2016/02/23 EdgeMAX シリーズのファームウェア v1.8.0 がリリースされました。
詳細はこちら をご覧下さい。
「コマンド > configure > firewall」の版間の差分
ナビゲーションに移動
検索に移動
編集の要約なし |
編集の要約なし |
||
| (同じ利用者による、間の3版が非表示) | |||
| 5行目: | 5行目: | ||
== 解説 == | == 解説 == | ||
{{コマンド > configure > 設定要素 > 解説定型句|firewall}} | {{コマンド > configure > 設定要素 > 解説定型句|firewall}} | ||
* ファイアウォール機能を利用する際の基本的な流れは、以下になります。 | |||
*# firewall name や firewall modify エントリ (ruleset) を作成 | |||
*# ruleset 内の rule を作成 | |||
*# interface へ firewall を適用 → [[コマンド > configure > interfaces]] 参照。 | |||
*#: (例) <code># set interfaces ehternet eth0 firewall in name {FW_ENTRY}</code> | |||
* ファイアウォールの ruleset には、大きく分けて name エントリと、modify エントリの 2 種類あり、さらに IPv4 用と IPv6 用とで、計 4 種類あります。 | |||
* パケットやコネクションに mark を付与したり、ヘッダのフラグを変更したり、といった modify を行うものは、firewall modify エントリで作成し、パケットフィルタリング等は firewall name エントリを作成する感じかと思います。 | |||
* インターフェースに適用できるファイアウォール ruleset は、インターフェース × in/out/local × name/modify × ipv4/ipv6 毎に 1 つのみです。ruleset を細かく分けても複数適用できませんので、1 つの ruleset 内の複数の rule として作成しましょう。 | |||
*: (例) eth0 - in に name エントリを 2 つ適用させようとしてもできません。name エントリ 1つ、modify エントリ 1 つ、は適用できます。 | |||
* <code>firewall group</code> で、アドレス・ネットワーク・ポートのグループを作成することができ、firewall rule のマッチさせる条件に利用することができます。同条件で複数の rule を適用させる場合には、グループを作成しておくと楽になるかも知れません。 | |||
=== firewall modify エントリ === | |||
* firewall modify エントリ 1 つにつき、1 つの description、log 可否 (enable-default-log)、複数の rule を利用できます。 | |||
* firewall modify rule エントリ 1 つにつき、1 つの action、1 つ以上の match 条件を利用できます。 | |||
* firewall modify rule エントリは、action に modify を選んだ場合、modify する内容を <code>firewall modify rule 〜 modify</code> にて指定します。 | |||
=== よく使いそうなコマンド === | |||
* [[#firewall_name | <code>set firewall name</code>]] | |||
* [[#firewall_modify | <code>set firewall modify</code>]] | |||
* [[#firewall_ipv6-name | <code>set firewall ipv6-name</code>]] | |||
* [[#firewall_ipv6-modify | <code>set firewall ipv6-modify</code>]] | |||
* [[#firewall_group | <code>set firewall group </code>]] | |||
=== 学習資料 === | === 学習資料 === | ||
| 13行目: | 39行目: | ||
== firewall のパラメーター == | == firewall のパラメーター == | ||
=== index === | === index === | ||
| 240行目: | 265行目: | ||
=== firewall source-validation === | === firewall source-validation === | ||
=== firewall syn-cookies === | === firewall syn-cookies === | ||
<!-- 未作成 | |||
== 動作確認 == | |||
--> | |||
== 関連項目 == | == 関連項目 == | ||
* [[コマンド > configure > 設定要素・設定編集コマンド対応一覧]] | * [[コマンド > configure > 設定要素・設定編集コマンド対応一覧]] | ||
* [[:Category:設定例 > Firewall]] | |||
<!-- | <!-- | ||
| 258行目: | 287行目: | ||
[[Category:設定編集系コマンド]] | [[Category:設定編集系コマンド]] | ||
[[Category:設定要素]] | [[Category:設定要素]] | ||
[[Category: | [[Category:(管理用:コマンド v1.25)]] | ||
[[Category: | [[Category:(管理用:作成中)]] | ||
2015年12月7日 (月) 02:51時点における最新版
このページの概要
当ページでは、Configure モード 設定編集系 コマンドで、firewall を利用する方法をご紹介します。
解説
- firewall は、設定要素の一つであり、以下の形式で実行します。
- どの設定要素に対して、どの設定編集系コマンドを利用できるかについては、コマンド > configure > 設定要素・設定編集コマンド対応一覧 をご覧下さい。
- ファイアウォール機能を利用する際の基本的な流れは、以下になります。
- firewall name や firewall modify エントリ (ruleset) を作成
- ruleset 内の rule を作成
- interface へ firewall を適用 → コマンド > configure > interfaces 参照。
- (例)
# set interfaces ehternet eth0 firewall in name {FW_ENTRY}
- (例)
- ファイアウォールの ruleset には、大きく分けて name エントリと、modify エントリの 2 種類あり、さらに IPv4 用と IPv6 用とで、計 4 種類あります。
- パケットやコネクションに mark を付与したり、ヘッダのフラグを変更したり、といった modify を行うものは、firewall modify エントリで作成し、パケットフィルタリング等は firewall name エントリを作成する感じかと思います。
- インターフェースに適用できるファイアウォール ruleset は、インターフェース × in/out/local × name/modify × ipv4/ipv6 毎に 1 つのみです。ruleset を細かく分けても複数適用できませんので、1 つの ruleset 内の複数の rule として作成しましょう。
- (例) eth0 - in に name エントリを 2 つ適用させようとしてもできません。name エントリ 1つ、modify エントリ 1 つ、は適用できます。
firewall groupで、アドレス・ネットワーク・ポートのグループを作成することができ、firewall rule のマッチさせる条件に利用することができます。同条件で複数の rule を適用させる場合には、グループを作成しておくと楽になるかも知れません。
firewall modify エントリ
- firewall modify エントリ 1 つにつき、1 つの description、log 可否 (enable-default-log)、複数の rule を利用できます。
- firewall modify rule エントリ 1 つにつき、1 つの action、1 つ以上の match 条件を利用できます。
- firewall modify rule エントリは、action に modify を選んだ場合、modify する内容を
firewall modify rule 〜 modifyにて指定します。
よく使いそうなコマンド
-
set firewall name -
set firewall modify -
set firewall ipv6-name -
set firewall ipv6-modify -
set firewall group
学習資料
- EdgeOS の Firewall 機能は、Linux の iptables というソフトウェアを利用しています。
- EdgeOS の Firewall 機能の動作について、深く理解するには、iptables を理解すると良いかと思います。それには、以下の資料が参考になるかと思います。
firewall のパラメーター
index
- firewall all-ping
- Policy for handling of all IPv4 ICMP echo requests
- firewall broadcast-ping
- Policy for handling broadcast IPv4 ICMP echo and timestamp requests
- firewall group
- Firewall group
- firewall ip-src-route
- Policy for handling IPv4 packets with source route option
- firewall ipv6-modify
- IPv6 modify rule-set name
- firewall ipv6-name
- IPv6 firewall rule-set name
- firewall ipv6-receive-redirects
- Policy for handling received ICMPv6 redirect messages
- firewall ipv6-src-route
- Policy for handling IPv6 packets with routing extension header
- firewall log-martians
