 |
| |
◆静的フィルタリングの基本コマンド(その1)
※動作確認は、YAMAHA RTX1000ルータで確認しています。コマンド、出力結果、動作は、機種、ファームウェアのバージョンで異なる場合があります。
資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
◆静的フィルタリングの基本コマンド(その1)
ここでは、静的フィルタリングを設定するコマンドを紹介してゆきます。
◆パケットのフィルタ設定
IPパケットのフィルタは、次のコマンドで設定します。protocol に”*”を指定するか、TCP/UDPを含む複数のプロトコルを列挙している場合には、src_port_list
と dest_port_listの指定は、パケットがTCPまたは、UDPである場合はポート番号がフィルタが比較され、その他のプロトコル(ICMPなど)の場合には、src_port_list
と dest_port_list の指定は存在しないものとしてフィルタと比較されます。
# ip filter filter_num pass_reject src_addr[/mask] [dest_addr[/mask] [protocol [src_port_list[dest_port_list]]]]
【設定値及び初期値】
●filter_num
・ 静的フィルタ番号 (1..21474836)
●pass_reject
設定値 :
| 設定値 |
説明 |
| pass |
一致すれば通す。(ログに記録しない) |
| pass-log |
一致すれば通す。(ログに記録する) |
| reject |
一致すれば破棄する。(ログに記録しない) |
| reject-log |
一致すれば破棄する。(ログに記録する) |
※その他の設定値は、コマンドリファレンスを参照して下さい。
●src_addr
IP パケットの始点 IP アドレス
・xxx.xxx.xxx.xxx (xxx は十進数 )
・「* 」( ネットマスクの対応するビットが 8 ビットとも 0 と同じ。すべての IP アドレスに対応 )
●dest_addr
・IP パケットの終点 IP アドレス
・src_addr と同じ形式。省略時は 1 個の * と同じ。
●mask
IP アドレスのビットマスク (src_addr および dest_addr がネットワークアドレスの場合のみ指定可)
・xxx.xxx.xxx.xxx (xxx は十進数 )
・0x に続く十六進数
・マスクビット数
・省略時は 0xffffffff と同じ
●protocol
フィルタリングするパケットの種類
・プロトコルを表す十進数 (0..255)
・プロトコルを表すニーモニック
| ニーモニック |
10進数 |
説明 |
| icmp |
1 |
icmpパケット |
| tcp |
6 |
tcpパケット |
| udp |
17 |
udpパケット |
※その他の設定値は、コマンドリファレンスを参照して下さい。
・上項目のカンマで区切った並び (5 個以内 )
・特殊指定
| 設定値 |
説明 |
| icmp-error |
TYPE が 3、4、5、11、12、31、32 のいずれかであるICMPパケット |
| icmp-info |
TYPE が 0、8.10、13.18、30、33.36 のいずれかであるICMPパケット |
| tcpsyn SYN |
フラグの立っているtcpパケット |
| tcpfin FIN |
フラグの立っているtcpパケット |
| tcprst RST |
フラグの立っているtcpパケット |
| established |
ACKフラグの立っているtcp パケット内から外への接続は許可するが、外から内への接続は拒否する。 |
| tcpflag=value/mask |
TCP フラグの値と mask の値の論理積 (AND) が、value に一致、または不一致であるTCP パケット。
value と mask は 0x に続く十六進数で 0x0000〜0xffff |
| tcpflag!=value/mask |
| * |
全てのプロトコル |
※省略時は、*と同じ。
●src_port_list
protocolに、TCP(tcp/tcpsyn/tcpfin/tcprst/established/tcpflag)、UDP(udp) のいずれかが含まれる場合は、TCP/UDP のソースポート番号。protocolがICMP単独の場合には、ICMPタイプ。
・ポート番号、タイプを表す十進数
・ポート番号を表すニーモニック
| ニーモニック |
ポート番号 |
| ftp |
20,21 |
| ftpdata |
20 |
| telnet |
23 |
| smtp |
25 |
| domain |
53 |
| gopher |
70 |
| www |
80 |
| pop3 |
110 |
| ident |
113 |
| ntp |
123 |
| snmp |
161 |
| syslog |
514 |
※その他のニーモニックは、コマンドリファレンスを参照して下さい。
・上項目のカンマで区切った並び (10個以内)
・* ( すべてのポート、タイプ )
・省略時は * と同じ。
「静的フィルタリングの限界」 ← 前項 | 次項 → 「静的フィルタリングの基本コマンド(その2)」
<ネットワーク資格の練習問題に挑戦>
●CCNA練習問題に挑戦!(650問)
●Network+練習問題に挑戦!(393問)
●テクニカルエンジニア(ネットワーク)試験
| ◆Cisco実機で学ぶ(CCNAスイッチ編) |
 |
|
<関連メニュー>
●CCNA実機で学ぶ
●CCNP実機で学ぶ
●CCENT(ICND1)実機で学ぶ
●ICND2実機で学ぶ
●SDMで設定する(Cisco実機で学ぶ)
●CCENT・CCNA無線実機で学ぶ
●アライドテレシス実機で学ぶ
●YAMAHAルータ実機で学ぶ
●TCP/IP入門・無料ネットワークツール
●PLCでホームネットワーク構築
|
|
|
