2016/02/23 EdgeMAX シリーズのファームウェア v1.8.0 がリリースされました。
詳細はこちら をご覧下さい。
「コマンド > configure > firewall」の版間の差分
ナビゲーションに移動
検索に移動
編集の要約なし |
編集の要約なし |
||
| 5行目: | 5行目: | ||
== 解説 == | == 解説 == | ||
{{コマンド > configure > 設定要素 > 解説定型句|firewall}} | {{コマンド > configure > 設定要素 > 解説定型句|firewall}} | ||
<!-- 未作成 | |||
=== よく使いそうなコマンド === | |||
--> | |||
=== 学習資料 === | === 学習資料 === | ||
| 13行目: | 17行目: | ||
== firewall のパラメーター == | == firewall のパラメーター == | ||
=== index === | === index === | ||
| 240行目: | 243行目: | ||
=== firewall source-validation === | === firewall source-validation === | ||
=== firewall syn-cookies === | === firewall syn-cookies === | ||
<!-- 未作成 | |||
== 動作確認 == | |||
--> | |||
== 関連項目 == | == 関連項目 == | ||
* [[コマンド > configure > 設定要素・設定編集コマンド対応一覧]] | * [[コマンド > configure > 設定要素・設定編集コマンド対応一覧]] | ||
* [[:Category:設定例 > Firewall |カテゴリ:設定例 > Firewall]] | |||
<!-- | <!-- | ||
| 258行目: | 265行目: | ||
[[Category:設定編集系コマンド]] | [[Category:設定編集系コマンド]] | ||
[[Category:設定要素]] | [[Category:設定要素]] | ||
[[Category: | [[Category:(管理用:コマンド v1.20)]] | ||
[[Category: | [[Category:(管理用:作成中)]] | ||
2015年12月6日 (日) 14:38時点における版
このページの概要
当ページでは、Configure モード 設定編集系 コマンドで、firewall を利用する方法をご紹介します。
解説
- firewall は、設定要素の一つであり、以下の形式で実行します。
- どの設定要素に対して、どの設定編集系コマンドを利用できるかについては、コマンド > configure > 設定要素・設定編集コマンド対応一覧 をご覧下さい。
学習資料
- EdgeOS の Firewall 機能は、Linux の iptables というソフトウェアを利用しています。
- EdgeOS の Firewall 機能の動作について、深く理解するには、iptables を理解すると良いかと思います。それには、以下の資料が参考になるかと思います。
firewall のパラメーター
index
- firewall all-ping
- Policy for handling of all IPv4 ICMP echo requests
- firewall broadcast-ping
- Policy for handling broadcast IPv4 ICMP echo and timestamp requests
- firewall group
- Firewall group
- firewall ip-src-route
- Policy for handling IPv4 packets with source route option
- firewall ipv6-modify
- IPv6 modify rule-set name
- firewall ipv6-name
- IPv6 firewall rule-set name
- firewall ipv6-receive-redirects
- Policy for handling received ICMPv6 redirect messages
- firewall ipv6-src-route
- Policy for handling IPv6 packets with routing extension header
- firewall log-martians
- Policy for logging IPv4 packets with invalid addresses
- firewall modify
- IPv4 modify rule-set name
- firewall name
- IPv4 firewall rule-set name
- firewall options
- Firewall options
- firewall receive-redirects
- Policy for handling received IPv4 ICMP redirect messages
- firewall send-redirects
- Policy for sending IPv4 ICMP redirect messages
- firewall source-validation
- Policy for source validation by reversed path, as specified in RFC3704
- firewall syn-cookies
- Policy for using TCP SYN cookies with IPv4
firewall all-ping
firewall broadcast-ping
firewall group
firewall ip-src-route
firewall ipv6-modify
firewall ipv6-name
firewall ipv6-receive-redirects
firewall ipv6-src-route
firewall log-martians
firewall modify
- set firewall modify {FW_MOD_ENTRY}
- IPv4 modify rule-set name
set firewall modify {FW_MOD_ENTRY} description {任意テキスト}- Rule-set description
set firewall modify {FW_MOD_ENTRY} enable-default-log- Option to log packets hitting default-action
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID}
- Rule number (1-9999)
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action
- Rule action
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action drop- Rule action to drop
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action accept- Rule action to accept
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action modify- Rule action to modify
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} connmark {connmark 条件式}- Connection mark matching
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} description {任意テキスト}- Rule description
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination
- Destination parameters
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination address {IPv4 アドレス・サブネット・範囲 条件式}- Destination IP address, subnet, or range
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group
- Destination group
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group address-group {ファイアウォール アドレスグループ エントリ名}- Group of addresses
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group network-group {ファイアウォール ネットワークグループ エントリ名}- Group of networks
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group port-group {ファイアウォール ポートグループ エントリ名}- Group of ports
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination port {IPv4 ポート 条件式}- Destination port
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} disable- Option to disable rule
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} fragment
- IP fragment match
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} fragment match-frag- Second and further fragments of fragmented packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} fragment match-non-frag- Head fragments or unfragmented packets
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp
- ICMP type and code information
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp code {0-255}- ICMP code (0-255)
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp type {0-255}- ICMP type (0-255)
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp type-name {ICMP タイプ名}- ICMP type-name
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} ipsec
- Inbound IPsec packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} ipsec match-ipsec- Inbound IPsec packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} ipsec match-none- Inbound non-IPsec packets
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} limit
- Rate limit using a token bucket filter
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} limit burst {0-4294967295}- Maximum number of packets to allow in excess of rate
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} limit rate {ファイアウォール limit rate 条件式}- Maximum average matching rate
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} log
