2016/02/23 EdgeMAX シリーズのファームウェア v1.8.0 がリリースされました。
詳細はこちら をご覧下さい。
「設定例 > Firewall > modify mark」の版間の差分
ナビゲーションに移動
検索に移動
(ページの作成:「== このページの概要 == * EdgeOS にて、Firewall でルールに合致したパケットにマークを付与する際の設定例をご紹介します。 * Web...」) |
編集の要約なし |
||
| (同じ利用者による、間の6版が非表示) | |||
| 9行目: | 9行目: | ||
== 設定例 : LAN 内の特定のアドレスからのパケットにマークを付与する場合 == | == 設定例 : LAN 内の特定のアドレスからのパケットにマークを付与する場合 == | ||
=== 設定内容 === | === 設定内容 === | ||
* LAN (eth1) 内クライアント 192.168.0.51 から来たパケットに対して mark 1 を付与します。 | * LAN (eth1) 内クライアント 192.168.0.51 〜 192.168.0.54 から来たパケットに対して mark 1 を付与します。 | ||
* firewall modify エントリ名は MARK_LAN_IN、ルール番号 10 にて作成します。 | * firewall modify エントリ名は MARK_LAN_IN、ルール番号 10 にて作成します。 | ||
* LAN 用ポートである、eth1 に入ってくるパケットに対して処理するため、eth1 の in 方向の firewall として適用します。 | * LAN 用ポートである、eth1 に入ってくるパケットに対して処理するため、eth1 の in 方向の firewall として適用します。 | ||
| 19行目: | 18行目: | ||
=== 設定方法 === | === 設定方法 === | ||
==== Web UI での設定 ==== | ==== Web UI での設定 ==== | ||
firewall modify の場合、Web UI では Config Tree からの設定のみ可能です。 | |||
( 未作成 ) | ( 未作成 ) | ||
==== コマンドでの設定 ==== | ==== コマンドでの設定 ==== | ||
| 28行目: | 28行目: | ||
set firewall modify MARK_LAN_IN rule 10 action modify | set firewall modify MARK_LAN_IN rule 10 action modify | ||
set firewall modify MARK_LAN_IN rule 10 modify mark 1 | set firewall modify MARK_LAN_IN rule 10 modify mark 1 | ||
set firewall modify MARK_LAN_IN rule 10 source address 192.168.0.51 | set firewall modify MARK_LAN_IN rule 10 source address 192.168.0.51 - 192.168.0.54 | ||
set interfaces ethernet eth1 firewall in modify MARK_LAN_IN | set interfaces ethernet eth1 firewall in modify MARK_LAN_IN | ||
</pre> | </pre> | ||
| 34行目: | 34行目: | ||
==== 動作確認 ==== | ==== 動作確認 ==== | ||
* | * <code>show firewall modify </code> 等のコマンドで、動作確認等が可能です。 | ||
** <code>show firewall modify </code> | |||
**: 各 firewall modify エントリの条件、アクション、プロトコル、適用パケット数・バイト数 を表示 | |||
** <code>show firewall modify {firewall modify エントリ名} </code> | |||
**: 上記を 指定した 1 firewall modify エントリについて表示 | |||
** <code>show firewall modify {firewall modify エントリ名} rule {ルール番号} </code> | |||
**: 上記を 指定した 1 firewall modify エントリ内の 1 ルール について表示 | |||
** <code>show firewall modify statistics </code> | |||
**: 各 firewall modify エントリの適用パケット数・バイト数、アクション、description を表示 | |||
** <code>show firewall modify {firewall modify エントリ名} statistics </code> | |||
**: 上記を 指定した 1 firewall modify エントリについて表示 | |||
** <code>show firewall modify {firewall modify エントリ名} rule {ルール番号} statistics </code> | |||
**: 上記を 指定した 1 firewall modify エントリ内の 1 ルール について表示 | |||
===== 実行例 ===== | |||
<pre> | <pre> | ||
USER01@EDGEOS:~$ show firewall modify MARK_LAN_IN | |||
IPv4 Modify Firewall "MARK_LAN_IN": | |||
Active on (eth1,IN) | |||
rule action proto packets bytes | |||
---- ------ ----- ------- ----- | |||
10 modify all 438104 31149225 | |||
condition - source IP range 192.168.0.51-192.168.0.54 MARK set 0x1 | |||
10000 accept all 4806502 348112070 | |||
</pre> | |||
<pre> | |||
USER01@EDGEOS:~$ show firewall modify MARK_LAN_IN statistics | |||
-------------------------------------------------------------------------------- | -------------------------------------------------------------------------------- | ||
| 49行目: | 79行目: | ||
</pre> | </pre> | ||
==== | ==== Tips ==== | ||
