![]](../bartail.jpg)
|
IPパケットフィルタの定義方法
IPパケットフィルタの定義内容を説明します。 詳細はコマンドリファレンスやネットボランチホームページなどの情報を参照してください。
[ IPパケット・フィルタのパターンを定義する ]
IPパケットフィルタで定義できるパケットは、IPパケットです。
IPパケットは、TCPパケット、UDPパケット、ICMPパケットなどに分類されます。
IPパケットフィルタを適切に利用するには、
それらのパケットやそれらを利用したサービスに関する知識を必要とします。
市販のセキュリティやIPパケットフィルタの説明書やネットボランチホームページなどの情報を参考にしてください。
| 設定項目 | 説明 |
|---|---|
| フィルタ番号 | フィルタ定義のための識別番号 1から100が使用可能 |
| タイプ | 通過や拒絶などの指定 |
| 始点アドレス | 始点となるIPアドレス (ネットワーク指定可能) |
| 終点アドレス | 終点となるIPアドレス (ネットワーク指定可能) |
| プロトコル | TCP,UDP,ICMPなどの指定 |
| 始点ポート | 始点となるポート番号(TCPとUDPのみ有効) |
| 終点ポート | 終点となるポート番号(TCPとUDPのみ有効) |
| タイプの識別子 | 説明 | パケットの処理 | ログ |
|---|---|---|---|
| pass | 通信を許可する | 通す | × |
| pass-log | ◎ | ||
| pass-nolog | × | ||
| reject | 通信を拒絶する | 破棄する | ◎ |
| reject-log | ◎ | ||
| reject-nolog | × | ||
| restrict | 回線の接続状態に応じて 通信を制限する |
接続中は、通す 切断中は、破棄する | ○ |
| restrict-log | ◎ | ||
| restrict-nolog | × |
| IPアドレス | 説明 |
|---|---|
| * | 任意のIPアドレス |
| 192.168.0.1 | ホスト・アドレス |
| 192.168.0.1/24 | 24ビットマスクのネットワーク・アドレス |
| 192.168.0.1 - 192.168.0.10 | 範囲指定(〜から〜まで) |
| 192.168.0.1 , 192.168.0.10 | 列挙指定 |
※名前による指定はできません。
| プロトコルの識別子 | 説明 |
|---|---|
| * | 任意のプロトコル |
| tcp | tcpパケット |
| established | tcpコネクションが確立されたもののみ tcpパケット + ACKフラグ |
| tcpfin | tcpパケット + FINフラグ |
| tcprst | tcpパケット + RSTフラグ |
| udp | udpパケット |
| icmp | icmpパケット |
| icmp-error | icmpパケット |
| icmp-info | icmpパケット |
| ah | IPsecのahパケット |
| esp | IPsecのespパケット |
| ポート番号の識別子 | 説明 |
|---|---|
| * | 任意のポート番号 |
| 0〜65536 | 10進数指定 |
| 英数字列 | ニーモニック指定 |
| netbios_ns-netbios_ssn | 範囲指定(〜から〜まで) |
| - 1023 | 範囲指定(〜以下) |
| 1024 - | 範囲指定(〜以上) |
| www , ftp , nntp | 列挙指定(10個まで) |
[ IPパケットフィルタのログ機能 ]
IPパケットフィルタのログ機能を利用する場合には、
コンソールコマンドの設定が必要です。
有効にする場合は「syslog notice on」と設定してください。