2016/02/23 EdgeMAX シリーズのファームウェア v1.8.0 がリリースされました。
詳細はこちら をご覧下さい。

「コマンド > configure > firewall」の版間の差分

提供:EdgeOS 日本語Wiki [非公式]
ナビゲーションに移動 検索に移動
(ページの作成:「== このページの概要 == 当ページでは、Configure モード 設定編集系 コマンドで、firewall を利用する方法をご紹介します。 == 解...」)
 
編集の要約なし
 
(同じ利用者による、間の6版が非表示)
5行目: 5行目:
== 解説 ==
== 解説 ==
{{コマンド > configure > 設定要素 > 解説定型句|firewall}}
{{コマンド > configure > 設定要素 > 解説定型句|firewall}}
* ファイアウォール機能を利用する際の基本的な流れは、以下になります。
*# firewall name や firewall modify エントリ (ruleset) を作成
*# ruleset 内の rule を作成
*# interface へ firewall を適用 → [[コマンド > configure > interfaces]] 参照。
*#: (例) <code># set interfaces ehternet eth0 firewall in name {FW_ENTRY}</code>
* ファイアウォールの ruleset には、大きく分けて name エントリと、modify エントリの 2 種類あり、さらに IPv4 用と IPv6 用とで、計 4 種類あります。
* パケットやコネクションに mark を付与したり、ヘッダのフラグを変更したり、といった modify を行うものは、firewall modify エントリで作成し、パケットフィルタリング等は firewall name エントリを作成する感じかと思います。
* インターフェースに適用できるファイアウォール ruleset は、インターフェース × in/out/local × name/modify × ipv4/ipv6 毎に 1 つのみです。ruleset を細かく分けても複数適用できませんので、1 つの ruleset 内の複数の rule として作成しましょう。
*: (例) eth0 - in に name エントリを 2 つ適用させようとしてもできません。name エントリ 1つ、modify エントリ 1 つ、は適用できます。
* <code>firewall group</code> で、アドレス・ネットワーク・ポートのグループを作成することができ、firewall rule のマッチさせる条件に利用することができます。同条件で複数の rule を適用させる場合には、グループを作成しておくと楽になるかも知れません。
=== firewall modify エントリ ===
* firewall modify エントリ 1 つにつき、1 つの description、log 可否 (enable-default-log)、複数の rule を利用できます。
* firewall modify rule エントリ 1 つにつき、1 つの action、1 つ以上の match 条件を利用できます。
* firewall modify rule エントリは、action に modify を選んだ場合、modify する内容を <code>firewall modify rule 〜 modify</code> にて指定します。
=== よく使いそうなコマンド ===
* [[#firewall_name | <code>set firewall name</code>]]
* [[#firewall_modify | <code>set firewall modify</code>]]
* [[#firewall_ipv6-name | <code>set firewall ipv6-name</code>]]
* [[#firewall_ipv6-modify | <code>set firewall ipv6-modify</code>]]
* [[#firewall_group | <code>set firewall group </code>]]
=== 学習資料 ===
* EdgeOS の Firewall 機能は、Linux の iptables というソフトウェアを利用しています。
* EdgeOS の Firewall 機能の動作について、深く理解するには、iptables を理解すると良いかと思います。それには、以下の資料が参考になるかと思います。
*: [http://www.asahi-net.or.jp/~aa4t-nngk/ipttut/output/index.html Iptablesチュートリアル 1.2.2]