* 各 interface × in/local/out の組合せに対して、'''設定できる firewall modify エントリは1つ'''です。 | |||
* 各 interface × in/local/out | *: 当設定例の場合、eth1/in に異なる firewall modify エントリを適用すると、MARK_LAN_IN は外れてしまいます。 | ||
*: | * クライアント1 は mark 1、クライアント2 は mark 2 のように、'''複数のマーク付けを行う場合は、1 firewall modify エントリ内に複数の rule を作成'''して対応しましょう。 | ||
* <code>show firewall modify</code> で表示する際は、'''マーク番号は 16進数表記'''になります。16進数で把握しやすい番号を利用するのが良いかと思います。 | |||
* firewall modify で他にも様々な条件に合致させることが可能です。[[コマンド > configure > firewall#firewall_modify]] をご覧下さい。 | |||
== 関連項目 == | == 関連項目 == | ||
2015年11月21日 (土) 06:56時点における最新版
このページの概要
- EdgeOS にて、Firewall でルールに合致したパケットにマークを付与する際の設定例をご紹介します。
- Web UI での設定、コマンドでの設定、それぞれご紹介します。
前提
- WAN 側ポートは eth0 とします。
- LAN 側ポートは eth1 とします。
設定例 : LAN 内の特定のアドレスからのパケットにマークを付与する場合
設定内容
- LAN (eth1) 内クライアント 192.168.0.51 〜 192.168.0.54 から来たパケットに対して mark 1 を付与します。
- firewall modify エントリ名は MARK_LAN_IN、ルール番号 10 にて作成します。
- LAN 用ポートである、eth1 に入ってくるパケットに対して処理するため、eth1 の in 方向の firewall として適用します。
設定方法
Web UI での設定
firewall modify の場合、Web UI では Config Tree からの設定のみ可能です。
( 未作成 )
コマンドでの設定
- Configure モードに入ります。
USER01@EDGEOS:~$ configure [edit] USER01@EDGEOS#
- firewall modify エントリ MARK_LAN_IN を作成し、忘れずにインターフェースに適用します。
set firewall modify MARK_LAN_IN rule 10 action modify set firewall modify MARK_LAN_IN rule 10 modify mark 1 set firewall modify MARK_LAN_IN rule 10 source address 192.168.0.51 - 192.168.0.54 set interfaces ethernet eth1 firewall in modify MARK_LAN_IN
- 設定をコミットします。
USER01@EDGEOS# commit
- 再起動後にも反映されるよう、設定を保存します。
USER01@EDGEOS# save Saving configuration to '/config/config.boot'... Done [edit]
動作確認
show firewall modify等のコマンドで、動作確認等が可能です。show firewall modify- 各 firewall modify エントリの条件、アクション、プロトコル、適用パケット数・バイト数 を表示
show firewall modify {firewall modify エントリ名}- 上記を 指定した 1 firewall modify エントリについて表示
show firewall modify {firewall modify エントリ名} rule {ルール番号}- 上記を 指定した 1 firewall modify エントリ内の 1 ルール について表示
show firewall modify statistics- 各 firewall modify エントリの適用パケット数・バイト数、アクション、description を表示
show firewall modify {firewall modify エントリ名} statistics- 上記を 指定した 1 firewall modify エントリについて表示
show firewall modify {firewall modify エントリ名} rule {ルール番号} statistics- 上記を 指定した 1 firewall modify エントリ内の 1 ルール について表示
実行例
USER01@EDGEOS:~$ show firewall modify MARK_LAN_IN IPv4 Modify Firewall "MARK_LAN_IN": Active on (eth1,IN) rule action proto packets bytes ---- ------ ----- ------- ----- 10 modify all 438104 31149225 condition - source IP range 192.168.0.51-192.168.0.54 MARK set 0x1 10000 accept all 4806502 348112070
USER01@EDGEOS:~$ show firewall modify MARK_LAN_IN statistics -------------------------------------------------------------------------------- IPv4 Firewall "MARK_LAN_IN" Active on (eth1,IN) rule packets bytes action description ---- ------- ----- ------ ----------- 10 341 26492 MODIFY 10000 133484 117853889 ACCEPT DEFAULT ACTION
Tips
- 各 interface × in/local/out の組合せに対して、設定できる firewall modify エントリは1つです。
- 当設定例の場合、eth1/in に異なる firewall modify エントリを適用すると、MARK_LAN_IN は外れてしまいます。
- クライアント1 は mark 1、クライアント2 は mark 2 のように、複数のマーク付けを行う場合は、1 firewall modify エントリ内に複数の rule を作成して対応しましょう。
show firewall modifyで表示する際は、マーク番号は 16進数表記になります。16進数で把握しやすい番号を利用するのが良いかと思います。- firewall modify で他にも様々な条件に合致させることが可能です。コマンド > configure > firewall#firewall_modify をご覧下さい。