genfilt コマンド

目的

フィルター規則を追加します。

構文

genfilt -v 4|6 [ -n fid] [ -a D|P|I|L|E|H|S ] -s s_addr -m s_mask [-d d_addr] [ -M d_mask] [ -g Y|N ] [ -c protocol] [ -o s_opr] [ -p s_port] [ -O d_opr] [ -P d_port] [ -r R|L|B ] [ -w I|O|B ] [ -l Y|N ] [ -f Y|N|O|H ] [ -t tid] [ -i interface] [-D description] [-e expiration_time] [-x quoted_pattern] [-X pattern_filename ] [-C antivirus_filename]

説明

genfilt コマンドを使用して、 フィルター規則テーブルにフィルター規則を追加します。 このコマンドによって生成されたフィルター規則は、手動フィルター規則と呼ばれます。 IPsec フィルター規則は、genfilt コマンドまたは IPsec smit (IP バージョン 4 または IP バージョン 6) を使用して構成することができます。

フラグ

項目 説明
-a Action 次の Action 値が使用できます。
  • D (拒否) トラフィックをブロックします。
  • P (許可) トラフィックを許可します。
  • I これを IF フィルター・ルールにします。
  • L これを ELSE フィルター・ルールにします。
  • E これを ENDIF フィルター・ルールにします。
  • H これを SHUN_HOST フィルター・ルールにします。
  • S これを SHUN_PORT フィルター・ルールにします。
すべての IF ルールは、関連する ENDIF ルールととても緊密です。条件ルールはネストすることができますが、 正しいネスティングとスコープを順守する必要があります。順守しないとそのルールは mkfilt コマンドを正しくロードしません。
-C antivirus_filename アンチウィルスのファイル名を指定します。-C フラグは一部のバージョンの ClamAV ウィルス・データベース (http://www.clamav.net) を認識します。
-c protocol 有効な値は、udpicmpicmpv6tcptcp/ackospfipipespah、および all です。値 all は、フィルター・ルールがすべてのプロトコルに適用されるように指定します。プロトコルは、数値 (1 から 252 の間) でも指定することができます。デフォルト値は all です。 tcp/ack の値は、ACK フラグが設定された TCP パケットをチェックすることを意味します。
-D description フィルター・ルールの短い説明のテキストです。 このフラグは、静的フィルター規則の場合はオプションで、動的フィルター規則には適用されません。
-d d_addr 宛先アドレスを指定します。IP アドレスまたはホスト名です。ホスト名を指定すると、そのホストのネーム・サーバーによって戻される最初の IP アドレスが使用されます。 この値は、宛先サブネット・マスクとともに、IP パケットの宛先アドレスと比較されます。
-e expiration_time 満了時間を指定します。満了時間 (秒) はルールがアクティブである時間です。 expiration_time では、フィルター・ルールがデータベースから除去されません。expiration_time は、ネットワーク・トラフィックの処理中にフィルター・ルールがアクティブである時間に関連します。expiration_time を指定しないと、フィルター・ルールの存続時間は無限になります。 expiration_time を SHUN_PORT (-a S) または SHUN_HOST (-a H) フィルター・ルールと一緒に指定すると、これらのフィルター・ルール・パラメーターが満たされた場合に、これはリモート・ポートまたはリモート・ホストが拒否または回避される時間を表します。expiration_time を回避ルールと独立に指定すると、 これは、フィルター・ルールがカーネルにロードされてネットワーク・トラフィック処理が開始したとき、フィルター・ルールが活動中であり続ける時間になります。
-f フラグメント制御を指定します。このフラグは、すべてのパケット (Y)、フラグメント・ヘッダーとフラグメントされていないパケットのみ (H)、フラグメントとフラグメント・ヘッダーのみ (O)、フラグメントされていないパケットのみ (N) のいずれかにこのルールが適用されることを指定します。 デフォルト値は Y です。
-g 発信元経路指定に適用しますか ? に Y (はい) か N (いいえ) を指定しなければなりません。 Y を指定すると、このフィルター・ルールが送信元経路指定を使用する IP パケットに適用されます。 デフォルト値は、はい (Y) です。このフィールドは許可規則にしか適用されません。
