目次

2 静的パケットフィルタの設定

静的パケットフィルタの設定については、以下のように定義します。

  • 送信元IPアドレス
  • 送信元ポート番号
  • 宛先IPアドレス
  • 宛先ポート番号
  • プロコトル

静的パケットフィルタを定義したら、フィルタを機器に適用します。

定義方法は2つ

  1. フィルタを直接機器に適用する方法
  2. フィルタセットを使用する方法

静的パケットの設定方法は以下になります。

1 静的パケットフィルタの設定コマンド

ip filter [フィルタ番号] [アクション] [送信元IP] [プロコトル] [送信元ポート] [宛先ポート]

一つ一つのパラーメータについて確認していきます。

パラメータ:フィルタ番号

1以上の数字を指定します。

パラメータ:アクション

通過または破棄を選択します。ログ記録の有無でさらに細かく分類することが可能です。

パラメータ値ログ記録パケットの処理
passなし通過
pass-log あり通過
pass-nologなし通過
rejectなし破棄
reject-logあり破棄
relegt-nologなし破棄
restrictなし回線接続=通過
回線切断=破棄
restrict-logあり回線接続=通過
回線切断=破棄
restrict-nologなし回線接続=通過 
回線切断=破棄

パラメータ:IP(送信元/宛先)

IPパラーメータは、パケットの送信元/送信先のIPアドレスを、ハイフン(-)、ワイルドカード(*)を使用して範囲を指定できます。

パラメータ値の例備考
192.168.1.1
192.168.1.*第4オクテットは任意の数字(1-254)
*全てのIPアドレス
192.168.1.1 – 192.168.1.10IPアドレスの範囲を指定
192.168.1.1/28サブネットマスクによる範囲の指定
192.168.1.1/255.255.255.240サブネットマスクによる範囲の指定

パラメータ:プロコトル

備考
10進数の数字
icmpICMPパケット
tcpTCPパケット
udpUDP
パケット
espESP
パケット
ahAH
パケット
icmp-errorICMPタイプが 3,4,5,11,12,31,32の
いずれかのICMPパケット
icmp-infoICMPタイプが
0,8,9,10,13,14,15,16,17,18,30,33,34,35,36の
いずれかのICMPパケット
tcpsynSYNフラグが1のTCPパケット
tcpfinFINフラグが1のTCPパケット
tcprstRSTフラグが1のTCPパケット
established内部から外部へのACKフラグが1のTCPパケットは
許可するが、外部から内部へは破棄する
*全てのプロコトル

パラメータ:送信元ポート

送信元ポートパラメータは、パケットの送信元ポート番号を指定します。送信元IPパラメータと同様に、ハイフンとワイルドカードを使用できます。

※宛先ポートパラーメータのく術内容は、送信元パラメータと同様です。

ポート番号
10進数の数字
ftp20、21
ftpdata20
telnet23
smtp25
domain53
www80
pop3110
ntp123
snmp161
syslog514
ハイフン表記による範囲指定
(例:10-15、20-smtp)
カンマ区切りによる範囲指定
(例:80,pop3,ntp)		最大10個まで
*全てのポート番号

2 フィルタセットの設定コマンド

ip filter set [フィルタセット名] [方向] [フィルタリスト]

パラメータ:フィルタセット名

フィルタセット名は ”任意の文字列” で設定できます。ここでは、管理しやすい名前に設定するのが望ましいです。

パラメータ:方向

パケットフィルターの向きを設定します。
内容はシンプルで、in か out になります。

パラーメター値備考
inインタフェース着信したパケットに適用
out インタフェースから発信するパケットに適用

3 インタフェースへの静的パケットフィルタ適用コマンド

ip [インタフェース名] secure filter [方向] [フィルタリスト]

上記コマンドを使用して定義したパケットフィルタを任意のインタフェイスに適用します。

[方向]と[フィルタリスト]パラメータの内容は、フィルタセットの設定と同じです。

次ページ 動的パケットフィルタの設定について

1 2 3