- Option to log packets matching rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} log disableset firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} log enable
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} mark {mark 条件式}- Mark matching
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify
- Packet modifications
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark
- Conntrack marking
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark restore-mark- Copy the connection mark to the packet mark
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark save-mark- Copy the packet mark to the connection mark
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark set-mark {1-2147483647}- Conntrack marking
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify dscp {0-4294967295}- Packet Differentiated Services Codepoint (DSCP)
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify lb-group {Load Balancing グループ エントリ名}- Load Balancing group to use
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify mark {1-2147483647}- Packet marking
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify table
- Routing table to forward packet with
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify table {1-200}- Table number
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify table main- Main table
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify tcp-mss {500-1460}- TCP Maximum Segment Size
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p
- P2P application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p all- AppleJuice/BitTorrent/Direct Connect/eDonkey/eMule/Gnutella/KaZaA application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p applejuice- AppleJuice application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p bittorrent- BitTorrent application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p directconnect- Direct Connect application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p edonkey- eDonkey/eMule application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p gnutella- Gnutella application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p kazaa- KaZaA application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} protocol {プロトコル 条件式}- Protocol to match (protocol name in /etc/protocols or protocol number or "all")
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} recent
- Parameters for matching recently seen sources
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} recent count {1-255}- Source addresses seen more than N times
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} recent time {0-4294967295}- Source addresses seen in the last N seconds
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source
- Source parameters
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source address {IPv4 アドレス・サブネット・範囲 条件式}- Source IP address, subnet, or range
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group
- Source group
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group address-group {ファイアウォール アドレスグループ エントリ名}- Group of addresses
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group network-group {ファイアウォール ネットワークグループ エントリ名}- Group of networks
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group port-group {ファイアウォール ポートグループ エントリ名}- Group of ports
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source mac-address {MAC アドレス}- Source MAC address
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source port {IPv4 ポート 条件式}- Source port
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state
- Session state
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state established
- Established state
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state established disableset firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state established enable
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state invalid
- Invalid state
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state invalid disableset firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state invalid enable
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state new
- New state
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state new disableset firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state new enable
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state related
- Related state
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state related disableset firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state related enable
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} statistic probability
- Statistic matching
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} statistic probability {NUMBER}%- Percentage to match
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} statistic probability {NUMBER}- Percentage to match
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} tcp flags {TCP falgs 条件式}- TCP flags to match
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time
- Time to match rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time monthdays {日時 条件式}- Monthdays to match rule on
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time startdate {日時 条件式}- Date to start matching rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time starttime {日時 条件式}- Time of day to start matching rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time stopdate {日時 条件式}- Date to stop matching rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time stoptime {日時 条件式}- Time of day to stop matching rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time utc- Interpret times for startdate, stopdate, starttime and stoptime to be UTC
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time weekdays {日時 条件式}- Weekdays to match rule on
firewall name
firewall options
firewall receive-redirects
firewall send-redirects
firewall source-validation
firewall syn-cookies
関連項目
凡例
「★」は、不明であることを表しています。
注意事項
動作の確認は、EdgeRouter X : ER-X にて行っています。 他のモデルでは、一部動作が異なる可能性があります。