== firewall のパラメーター ==
== firewall のパラメーター ==


=== index ===
=== index ===
54行目: 84行目:
=== firewall log-martians ===
=== firewall log-martians ===
=== firewall modify ===
=== firewall modify ===
* set firewall ''' modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]] '''
*: IPv4 modify rule-set name
** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]] ''' description [[パラメーター > 任意テキスト|{任意テキスト}]] ''' </code>
**: Rule-set description
** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]] ''' enable-default-log ''' </code>
**: Option to log packets hitting default-action
** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]] ''' rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] '''
**: Rule number (1-9999)
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' action '''
***: Rule action
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  action ''' drop ''' </code>
****: Rule action to drop
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  action ''' accept ''' </code>
****: Rule action to accept
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  action ''' modify ''' </code>
****: Rule action to modify
*** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' connmark [[パラメーター > connmark 条件式|{connmark 条件式}]] ''' </code>
***: Connection mark matching
*** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' description [[パラメーター > 任意テキスト|{任意テキスト}]] ''' </code>
***: Rule description
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' destination '''
***: Destination parameters
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  destination ''' address [[パラメーター > IPv4 アドレス・サブネット・範囲 条件式|{IPv4 アドレス・サブネット・範囲 条件式}]] ''' </code>
****: Destination IP address, subnet, or range
**** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  destination ''' group '''
****:  Destination group
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  destination  group ''' address-group [[パラメーター > ファイアウォール アドレスグループ エントリ名|{ファイアウォール アドレスグループ エントリ名}]] ''' </code>
*****: Group of addresses
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  destination  group ''' network-group [[パラメーター > ファイアウォール ネットワークグループ エントリ名|{ファイアウォール ネットワークグループ エントリ名}]] ''' </code>
*****: Group of networks
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  destination  group ''' port-group [[パラメーター > ファイアウォール ポートグループ エントリ名|{ファイアウォール ポートグループ エントリ名}]] ''' </code>
*****: Group of ports
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  destination ''' port [[パラメーター > IPv4 ポート 条件式|{IPv4 ポート 条件式}]] ''' </code>
****: Destination port
*** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' disable ''' </code>
***: Option to disable rule
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' fragment '''
***: IP fragment match
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  fragment ''' match-frag ''' </code>
****: Second and further fragments of fragmented packets
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  fragment ''' match-non-frag ''' </code>
****: Head fragments or unfragmented packets
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' icmp '''
***: ICMP type and code information
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  icmp ''' code {0-255} ''' </code>
****: ICMP code (0-255)
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  icmp ''' type {0-255} ''' </code>
****: ICMP type (0-255)
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  icmp ''' type-name [[パラメーター > ICMP タイプ名|{ICMP タイプ名}]] ''' </code>
****: ICMP type-name
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' ipsec '''
***: Inbound IPsec packets
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  ipsec ''' match-ipsec ''' </code>
****: Inbound IPsec packets
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  ipsec ''' match-none ''' </code>
****: Inbound non-IPsec packets
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' limit '''
***: Rate limit using a token bucket filter
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  limit ''' burst {0-4294967295} ''' </code>
****: Maximum number of packets to allow in excess of rate
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  limit ''' rate [[パラメーター > ファイアウォール limit rate 条件式|{ファイアウォール limit rate 条件式}]] ''' </code>
****: Maximum average matching rate
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' log '''
***: Option to log packets matching rule
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  log ''' disable ''' </code>
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  log ''' enable ''' </code>
*** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' mark [[パラメーター > mark 条件式|{mark 条件式}]] ''' </code>
***: Mark matching
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' modify '''
***: Packet modifications
**** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify ''' connmark '''
****: Conntrack marking
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify  connmark ''' restore-mark ''' </code>
*****: Copy the connection mark to the packet mark
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify  connmark ''' save-mark ''' </code>
*****: Copy the packet mark to the connection mark
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify  connmark ''' set-mark {1-2147483647} ''' </code>
*****: Conntrack marking
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify ''' dscp {0-4294967295} ''' </code>
****: Packet Differentiated Services Codepoint (DSCP)
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify ''' lb-group [[パラメーター > Load Balancing グループ エントリ名|{Load Balancing グループ エントリ名}]] ''' </code>
****: Load Balancing group to use
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify ''' mark {1-2147483647} ''' </code>
****: Packet marking
**** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify ''' table '''
****: Routing table to forward packet with
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify  table ''' {1-200} ''' </code>
*****: Table number
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify  table ''' main ''' </code>
*****: Main table
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  modify ''' tcp-mss {500-1460} ''' </code>
