〜65536 | 10進数指定 |
英数字列 | ニーモニック指定 |
netbios_ns-netbios_ssn | 範囲指定(〜から〜まで) |
- 1023 | 範囲指定(〜以下) |
1024 - | 範囲指定(〜以上) |
www , ftp , nntp | 列挙指定(10個まで) |
[ IPパケットフィルタのログ機能 ]
IPパケットフィルタのログ機能を利用する場合には、
コンソールコマンドの設定が必要です。
有効にする場合は「syslog notice on」と設定してください。