第 8 章 ネットワークの設定
8.6 パケットフィルタリングと NAT の共通設定をする
パケットフィルタリングと NAT では、ログとパケット合致条件の設定項目が共通しています。
パケット合致条件の設定を表示する
パケット合致条件の設定として表示される項目を以下に示します。
出力フォーマット SRC-IP
DST-IP IN-IFNAME OUT-IFNAME MAC-ADDRESS PKT-TYPE ICMP
TCP-SRC-PORT TCP-DST-PORT TCP-FLAG UDP-SRC-PORT UDP-DST-PORT AH-SPI ESP-SPI
PROTOCOL-NUMBER CONNTRACK-STATE CONNTRACK-PROTO CONNTRACK-ORIGSRC-IP CONNTRACK-ORIGDST-IP CONNTRACK-ORIGDST-IP CONNTRACK-ORIGDST-IP CONNTRACK-ORIGSRC-PORT CONNTRACK-ORIGDST-PORT CONNTRACK-REPLSRC-PORT CONNTRACK-REPLDST-PORT CONNTRACK-STATUS CONNTRACK-DIRECTION HASHLIMIT-UPTO HASHLIMIT-ABOVE HASHLIMIT-BURST HASHLIMIT-MODE HASHLIMIT-SRC-MASK HASHLIMIT-DST-MASK LIMIT-RATE
LIMIT-BURST 出力項目
項目 内容
ネットワークの設定 第8 章
項目 内容
TCP-SRC-PORT 「match protocol tcp src-ip」が設定されている場合、「match protocol tcp src-ip {TCP パケットの送信元 IP アドレス}」が表示され ます。 「match protocol tcp src-ip」が設定されていない場合(「no match protocol tcp src-ip」の実行時)は、表示されません。
TCP-DST-PORT 「match protocol tcp dst-ip」が設定されている場合、「match protocol tcp dst-ip {TCP パケットの送信先 IP アドレス}」が表示され ます。 「match protocol tcp dst-ip」が設定されていない場合(「no match protocol tcp dst-ip」の実行時)は、表示されません。
TCP-FLAG 「match protocol tcp flags」が設定されている場合、「match protocol tcp flags {TCP パケットの確認対象のフラグ} {確認対象としたフラグ のうち設定されているフラグ}」が表示されます。
「match protocol tcp flags」が設定されていない場合(「no match protocol tcp flags」の実行時)は、表示されません。
UDP-SRC-PORT 「match protocol udp src-ip」が設定されている場合、「match protocol udp src-ip {UDP パケットの送信元 IP アドレス}」が表示さ れます。
「match protocol udp src-ip」が設定されていない場合(「no match protocol udp src-ip」の実行時)は、表示されません。
UDP-DST-PORT 「match protocol udp dst-ip」が設定されている場合、「match protocol udp dst-ip {UDP パケットの送信先 IP アドレス}」が表示さ れます。
「match protocol udp dst-ip」が設定されていない場合(「no match protocol udp dst-ip」の実行時)は、表示されません。
AH-SPI 「match protocol ah」が設定されている場合、「match protocol ah {SPI フィールドの値}」が表示されます。
「match protocol ah」が設定されていない場合(「no match protocol ah」の実行時)は、表示されません。
ESP-SPI 「match protocol esp」が設定されている場合、「match protocol esp {SPI フィールドの値}」が表示されます。
「match protocol esp」が設定されていない場合(「no match protocol esp」実行時)は、表示されません。
PROTOCOL-NUMBER 「match protocol」が設定されている場合、「match protocol {プロ トコル番号}」が表示されます。
「match protocol」が設定されていない場合(「no match protocol」
の実行時)は、表示されません。
CONNTRACK-STATE 「match conntrack state」が設定されている場合、「match conntrack state {接続の状態}」が表示されます。
「match conntrack state」が設定されていない場合(「no match conntrack state」の実行時)は、表示されません。
CONNTRACK-PROTO 「match conntrack proto」が設定されている場合、「match conntrack proto {プロトコル番号}」が表示されます。
「match conntrack proto」が設定されていない場合(「no match conntrack proto」の実行時)は、表示されません。
CONNTRACK-ORIGSRC-IP 「match conntrack origsrc-ip」が設定されている場合、「match conntrack origsrc-ip {発信パケットの送信元 IP アドレス}」が表示さ れます。
「match conntrack origsrc-ip」が設定されていない場合(「no match conntrack origsrc-ip」の実行時)は、表示されません。
CONNTRACK-ORIGDST-IP 「match conntrack origdst-ip」が設定されている場合、「match
ネットワークの設定 第8 章
項目 内容
CONNTRACK-REPLSRC-IP 「match conntrack replsrc-ip」が設定されている場合、「match conntrack replsrc-ip {応答パケットの送信元 IP アドレス}」が表示さ れます。
「match conntrack replsrc-ip」が設定されていない場合(「no match conntrack replsrc-ip」の実行時)は、表示されません。
CONNTRACK-REPLDST-IP 「match conntrack repldst-ip」が設定されている場合、「match conntrack repldst-ip {応答パケットの送信先 IP アドレス}」が表示さ れます。
「match conntrack repldst-ip」が設定されていない場合(「no match conntrack repldst-ip」の実行時)は、表示されません。
CONNTRACK-ORIGSRC-PORT 「match conntrack origsrc-port」が設定されている場合、「match conntrack origsrc-port {発信パケットの送信元ポート}」が表示されま す。 「match conntrack origsrc-port」が設定されていない場合(「no match conntrack origsrc-port」の実行時)は、表示されません。
