IPv4 の設定

128 12.ICMP の設定

12.1.5 ICMP Redirect を送信するか否かの設定

[ 書式 ] ip icmp redirect send send no ip icmp redirect send [send]

[ 設定値 ] ^○send

●on... 送信する

●off... 送信しない

[ 説明 ] 他のゲートウェイ宛の IP パケットを受信して、そのパケットを適切なゲートウェイに回送した場合に、同時にパ

ケットの送信元に対して ICMP Redirect を送信するか否かを設定する。

[ 初期値 ] on

12.1.6 ICMP Redirect 受信時の処理の設定

[ 書式 ] ip icmp redirect receive action no ip icmp redirect receive [action]

[ 設定値 ] ^○action

●on... 処理する

●off... 無視する

[ 説明 ] ICMP Redirect を受信した場合に、それを処理して自分の経路テーブルに反映させるか、あるいは無視するかを

設定する。

[ 初期値 ] off

12.1.7 ICMP Time Exceeded を送信するか否かの設定

[ 書式 ] ip icmp time-exceeded send send no ip icmp time-exceeded send [send]

[ 設定値 ] ^○send

●on... 送信する

●off... 送信しない

[ 説明 ] 受信した IP パケットの TTL が 0 になってしまったため、そのパケットを破棄した場合に、同時にパケットの送

信元に対して ICMP Time Exceeded を送信するか否かを設定する。

[ 初期値 ] on

12.1.8 ICMP Timestamp Reply を送信するか否かの設定

[ 書式 ] ip icmp timestamp-reply send send no ip icmp timestamp-reply send [send]

[ 設定値 ] ^○send

●on... 送信する

●off... 送信しない

[ 説明 ] ICMP Timestamp を受信した場合に、 ICMP Timestamp Reply を返すか否かを設定する。

[ 初期値 ] on

12.1.9 ICMP Destination Unreachable を送信するか否かの設定

[ 書式 ] ip icmp unreachable send send no ip icmp unreachable send [send]

[ 設定値 ] ^○send

●on... 送信する

●off... 送信しない

[ 説明 ] 経路テーブルに宛先が見つからない場合や、あるいは ARP が解決できなくて IP パケットを破棄することになっ

た場合に、同時にパケットの送信元に対して ICMP Destination Unreachable を送信するか否かを設定する。

[ 初期値 ] on

12.1.10 IPsec で復号したパケットに対して ICMP エラーを送るか否かの設定

[ 書式 ] ip icmp error-decrypted-ipsec send switch no ip icmp error-decrypted-ipsec send [switch]

[ 設定値 ] ^○switch

●on... IPsec で復号したパケットに対して ICMP エラーを送る

●off... IPsec で復号したパケットに対して ICMP エラーを送らない

[ 説明 ] IPsec で復号したパケットに対して ICMP エラーを送るか否か設定する。

[ ノート ] ICMP エラーには復号したパケットの先頭部分が含まれるため、ICMP エラーが送信元に返送される時にも

IPsec で処理されないようになっていると、本来 IPsec で保護したい通信が保護されずにネットワークに流れて しまう可能性がある。特に、フィルタ型ルーティングでプロトコルによって IPsec で処理するかどうか切替えて いる場合には注意が必要となる。

ICMP エラーを送らないように設定すると、traceroute に対して反応がなくなるなどの現象になる。

[ 初期値 ] on

12.1.11 受信した ICMP のログを記録するか否かの設定

[ 書式 ] ip icmp log log no ip icmp log [log]

[ 設定値 ] ^○log

●on... 記録する

●off... 記録しない

[ 説明 ] 受信した ICMP を debug タイプのログに記録するか否かを設定する。

[ 初期値 ] off

12.1.12 ステルス機能の設定

[ 書式 ] ip stealth all

ip stealth interface[interface...]

no ip stealth[...]

[ 設定値 ] ^○all... すべての論理インタフェースからのパケットに対してステルス動作を行う

○interface... 指定した論理インタフェースからのパケットに対してステルス動作を行う

[ 説明 ] このコマンドを設定すると、指定されたインタフェースから自分宛に来たパケットが原因で発生する ICMP およ

び TCP リセットを返さないようになる。

自分がサポートしていないプロトコルや IPv6 ヘッダ、あるいはオープンしていない TCP/UDP ポートに対して 指定されたインタフェースからパケットを受信した時に、通常であれば ICMP unreachable や TCP リセットを 返送する。しかし、このコマンドを設定しておくとそれを禁止することができ、ポートスキャナーなどによる攻 撃を受けた時に本製品の存在を隠すことができる。

[ ノート ] 指定されたインタフェースからの PING にも答えなくなるので注意が必要である。

自分宛ではないパケットが原因で発生する ICMP はこのコマンドでは制御できない。それらを送信しないように するには、ip icmp *コマンド群を用いる必要がある。

[ 初期値 ] ステルス動作を行わない

130 12.ICMP の設定