chfilt コマンド
目的
フィルター・ルールを変更します。
構文
chfilt -v 4|6 -n fid [ -a D|P|I|L|E|H|S] [ -s s_addr] [ -m s_mask] [ -d d_addr] [ -M d_mask] [ -g Y|N] [ -c protocol] [ -o s_opr] [ -p s_port] [ -O d_opr] [ -P d_port] [ -r R|L|B] [ -w I|O|B] [ -l Y|N] [ -f Y|N|O|H] [ -t tid] [ -i interface][ -D description] [-e expiration_time] [-x quoted_pattern | -X pattern_filename | -C antivirus_filename]
説明
chfilt コマンドを使用して、フィルター・ルール・テーブル内のフィルター・ルールの定義を変更します。 自動生成されたフィルター・ルールと手書きフィルター・ルールを、このコマンドで変更できます。 自動生成されたフィルター・ルールを chfilt コマンドで変更すると、そのルールは手書きフィルター・ルールになります。 このコマンドの IPsec フィルター規則は、genfilt コマンドまたは IPsec smit (IP バージョン 4 または IP バージョン 6) を使用して構成することができます。
フラグ
| 項目 | 説明 |
|---|---|
| -a Action | 指定できる Action 値は以下のとおりです。
|
| -C anitvirus_filename | アンチウィルス・ファイル名を指定します。-C フラグは一部のバージョンの ClamAV ウィルス・データベース (http://www.clamav.net) を認識します。 |
| -cprotocol | プロトコル。有効な値は、udp、icmp、icmpv6、tcp、tcp/ack、ospf、ipip、 esp、ah、および all です。値 all は、フィルター・ルールがすべてのプロトコルに適用されるよう指示します。 プロトコルは、数値を用いて指定することもできます (1 から 252 まで)。 |
| -dd_addr | 宛先アドレス。IP アドレスまたはホスト名を指定できます。 ホスト名を指定すると、ネームサーバーがそのホストに最初に戻した IP アドレスが使用されます。 この値は、宛先サブネット・マスクと共に、IP パケットの宛先アドレスに対して比較されます。 |
| -D | フィルターの記述。フィルター規則の要約記述テキスト。 |
| -e expiration_time | ルールがアクティブでいなければならない時間を分単位で指定します。 expiration_time ではフィルター・ルールがデータベースから除去されません。 expiration_time は、ネットワーク・トラフィックの処理中にフィルター・ルールがアクティブでいる時間に関連します。 expiration_time が指定されない場合、フィルター・ルールの存続時間は無限になります。 expiration_time を SHUN_PORT (-a S) または SHUN_HOST (-a H) フィルター・ルールと一緒に指定すると、これらのフィルター・ルール・パラメーターが満たされた場合に、これがリモート・ポートまたはリモート・ホストが拒否または回避される時間を表します。 この expiration_time が回避ルールと関係なく指定された場合は、フィルター・ルールがカーネルにロードされ、ネットワーク・トラフィックの処理を開始した後に、そのフィルター・ルールがアクティブのままでいる時間を表します。 |
| -f | フラグメント制御。このフラグは、すべてのパケット (Y)、フラグメント・ヘッダーとフラグメントされていないパケットのみ (H)、フラグメントとフラグメント・ヘッダーのみ (O)、フラグメントされていないパケットのみ (N) のいずれにこのルールが適用されることを指定します。 |
| -g | 送信元経路指定に適用するかどうか指定します。Y (はい) または N (いいえ) を指定する必要があります。 Y を指定すると、このフィルター・ルールが送信元経路指定を使用する IP パケットに適用されます。 |
| -i interface | フィルター・ルールが適用される IP インターフェース (1 つ以上) の名前。 例として、all、tr0、en0、lo0、および pp0 があります。 |
| -l | ログ制御。Y (はい) または N (いいえ) を指定する必要があります。 Y を指定した場合、このフィルター・ルールに適合するパケットは、フィルター・ログに取り込まれます。 |
| -M d_mask | 宛先サブネット・マスク。 これは、IP パケットの宛先アドレスと比較されるときに、宛先アドレス (-d フラグ) に適用されます。 |
| -m s_mask | 送信元サブネット・マスク。 これは、IP パケットの送信元アドレスと比較されるときに、送信元アドレス (-s フラグ) に適用されます。 |
| -n fid | 変更しようとするフィルター・ルールの ID。この ID は、フィルター・ルール・テーブルの中になければなりません。また、IP バージョン 4 に対しては 1 を指定することはできません (ルール 1 はシステムが予約済みのルールであり、変更できません)。 |
| -O d_opr | 宛先ポートまたは ICMP コードの操作。 これは、パケットの宛先ポート/ICMP コードと、宛先ポートまたは ICMP コード (-P フラグ) の比較に使用される操作です。 有効な値は、lt、le、gt、ge、eq、neq、 および any です。 -c フラグが ospf のときは、この値を any にする必要があります。 |
| -o s_opr | 送信元ポートまたは ICMP タイプの操作。 これは、パケットの送信元ポート/ICMP タイプと、このフィルター・ルールに指定されている送信元ポートまたは ICMP タイプ (-p フラグ) の比較に使用される操作です。 有効な値は、lt、le、gt、ge、eq、neq、 および any です。-c フラグが ospf のときは、この値を any にする必要があります。 |
| -P d_port | 宛先ポートまたは ICMP コード。これは、IP パケットの宛先ポート (または ICMP コード) に相当する値/コードです。 |
| -p s_port | 送信元ポートまたは ICMP タイプ。 これは、IP パケットの送信元ポート (または ICMP タイプ) と比較される値/タイプです。 |
| -r | 転送されたパケット (R)、ローカル・ホスト (L) へ宛てられた、またはローカル・ホストから送信されたパケット、あるいはこの両方 (B) にルールを適用するかどうかを指定します。 |
| -ss_addr | ソース・アドレスを指定します。IP アドレスまたはホスト名を指定できます。 ホスト名を指定すると、ネームサーバーがそのホストに最初に戻した IP アドレスが使用されます。 この値は、送信元サブネット・マスクとともに、IP パケットの送信元アドレスと比較されます。 |
| -t tid | このフィルター・ルールに関連したトンネルの ID を指定します。このフィルター・ルールに一致するすべてのパケットが指定されたトンネルを経由する必要があります。 |
| -v | ターゲット・フィルター・ルールの IP バージョンを指定します。 |
| -w | 着信パケット (I)、発信パケット (O)、またはこの両方 (B) にルールが適用されるかどうかを指定します。 |
| -X pattern_filename | パターン・ファイル名を指定します。このフィルター・ルールに複数のパターンが関連する場合は、パターン・ファイル名を使用する必要があります。 パターン・ファイル名は、必ず 1 行に 1 つのパターンというフォーマットで指定します。パターンは引用符で囲まない文字列です。 このファイルは、フィルター・ルールが活動化されたときに 1 回読み取られます。 詳しくは、mkfilt コマンドを参照してください。 |
| -x quoted_pattern | 引用符で囲んだ文字列またはパターンを指定します。-x pattern フラグはネットワーク・トラフィックと比較されます。 |
セキュリティー
RBAC ユーザーと Trusted AIX® ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドを参照してください。