- Policy for logging IPv4 packets with invalid addresses
- firewall modify
- IPv4 modify rule-set name
- firewall name
- IPv4 firewall rule-set name
- firewall options
- Firewall options
- firewall receive-redirects
- Policy for handling received IPv4 ICMP redirect messages
- firewall send-redirects
- Policy for sending IPv4 ICMP redirect messages
- firewall source-validation
- Policy for source validation by reversed path, as specified in RFC3704
- firewall syn-cookies
- Policy for using TCP SYN cookies with IPv4
firewall all-ping
firewall broadcast-ping
firewall group
firewall ip-src-route
firewall ipv6-modify
firewall ipv6-name
firewall ipv6-receive-redirects
firewall ipv6-src-route
firewall log-martians
firewall modify
- set firewall modify {FW_MOD_ENTRY}
- IPv4 modify rule-set name
set firewall modify {FW_MOD_ENTRY} description {任意テキスト}- Rule-set description
set firewall modify {FW_MOD_ENTRY} enable-default-log- Option to log packets hitting default-action
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID}
- Rule number (1-9999)
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action
- Rule action
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action drop- Rule action to drop
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action accept- Rule action to accept
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action modify- Rule action to modify
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} connmark {connmark 条件式}- Connection mark matching
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} description {任意テキスト}- Rule description
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination
- Destination parameters
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination address {IPv4 アドレス・サブネット・範囲 条件式}- Destination IP address, subnet, or range
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group
- Destination group
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group address-group {ファイアウォール アドレスグループ エントリ名}- Group of addresses
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group network-group {ファイアウォール ネットワークグループ エントリ名}- Group of networks
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group port-group {ファイアウォール ポートグループ エントリ名}- Group of ports
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination port {IPv4 ポート 条件式}- Destination port
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} disable- Option to disable rule
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} fragment
- IP fragment match
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} fragment match-frag- Second and further fragments of fragmented packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} fragment match-non-frag- Head fragments or unfragmented packets
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp
- ICMP type and code information
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp code {0-255}- ICMP code (0-255)
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp type {0-255}- ICMP type (0-255)
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp type-name {ICMP タイプ名}- ICMP type-name
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} ipsec
- Inbound IPsec packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} ipsec match-ipsec- Inbound IPsec packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} ipsec match-none- Inbound non-IPsec packets
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} limit
- Rate limit using a token bucket filter
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} limit burst {0-4294967295}- Maximum number of packets to allow in excess of rate
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} limit rate {ファイアウォール limit rate 条件式}- Maximum average matching rate
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} log
- Option to log packets matching rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} log disableset firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} log enable
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} mark {mark 条件式}- Mark matching
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify
- Packet modifications
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark
- Conntrack marking
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark restore-mark- Copy the connection mark to the packet mark
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark save-mark- Copy the packet mark to the connection mark
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark set-mark {1-2147483647}- Conntrack marking
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify dscp {0-4294967295}- Packet Differentiated Services Codepoint (DSCP)
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify lb-group {Load Balancing グループ エントリ名}- Load Balancing group to use
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify mark {1-2147483647}- Packet marking
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify table