-i interface フィルター・ルールが適用される IP インターフェースの名前を指定します。 名前の例としては、alltr0en0lo0、および pp0 があります。 デフォルト値は all です。
-l ログ制御を指定します。Y (はい) または N (いいえ) を指定する必要があります。Y を指定した場合、このフィルター・ルールに適合するパケットがフィルター・ログに取り込まれます。デフォルト値は N (いいえ) です。
-M 宛先サブネット・マスクを指定します。これは、IP パケットの宛先アドレスと、 フィルター・ルールの宛先アドレスを比較する際に使用されます。
-m 送信元サブネット・マスクを指定します。これは、IP パケットの送信元アドレスと、 フィルター・ルールの送信元アドレスを比較する際に使用されます。
-n フィルター・ルール ID を指定します。新しい規則は、指定されたフィルター規則の前に追加されます。 IP バージョン 4 の場合、ID は 1 より大きくなければなりません。理由は、最初のフィルター規則はシステム生成規則であって、移動できないからです。このフラグが使用されない場合は、フィルター規則テーブルの末尾に新規規則が追加されます。
-O 宛先ポートまたは ICMP コード操作を指定します。これは、宛先ポートまたは ICMP コード (-P フラグ) を指定して、パケットの宛先ポート/ICMP コード間の比較を行う際に使用される操作です。有効な値は、ltlegtgeeqneq、および any です。 デフォルト値は any です。 -c フラグが ospf の場合、この値は any でなければなりません。
-o 発信元ポートまたは ICMP タイプ操作を指定します。これは、このフィルター規則に送信元ポートまたは ICMP タイプ (-p フラグ) を指定してパケットの送信元ポート/ICMP タイプ間を比較する際に使用されるオペレーションです。 有効な値は、ltlegtgeeqneq、および any です。 デフォルト値は any です。 -c フラグが ospf の場合、この値は any でなければなりません。
-p 発信元ポートまたは ICMP タイプを指定します。これは、IP パケットの送信元ポート (または ICMP タイプ) と比較される値/タイプです。
-P 宛先ポートまたは ICMP コードを指定します。これは、IP パケットの宛先ポート (または ICMP コード) に相当する値/コードです。
-r 経路指定。これによって、規則が、転送パケット (R)、ローカル・ホストからの予定されたパケットか発信されたパケット (L)、あるいはその両方 (B) のいずれに適用されるかが指定されます。デフォルト値は B です。
-s s_addr 送信元アドレスを指定します。IP アドレスまたはホスト名です。ホスト名を指定すると、そのホストのネーム・サーバーによって戻される最初の IP アドレスが使用されます。 この値は、送信元サブネット・マスクとともに、IP パケットの送信元アドレスと比較されます。
-t このフィルター・ルールに関連したトンネルの ID を指定します。このフィルター・ルールに一致するすべてのパケットが、指定されたトンネルを経由する必要があります。このフラグを指定しないと、この規則は非トンネル・トラフィックのみに適用されます。
-v フィルター・ルールの IP バージョンを指定します。有効な値は 46 です。
-w Direction ルールが、受信パケット (I)、発信パケット (O)、または両方 (B) に適用されるかどうかを指定します。 デフォルト値は B です。発信方向 (O) を -x-X、または -C パターン・オプションと一緒に使用することは無効です。両方向 (B) をパターン・オプションと一緒に指定することは有効ですが、受信パケットだけが検査されます。
-X pattern_filename パターン・ファイル名を指定します。複数のパターンがこのフィルター・ルールに関連している場合は、 1 つのパターン・ファイル名を使用しなければなりません。そのパターン・ファイル名は、行あたり 1 パターンのフォーマットである必要があります。 パターンは引用符で囲まれていない文字列です。このファイルは、フィルター・ルールが活動化されるときに一度読み取られます。 詳しくは、mkfilt コマンドを参照してください。
-x pattern 引用符で囲まれた文字列またはパターンを指定します。指定された この文字列は、前に 0x が付かない限り、ASCII 文字列として解釈されます。0x が前に付いた場合は、この文字列は 16 進数文字列として解釈されます。 -x pattern フラグは、ネットワーク・トラフィックと比較されます。

セキュリティー

RBAC ユーザーおよび Trusted AIX ユーザーへの注意: このコマンドは特権命令を実行できます。 特権命令を実行できるのは特権ユーザーのみです。 権限および特権についての詳細情報は、「セキュリティー 」の『特権コマンド・データベース』を参照してください。 このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。