フィルタの追加・編集

概要

フィルタ(許可するパケットの条件)を新規に追加したり、編集したりします。

フィルタの追加・編集

インタフェース名
フィルタの設定を行う対象のインタフェース名を表示しています。括弧内はそのインタフェースに割り当てられたアドレスです。
送信元アドレス
許可するパケットの送信元クライアントを指定します。
すべて許可
ここにチェックを付けると、すべてのクライアントからのパケットを許可します。
以下のアドレスのみ許可
ここにチェックを付けると、指定したクライアントからのパケットだけを許可します。次のような形式で指定できます。
IPアドレス
クライアントのIPアドレスを指定できます。例えば、192.168.0.1など。
ネットワークアドレスとサブネットマスク
ネットワークアドレスとサブネットマスクを使ってアドレスの範囲を指定できます。例えば、192.168.0.0/24や192.168.0.0/255.255.255.0など(何れも192.168.0.0から192.168.0.255までの256個のアドレスにマッチします)。
許可するパケット
指定した送信元アドレスに対して、許可するパケットを指定します。
すべて許可
ここにチェックを付けると、すべてのパケットを許可します。
以下のパケットのみ許可
ここにチェックを付けると、指定したパケットだけを許可します。候補にチェックを付けるか、「その他」に一行ずつ指定してください。次のような形式で指定できます。
サービス名
/etc/servicesファイルに登録されているサービス名を指定できます。例えば、tcp/telnetなど。
ポート番号の列挙
カンマ( , )で区切ってポート番号を列挙して指定できます。例えば、tcp/5555,6666,7777など(tcpの3個のポート番号にマッチします)。
ポート番号の範囲
コロン( : )で区切ってポート番号の範囲を指定できます。例えば、udp/5555:5559など(udpの5555から5559までの5個のポート番号にマッチします)。
ICMPタイプ
ICMPタイプを指定できます。例えば、icmp/echo-requestなど。詳細は下記の補足を参照してください。

注意事項

Management Consoleでは、入力時にフィルタリングを行っているので、次のような注意事項があります。
サーバのWeb, セキュアWeb, TELNET, sendmail, POP, IMAP, FTPを利用する場合
これらのサービスを利用するとき、名前解決をすることがあります。名前解決に他ネームサーバを利用する可能性のある場合は、「名前解決(udp/32768:61000)」を許可する必要があります。
サーバのFTPをPASVモードで利用する場合
サーバのFTPをPASVモードで利用する場合には、クライアントからサーバにFTPデータ転送の接続要求(SYNパケット)が送られるので、tcp/1024:65535(ただし3128〜3130,8080,50080を除く)を許可する必要があります(具体的にはtcp/1024:3127,3131:8079,8081:50079,50081:65535のように記述します)。
サーバが他のマシンのWeb, セキュアWeb, sendmail, FTP, DNSにアクセスする場合
通信相手から認証要求のSYNパケットが送られることがあるので、「認証(tcp/113)」を許可することを推奨します。
サーバが他のFTPサーバを利用する場合
非PASVモードで利用する場合には、通信相手からFTPデータ転送のSYNパケットが送られてくるので、tcp/1024:65535(ただし3128〜3130,8080,50080を除く)を許可する必要があります。
あるマシンがサーバを経由して他マシン(仮にhost1とする)のWeb, セキュアWeb, sendmail, FTP, DNSにアクセスする場合
host1から認証要求のSYNパケットが送られることがあるので、サーバのhost1につながる側のインタフェースで「認証(tcp/113)」を許可することを推奨します。
あるマシンがサーバを経由して他マシン(仮にhost1とする)のFTPサーバを利用する場合
非PASVモードで利用する場合には、host1からFTPデータ転送のSYNパケットが送られてくるので、サーバのhost1につながる側のインタフェースで以下のポートを許可する必要があります。
アドレス変換しない場合
tcp/1024:65535(ただし3228〜3130,8080,50080を除く)
アドレス変換する場合
tcp/61000:65096
あるマシンがサーバを経由して他マシン(仮にhost1とする)のudp系のサービスを利用する場合
host1からのudpパケットを受け取れるようにするために、サーバのhost1につながる側のインタフェースで以下のポートを許可する必要があります。
アドレス変換しない場合
そのサービス
アドレス変換する場合
udp/61000:65096

補足

「許可するパケット」に指定できる主なICMPタイプは次の通りです。

なお、次のICMPタイプは無条件に許可されています。

関連項目