- Routing table to forward packet with
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify table {1-200}- Table number
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify table main- Main table
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify tcp-mss {500-1460}- TCP Maximum Segment Size
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p
- P2P application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p all- AppleJuice/BitTorrent/Direct Connect/eDonkey/eMule/Gnutella/KaZaA application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p applejuice- AppleJuice application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p bittorrent- BitTorrent application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p directconnect- Direct Connect application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p edonkey- eDonkey/eMule application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p gnutella- Gnutella application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p kazaa- KaZaA application packets
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} protocol {プロトコル 条件式}- Protocol to match (protocol name in /etc/protocols or protocol number or "all")
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} recent
- Parameters for matching recently seen sources
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} recent count {1-255}- Source addresses seen more than N times
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} recent time {0-4294967295}- Source addresses seen in the last N seconds
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source
- Source parameters
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source address {IPv4 アドレス・サブネット・範囲 条件式}- Source IP address, subnet, or range
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group
- Source group
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group address-group {ファイアウォール アドレスグループ エントリ名}- Group of addresses
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group network-group {ファイアウォール ネットワークグループ エントリ名}- Group of networks
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group port-group {ファイアウォール ポートグループ エントリ名}- Group of ports
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source mac-address {MAC アドレス}- Source MAC address
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source port {IPv4 ポート 条件式}- Source port
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state
- Session state
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state established
- Established state
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state established disableset firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state established enable
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state invalid
- Invalid state
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state invalid disableset firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state invalid enable
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state new
- New state
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state new disableset firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state new enable
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state related
- Related state
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state related disableset firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state related enable
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} statistic probability
- Statistic matching
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} statistic probability {NUMBER}%- Percentage to match
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} statistic probability {NUMBER}- Percentage to match
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} tcp flags {TCP falgs 条件式}- TCP flags to match
- set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time
- Time to match rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time monthdays {日時 条件式}- Monthdays to match rule on
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time startdate {日時 条件式}- Date to start matching rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time starttime {日時 条件式}- Time of day to start matching rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time stopdate {日時 条件式}- Date to stop matching rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time stoptime {日時 条件式}- Time of day to stop matching rule
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time utc- Interpret times for startdate, stopdate, starttime and stoptime to be UTC
set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time weekdays {日時 条件式}- Weekdays to match rule on
firewall name
firewall options
firewall receive-redirects
firewall send-redirects
firewall source-validation
firewall syn-cookies
関連項目
凡例
「★」は、不明であることを表しています。
注意事項
動作の確認は、EdgeRouter X : ER-X にて行っています。 他のモデルでは、一部動作が異なる可能性があります。