****: TCP Maximum Segment Size
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' p2p '''
***: P2P application packets
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  p2p ''' all ''' </code>
****: AppleJuice/BitTorrent/Direct Connect/eDonkey/eMule/Gnutella/KaZaA application packets
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  p2p ''' applejuice ''' </code>
****: AppleJuice application packets
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  p2p ''' bittorrent ''' </code>
****: BitTorrent application packets
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  p2p ''' directconnect ''' </code>
****: Direct Connect application packets
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  p2p ''' edonkey ''' </code>
****: eDonkey/eMule application packets
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  p2p ''' gnutella ''' </code>
****: Gnutella application packets
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  p2p ''' kazaa ''' </code>
****: KaZaA application packets
*** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' protocol [[パラメーター > プロトコル 条件式|{プロトコル 条件式}]] ''' </code>
***: Protocol to match (protocol name in /etc/protocols or protocol number or "all")
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' recent '''
***: Parameters for matching recently seen sources
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  recent ''' count {1-255} ''' </code>
****: Source addresses seen more than N times
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  recent ''' time {0-4294967295} ''' </code>
****: Source addresses seen in the last N seconds
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' source '''
***: Source parameters
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  source ''' address [[パラメーター > IPv4 アドレス・サブネット・範囲 条件式|{IPv4 アドレス・サブネット・範囲 条件式}]] ''' </code>
****: Source IP address, subnet, or range
**** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  source ''' group '''
****: Source group
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  source  group ''' address-group [[パラメーター > ファイアウォール アドレスグループ エントリ名|{ファイアウォール アドレスグループ エントリ名}]] ''' </code>
*****: Group of addresses
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  source  group ''' network-group [[パラメーター > ファイアウォール ネットワークグループ エントリ名|{ファイアウォール ネットワークグループ エントリ名}]] ''' </code>
*****: Group of networks
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  source  group ''' port-group [[パラメーター > ファイアウォール ポートグループ エントリ名|{ファイアウォール ポートグループ エントリ名}]] ''' </code>
*****: Group of ports
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  source ''' mac-address [[パラメーター > MAC アドレス|{MAC アドレス}]] ''' </code>
****: Source MAC address
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  source ''' port [[パラメーター > IPv4 ポート 条件式|{IPv4 ポート 条件式}]] ''' </code>
****: Source port
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' state '''
***: Session state
**** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state ''' established '''
****: Established state
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state  established ''' disable ''' </code>
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state  established ''' enable ''' </code>
**** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state ''' invalid '''
****: Invalid state
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state  invalid ''' disable ''' </code>
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state  invalid ''' enable ''' </code>
**** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state ''' new '''
****: New state
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state  new ''' disable ''' </code>
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state  new ''' enable ''' </code>
**** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state ''' related '''
****: Related state
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state  related ''' disable ''' </code>
***** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  state  related ''' enable ''' </code>
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' statistic probability '''
***: Statistic matching
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  statistic probability ''' {NUMBER}% ''' </code>
****: Percentage to match
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  statistic probability ''' {NUMBER} ''' </code>
****: Percentage to match
*** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' tcp flags [[パラメーター > TCP falgs 条件式|{TCP falgs 条件式}]] ''' </code>
***: TCP flags to match
*** set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]] ''' time '''
***: Time to match rule
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  time ''' monthdays [[パラメーター > 日時 条件式|{日時 条件式}]] ''' </code>
****: Monthdays to match rule on
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  time ''' startdate [[パラメーター > 日時 条件式|{日時 条件式}]] ''' </code>
****: Date to start matching rule
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  time ''' starttime [[パラメーター > 日時 条件式|{日時 条件式}]] ''' </code>
****: Time of day to start matching rule
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  time ''' stopdate [[パラメーター > 日時 条件式|{日時 条件式}]] ''' </code>
****: Date to stop matching rule
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  time ''' stoptime [[パラメーター > 日時 条件式|{日時 条件式}]] ''' </code>
****: Time of day to stop matching rule
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  time ''' utc ''' </code>
****: Interpret times for startdate, stopdate, starttime and stoptime to be UTC
**** <code>set firewall  modify [[パラメーター > IPv4 ファイアウォール modify エントリ名|{FW_MOD_ENTRY}]]  rule [[パラメーター > IPv4 ファイアウォール modify rule 番号|{(1-9999) : FW_MOD_RULE_ID}]]  time ''' weekdays [[パラメーター > 日時 条件式|{日時 条件式}]] ''' </code>
****: Weekdays to match rule on
=== firewall name ===
=== firewall name ===
=== firewall options ===
=== firewall options ===
60行目: 265行目:
=== firewall source-validation ===
=== firewall source-validation ===
=== firewall syn-cookies ===
=== firewall syn-cookies ===
<!-- 未作成
== 動作確認 ==
-->