CONNTRACK-ORIGDST-PORT 「match conntrack origdst-port」が設定されている場合、「match conntrack origdst-port {発信パケットの送信先ポート}」が表示され ます。 「match conntrack origdst-port」が設定されていない場合(「no match conntrack origdst-port」の実行時)は、表示されません。
CONNTRACK-REPLSRC-PORT 「match conntrack replsrc-port」が設定されている場合、「match conntrack replsrc-port {応答パケットの送信元ポート}」が表示されま す。 「match conntrack replsrc-port」が設定されていない場合(「no match conntrack replsrc-port」の実行時)は、表示されません。
CONNTRACK-REPLDST-PORT 「match conntrack repldst-port」が設定されている場合、「match conntrack repldst-port {応答パケットの送信先ポート}」が表示され ます。 「match conntrack repldst-port」が設定されていない場合(「no match conntrack repldst-port」の実行時)は、表示されません。
CONNTRACK-STATUS 「 match conntrack status 」 が 設 定 さ れ て い る 場 合 、 「 match conntrack status {接続のステータス}」が表示されます。
「match conntrack status」が設定されていない場合(「no match conntrack status」の実行時)は、表示されません。
CONNTRACK-DIRECTION 「match conntrack direction」が設定されている場合、「match conntrack direction {接続のパケットの方向}」が表示されます。
「match conntrack direction」が設定されていない場合(「no match conntrack direction」の実行時)は、表示されません。
HASHLIMIT-UPTO 「match hashlimit upto」が設定されている場合、「match hashlimit upto {指定時間}」が表示されます。
「match hashlimit upto」が設定されていない場合(「no match hashlimit upto」の実行時)は、表示されません。
HASHLIMIT-ABOVE 「match hashlimit above」が設定されている場合、「match hashlimit above {指定時間}」が表示されます。
ネットワークの設定 第8 章
項目 内容
HASHLIMIT-SRC-MASK 「match hashlimit src-mask」が設定されている場合、「match hashlimit src-mask」(HASHLIMIT-MODE に srcip を指定した場合に、
送信元 IP アドレスごとにグルーピングするアドレスプレフィック ス)が表示されます。
「match hashlimit src-mask」が設定されていない場合(「no match hashlimit src-mask」の実行時)は、表示されません。
HASHLIMIT-DST-MASK 「match hashlimit dst-mask」が設定されている場合、「match hashlimit dst-mask」(HASHLIMIT-MODE に dstip を指定した場合に、
送信先 IP アドレスごとにグルーピングするアドレスプレフィック ス)が表示されます。
「match hashlimit dst-mask」が設定されていない場合(「no match hashlimit dst-mask」の実行時)は、表示されません。
LIMIT-RATE 「match limit rate」が設定されている場合、「match limit rate {指定 時間内のパケット数}」が表示されます。
「match limit rate」が設定されていない場合(「no match limit rate」
の実行時)は、表示されません。
LIMIT-BURST 「match limit burst」が設定されている場合、「match limit burst {連 続して合致可能なパケット数}」が表示されます。
「match limit burst」が設定されていない場合(「no match limit burst」の実行時)は、表示されません。
実行例については、『8.4.1 パケットフィルタリングの設定を表示する』を参照してください。
ネットワークの設定 第8 章
パケット合致条件を設定する
パケット合致条件の設定コマンドについて説明します。
書式
match src-ip [not] ADDRESS[/PREFIX]
no match src-ip
match dst-ip [not] ADDRESS[/PREFIX]
no match dst-ip
match in-interface [not] IFNAME no match in-interface
match out-interface [not] IFNAME no match out-interface
match mac [not] MAC-ADDRESS no match mac
match pkt-type < unicast | broadcast | multicast >
no match pkt-type
match protocol icmp < any |
destination-unreachable | network-unreachable | host-unreachable | protocol-unreachable | port-unreachable | fragmentation-needed | source-route-failed | network-unknown | host-unknown | network-prohibited | host-prohibited |
TOS-network-unreachable | TOS-host-unreachable | communication-prohibited | host-precedence-violation | precedence-cutoff |
source-quench | redirect |
network-redirect | host-redirect |
TOS-network-redirect | TOS-host-redirect | echo-request | echo-reply |
router-advertisement | router-solicitation | time-exceeded |
ttl-exceeded |
ttl-zero-during-transit | ttl-zero-during-reassembly |
ネットワークの設定 第8 章 no match protocol tcp src-port
no match protocol tcp dst-port no match protocol tcp flags no match protocol tcp
match protocol udp src-port [not] PORT match protocol udp dst-port [not] PORT no match protocol udp src-port
no match protocol udp dst-port no match protocol udp
match protocol ah SPI[-SPI]
no match protocol ah
match protocol esp SPI[-SPI]
