「コマンド ＞ configure ＞ firewall」の版間の差分

このページの概要

当ページでは、Configure モード 設定編集系 コマンドで、firewall を利用する方法をご紹介します。

解説

• firewall は、設定要素の一つであり、以下の形式で実行します。

  # 設定編集系コマンド 設定要素 パラメーター...

  (例) # set firewall パラメーター1 パラメーター2 ...

• どの設定要素に対して、どの設定編集系コマンドを利用できるかについては、コマンド ＞ configure ＞ 設定要素・設定編集コマンド対応一覧 をご覧下さい。

firewall のパラメーター

index

• firewall all-ping

  Policy for handling of all IPv4 ICMP echo requests

• firewall broadcast-ping

  Policy for handling broadcast IPv4 ICMP echo and timestamp requests

• firewall group

  Firewall group

• firewall ip-src-route

  Policy for handling IPv4 packets with source route option

• firewall ipv6-modify

  IPv6 modify rule-set name

• firewall ipv6-name

  IPv6 firewall rule-set name

• firewall ipv6-receive-redirects

  Policy for handling received ICMPv6 redirect messages

• firewall ipv6-src-route

  Policy for handling IPv6 packets with routing extension header

• firewall log-martians

  Policy for logging IPv4 packets with invalid addresses

• firewall modify

  IPv4 modify rule-set name

• firewall name

  IPv4 firewall rule-set name

• firewall options

  Firewall options

• firewall receive-redirects

  Policy for handling received IPv4 ICMP redirect messages

• firewall send-redirects

  Policy for sending IPv4 ICMP redirect messages

• firewall source-validation

  Policy for source validation by reversed path, as specified in RFC3704

• firewall syn-cookies

  Policy for using TCP SYN cookies with IPv4

firewall all-ping

firewall broadcast-ping

firewall group

firewall ip-src-route

firewall ipv6-modify

firewall ipv6-name

firewall ipv6-receive-redirects

firewall ipv6-src-route

firewall log-martians

firewall modify

• set firewall modify {FW_MOD_ENTRY}

  IPv4 modify rule-set name

  • set firewall modify {FW_MOD_ENTRY} description {任意テキスト}

    Rule-set description

  • set firewall modify {FW_MOD_ENTRY} enable-default-log

    Option to log packets hitting default-action

  • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID}

    Rule number (1-9999)

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action

      Rule action

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action drop

        Rule action to drop

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action accept

        Rule action to accept

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} action modify

        Rule action to modify

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} connmark {connmark 条件式}

      Connection mark matching

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} description {任意テキスト}

      Rule description

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination

      Destination parameters

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination address {IPv4 アドレス・サブネット・範囲 条件式}

        Destination IP address, subnet, or range

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group

        Destination group

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group address-group {ファイアウォール アドレスグループ エントリ名}

          Group of addresses

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group network-group {ファイアウォール ネットワークグループ エントリ名}

          Group of networks

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination group port-group {ファイアウォール ポートグループ エントリ名}

          Group of ports

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} destination port {IPv4 ポート 条件式}

        Destination port

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} disable

      Option to disable rule

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} fragment

      IP fragment match

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} fragment match-frag

        Second and further fragments of fragmented packets

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} fragment match-non-frag

        Head fragments or unfragmented packets

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp

      ICMP type and code information

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp code {0-255}

        ICMP code (0-255)

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp type {0-255}

        ICMP type (0-255)

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} icmp type-name {ICMP タイプ名}

        ICMP type-name

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} ipsec

      Inbound IPsec packets

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} ipsec match-ipsec

        Inbound IPsec packets

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} ipsec match-none

        Inbound non-IPsec packets

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} limit

      Rate limit using a token bucket filter

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} limit burst {0-4294967295}

        Maximum number of packets to allow in excess of rate

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} limit rate {ファイアウォール limit rate 条件式}

        Maximum average matching rate

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} log

      Option to log packets matching rule

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} log disable
      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} log enable
    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} mark {mark 条件式}

      Mark matching

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify

      Packet modifications

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark

        Conntrack marking

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark restore-mark

          Copy the connection mark to the packet mark

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark save-mark

          Copy the packet mark to the connection mark

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify connmark set-mark {1-2147483647}

          Conntrack marking

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify dscp {0-4294967295}

        Packet Differentiated Services Codepoint (DSCP)

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify lb-group {Load Balancing グループ エントリ名}

        Load Balancing group to use

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify mark {1-2147483647}

        Packet marking

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify table

        Routing table to forward packet with

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify table {1-200}

          Table number

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify table main

          Main table

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} modify tcp-mss {500-1460}

        TCP Maximum Segment Size

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p

      P2P application packets

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p all

        AppleJuice/BitTorrent/Direct Connect/eDonkey/eMule/Gnutella/KaZaA application packets

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p applejuice

        AppleJuice application packets

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p bittorrent

        BitTorrent application packets

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p directconnect

        Direct Connect application packets

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p edonkey

        eDonkey/eMule application packets

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p gnutella

        Gnutella application packets

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} p2p kazaa

        KaZaA application packets

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} protocol {プロトコル 条件式}

      Protocol to match (protocol name in /etc/protocols or protocol number or "all")

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} recent

      Parameters for matching recently seen sources

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} recent count {1-255}

        Source addresses seen more than N times

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} recent time {0-4294967295}

        Source addresses seen in the last N seconds

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source

      Source parameters

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source address {IPv4 アドレス・サブネット・範囲 条件式}

        Source IP address, subnet, or range

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group

        Source group

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group address-group {ファイアウォール アドレスグループ エントリ名}

          Group of addresses

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group network-group {ファイアウォール ネットワークグループ エントリ名}

          Group of networks

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source group port-group {ファイアウォール ポートグループ エントリ名}

          Group of ports

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source mac-address {MAC アドレス}

        Source MAC address

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} source port {IPv4 ポート 条件式}

        Source port

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state

      Session state

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state established

        Established state

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state established disable
        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state established enable
      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state invalid

        Invalid state

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state invalid disable
        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state invalid enable
      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state new

        New state

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state new disable
        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state new enable
      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state related

        Related state

        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state related disable
        • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} state related enable
    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} statistic probability

      Statistic matching

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} statistic probability {NUMBER}%

        Percentage to match

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} statistic probability {NUMBER}

        Percentage to match

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} tcp flags {TCP falgs 条件式}

      TCP flags to match

    • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time

      Time to match rule

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time monthdays {日時 条件式}

        Monthdays to match rule on

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time startdate {日時 条件式}

        Date to start matching rule

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time starttime {日時 条件式}

        Time of day to start matching rule

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time stopdate {日時 条件式}

        Date to stop matching rule

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time stoptime {日時 条件式}

        Time of day to stop matching rule

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time utc

        Interpret times for startdate, stopdate, starttime and stoptime to be UTC

      • set firewall modify {FW_MOD_ENTRY} rule {(1-9999) : FW_MOD_RULE_ID} time weekdays {日時 条件式}

        Weekdays to match rule on

firewall name

firewall options

firewall receive-redirects

firewall send-redirects

firewall source-validation

firewall syn-cookies

関連項目

• コマンド ＞ configure ＞ 設定要素・設定編集コマンド対応一覧

凡例

「★」は、不明であることを表しています。

注意事項

動作の確認は、EdgeRouter X : ER-X にて行っています。 他のモデルでは、一部動作が異なる可能性があります。