== 関連項目 ==
== 関連項目 ==
* [[コマンド > configure > 設定要素・設定編集コマンド対応一覧]]
* [[コマンド > configure > 設定要素・設定編集コマンド対応一覧]]
 
* [[:Category:設定例 > Firewall]]


<!--
<!--
78行目: 287行目:
[[Category:設定編集系コマンド]]
[[Category:設定編集系コマンド]]
[[Category:設定要素]]
[[Category:設定要素]]
[[Category:コマンド ver1.20]]
[[Category:(管理用:コマンド v1.25)]]
[[Category:作成中]]
[[Category:(管理用:作成中)]]

2015年12月7日 (月) 02:51時点における最新版

このページの概要

当ページでは、Configure モード 設定編集系 コマンドで、firewall を利用する方法をご紹介します。


解説


  • ファイアウォール機能を利用する際の基本的な流れは、以下になります。
    1. firewall name や firewall modify エントリ (ruleset) を作成
    2. ruleset 内の rule を作成
    3. interface へ firewall を適用 → コマンド > configure > interfaces 参照。
      (例) # set interfaces ehternet eth0 firewall in name {FW_ENTRY}
  • ファイアウォールの ruleset には、大きく分けて name エントリと、modify エントリの 2 種類あり、さらに IPv4 用と IPv6 用とで、計 4 種類あります。
  • パケットやコネクションに mark を付与したり、ヘッダのフラグを変更したり、といった modify を行うものは、firewall modify エントリで作成し、パケットフィルタリング等は firewall name エントリを作成する感じかと思います。
  • インターフェースに適用できるファイアウォール ruleset は、インターフェース × in/out/local × name/modify × ipv4/ipv6 毎に 1 つのみです。ruleset を細かく分けても複数適用できませんので、1 つの ruleset 内の複数の rule として作成しましょう。
    (例) eth0 - in に name エントリを 2 つ適用させようとしてもできません。name エントリ 1つ、modify エントリ 1 つ、は適用できます。
  • firewall group で、アドレス・ネットワーク・ポートのグループを作成することができ、firewall rule のマッチさせる条件に利用することができます。同条件で複数の rule を適用させる場合には、グループを作成しておくと楽になるかも知れません。

firewall modify エントリ

  • firewall modify エントリ 1 つにつき、1 つの description、log 可否 (enable-default-log)、複数の rule を利用できます。
  • firewall modify rule エントリ 1 つにつき、1 つの action、1 つ以上の match 条件を利用できます。
  • firewall modify rule エントリは、action に modify を選んだ場合、modify する内容を firewall modify rule 〜 modify にて指定します。


よく使いそうなコマンド


学習資料

  • EdgeOS の Firewall 機能は、Linux の iptables というソフトウェアを利用しています。
  • EdgeOS の Firewall 機能の動作について、深く理解するには、iptables を理解すると良いかと思います。それには、以下の資料が参考になるかと思います。
    Iptablesチュートリアル 1.2.2


firewall のパラメーター

index

firewall all-ping

firewall broadcast-ping

firewall group

firewall ip-src-route

firewall ipv6-modify

firewall ipv6-name

firewall ipv6-receive-redirects

firewall ipv6-src-route

firewall log-martians

firewall modify

firewall name

firewall options

firewall receive-redirects

firewall send-redirects

firewall source-validation

firewall syn-cookies

関連項目


凡例

「★」は、不明であることを表しています。

注意事項

動作の確認は、EdgeRouter X : ER-X にて行っています。 他のモデルでは、一部動作が異なる可能性があります。

http://edge-os.net/w/index.php?title=コマンド_>_configure_>_firewall&oldid=712」から取得