no match protocol esp match protocol NUMBER no match protocol NUMBER
match conntrack state [not] < invalid,new,established,related,untracked,snat,dnat >
match conntrack proto [not] NUMBER
match conntrack origsrc-ip [not] ADDRESS[/PREFIX]
match conntrack origdst-ip [not] ADDRESS[/PREFIX]
match conntrack replsrc-ip [not] ADDRESS[/PREFIX]
match conntrack repldst-ip [not] ADDRESS[/PREFIX]
match conntrack origsrc-port [not] PORT match conntrack origdst-port [not] PORT match conntrack replsrc-port [not] PORT match conntrack repldst-port [not] PORT
match conntrack status [not] < none,expected,seen_reply,assured,confirmed >
match conntrack direction < original | reply >
no match conntrack state no match conntrack proto no match conntrack origsrc-ip no match conntrack origdst-ip no match conntrack replsrc-ip no match conntrack repldst-ip no match conntrack origsrc-port no match conntrack origdst-port no match conntrack replsrc-port no match conntrack repldst-port no match conntrack status no match conntrack direction no match conntrack
match hashlimit upto NUMBER< /second | /minute | /hour | /day >
match hashlimit above NUMBER< /second | /minute | /hour | /day >
match hashlimit burst NUMBER
match hashlimit mode < srcip | srcport | dstip | dstport >
match hashlimit src-mask PREFIX match hashlimit dst-mask PREFIX no match hashlimit upto
no match hashlimit above no match hashlimit burst no match hashlimit mode no match hashlimit src-mask no match hashlimit dst-mask no match hashlimit
match limit rate NUMBER< /second | /minute | /hour | /day >
ネットワークの設定 第8 章 コマンド
コマンド 内容
match src-ip 送信元アドレスが ADDRESS/PREFIX のパケットに合致します。
設定 内容
not 以下で指定した条件を反転します。
ADDRESS 送信元 IP アドレスを指定します。
PREFIX プリフィックス長を指定します。
match dst-ip 送信先アドレスが ADDRESS/PREFIX のパケットに合致します。
設定 内容
not 以下で指定した条件を反転します。
ADDRESS 送信先 IP アドレスを指定します。
PREFIX プリフィックス長を指定します。
match in-interface 入力インターフェイスが IFNAME であるパケットに合致します。
設定 内容
not 以下で指定した条件を反転します。
IFNAME 以下にあてはまる入力インターフェイス名を 指定します。
eth0、lan<0-3>、br<0-9>、ecm0、ppp<0-9>、
tun<0-9>、tap<0-9>
match out-interface 出力インターフェイスが IFNAME のパケットに合致。
設定 内容
not 以下で指定した条件を反転します。
IFNAME 以下にあてはまる出力インターフェイス名を 指定します。
eth0、lan<0-3>、br<0-9>、ecm0、ppp<0-9>、
tun<0-9>、tap<0-9>
match mac MAC アドレスが MAC-ADDRESS のパケットに合致します。
設定 内容
not 以下で指定した条件を反転します。
MAC-ADDRESS 以下の形式で MAC アドレスを指定します。
xx:xx:xx:xx:xx:xx match pkt-type 指定したパケットタイプに合致します。
設定 内容
unicast ユニキャストに合致します。
broadcast ブロードキャストに合致します。
multicast マルチキャストに合致します。
ネットワークの設定 第8 章
コマンド 内容
match protocol icmp ICMP メッセージタイプが以下であるパケットに合致します。
設定 内容
any destination-unreachable network-unreachable host-unreachable protocol-unreachable port-unreachable fragmentation-needed source-route-failed network-unknown host-unknown network-prohibited host-prohibited
TOS-network-unreachable TOS-host-unreachable communication-prohibited host-precedence-violation precedence-cutoff
source-quench redirect
network-redirect host-redirect
TOS-network-redirect TOS-host-redirect echo-request echo-reply
router-advertisement router-solicitation time-exceeded ttl-exceeded
ttl-zero-during-transit ttl-zero-during-reassembly parameter-problem ip-header-bad
required-option-missing timestamp-request timestamp-reply address-mask-request address-mask-reply
ICMP メッセージタイプを指定し ます。
メッセージタイプの詳細に ついては、RFC 792 を参照し てください。
match protocol tcp src-port 送信元ポートが PORT の TCP パケットに合致します。
設定 内容
not 以下で指定した条件を反転します。
PORT ポート番号を指定します。
match protocol tcp dst-port 送信先ポートが PORT の TCP パケットに合致します。
設定 内容
not 以下で指定した条件を反転します。
PORT ポート番号を指定します。