4.40 TCP のコネクションレベルの syslog を出力するか否かの設定

[書式]

tcp log switch [src_addr[/mask] [dst_addr[/mask] [tcpflag[src_port_list [dst_port_list]]]]]
no tcp log [...]

[設定値及び初期値]

switch
- [設定値] :
  
  設定値説明
  
  on TCP コネクションの syslog を出力する
  
  off TCP コネクションの syslog を出力しない
- [初期値] : off
src_addr : 始点 IP アドレス
- [設定値] :
  - xxx.xxx.xxx.xxx は
    - 10 進数
    - *( ネットマスクの対応するビットが 8 ビットとも 0 と同じ )
  - 間に - を挟んだ 2 つの上項目、- を前につけた上項目、- を後ろにつけた上項目、これらは範囲を指定
  - *( すべての IP アドレス )
- [初期値] : -
dst_addr : 終点 IP アドレス
- [設定値] :
  - src_addr と同じ形式
  - 省略時は 1 個の * と同じ
- [初期値] : -
mask : IP アドレスのビットマスク。src_addr およびdst_addr がネットワークアドレスの場合にのみ指定可能。
- [設定値] :
  - "0xffffff00"のような16進表記
  - "/24"のようなビット数表記
  - 省略時は 0xffffffff と同じ
- [初期値] : -

設定値	説明
on	TCP コネクションの syslog を出力する
off	TCP コネクションの syslog を出力しない

tcpflag : フィルタリングする TCP パケットの種類

[設定値] :

プロトコルを表す 10 進数 (6 のみ )

プロトコルを表すニーモニック

ニーモニック	10 進数	説明
tcp	6	すべての TCP パケット
tcpsyn	-	SYN フラグの立っているパケット
tcpfin	-	FIN フラグの立っているパケット
tcprst	-	RST フラグの立っているパケット
established	-	ACK フラグの立っているパケット

tcpflag=flag_value/flag_mask、または tcpflag!=flag_value/flag_mask

flag_value, flag_maskは16進表記

参考フラグ値

0x0001	FIN
0x0002	SYN
0x0004	RST
0x0008	PSH
0x0010	ACK
0x0020	URG

*( すべての TCP パケット。ニーモニックに tcp を指定したときと同じ )
省略時は * と同じ

[初期値] : -

src_port_list : TCP のソースポート番号

[設定値] :

ポート番号、タイプを表す 10 進数

ポート番号を表すニーモニック

ニーモニック	ポート番号
ftp	20,21
ftpdata	20
telnet	23
smtp	25
domain	53
gopher	70
finger	79
www	80
pop3	110
sunrpc	111
ident	113
ntp	123
nntp	119
snmp	161
syslog	514
printer	515
talk	517
route	520
uucp	540
submission	587

間に - を挟んだ 2 つの上項目、- を前につけた上項目、- を後ろにつけた上項目、これらは範囲を指定する。
上項目のカンマで区切った並び (10 個以内 )
*( すべてのポート、タイプ )
省略時は * と同じ

[初期値] : -

dest_port_list : TCP のデスティネーションポート番号
- [設定値] : src_port_list と同じ形式
- [初期値] : -

[説明]

TCP の syslog を出力する。syslog debug on も設定されている必要がある。IPv4 のみに対応している。システムに負荷がかかるため、トラブルシュート等の一時的な使用にしか推奨されない。

[設定例]

tcp log on * * tcpsyn * 1723 (PPTP のポートに SYN が来ているか )
tcp log on * * tcpflag!=0x0000/0x0007 (FIN,RST,SYN の立った TCP パケット )
tcp log on ( すべての TCP パケット。tcp log on * * * * * と同じ )