静的フィルター・ルール

各静的フィルター・ルールには、スペースで区切られたフィールドがあります。

次のリストは、静的フィルター・ルールの各フィールドの名前を示しています (括弧内は、ルール 1 の場合の各フィールドの例です)。

  • Rule_number (1)
  • Action (permit)
  • Source_addr (0.0.0.0)
  • Source_mask (0.0.0.0)
  • Dest_addr (0.0.0.0)
  • Dest_mask (0.0.0.0)
  • Source_routing (no)
  • Protocol (udp)
  • Src_prt_operator (eq)
  • Src_prt_value (4001)
  • Dst_prt_operator (eq)
  • Dst_prt_value (4001)
  • Scope (both)
  • Direction (both)
  • Logging (no)
  • Fragment (all packets)
  • Tunnel (0)
  • Interface (all).
静的フィルター・ルールの例
1 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 no udp eq 4001 eq 4001 both both no all
   packets 0 all

2 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 no ah any 0 any 0 both both no all packets
   0 all

3 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 no esp any 0 any 0 both both no all packets
   0 all

4 permit 10.0.0.1 255.255.255.255 10.0.0.2 255.255.255.255 no all any 0 any 0 both
   outbound no all packets 1 all outbound traffic

5 permit 10.0.0.2 255.255.255.255 10.0.0.1 255.255.255.255 no all any 0 any 0 both
   inbound no all packets 1 all


6 permit 10.0.0.1 255.255.255.255 10.0.0.3 255.255.255.255 no tcp lt 1024 eq 514 local
   outbound yes all packets 2 all


7 permit 10.0.0.3 255.255.255.255 10.0.0.1 255.255.255.255 no tcp/ack eq 514 lt 1024
   local inbound yes all packets 2 all


8 permit 10.0.0.1 255.255.255.255 10.0.0.3 255.255.255.255 no tcp/ack lt 1024 lt 1024
   local outbound yes all packets 2 all


9 permit 10.0.0.3 255.255.255.255 10.0.0.1 255.255.255.255 no tcp lt 1024 lt 1024 local
   inbound yes all packets 2 all


10 permit 10.0.0.1 255.255.255.255 10.0.0.4 255.255.255.255 no icmp any 0 any 0 local
   outbound yes all packets 3 all


11 permit 10.0.0.4 255.255.255.255 10.0.0.1 255.255.255.255 no icmp any 0 any 0 local
   inbound yes all packets 3 all


12 permit 10.0.0.1 255.255.255.255 10.0.0.5 255.255.255.255 no tcp gt 1023 eq 21 local
   outbound yes all packets 4 all


13 permit 10.0.0.5 255.255.255.255 10.0.0.1 255.255.255.255 no tcp/ack eq 21 gt 1023 local
   inbound yes all packets 4 all


14 permit 10.0.0.5 255.255.255.255 10.0.0.1 255.255.255.255 no tcp eq 20 gt 1023 local
   inbound yes all packets 4 all


15 permit 10.0.0.1 255.255.255.255 10.0.0.5 255.255.255.255 no tcp/ack gt 1023 eq 20 local
   outbound yes all packets 4 all


16 permit 10.0.0.1 255.255.255.255 10.0.0.5 255.255.255.255 no tcp gt 1023 gt 1023 local
   outbound yes all packets 4 all


17 permit 10.0.0.5 255.255.255.255 10.0.0.1 255.255.255.255 no tcp/ack gt 1023 gt 1023 local
   inbound yes all packets 4 all


18 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 no all any 0 any 0 both both yes all
   packets

上の例の各ルールを説明します。

ルール 1
Session Key デーモン用のルールです。 このルールは、IP バージョン 4 のフィルター・テーブル だけに表示されます。 このルールは、セッション・キーのリフレッシュ用のパケットを制御するために、 ポート番号 4001 を使用します。 ルール 1 は、ポート番号が特定の目的のためにどのように使用されるかを示す例です。
注: ロギングを目的とする場合以外、このフィルター・ルールは変更しないでください。
ルール 2 およびルール 3
これらのルールによって、認証ヘッダー (AH) およびカプセル化セキュリティー・ ペイロード (ESP) ヘッダーの処理が可能となります。
注: ロギングを目的とする場合以外、ルール 2 および 3 は変更しないでください。
ルール 4 およびルール 5
アドレス 10.0.0.1 およびアドレス 10.0.0.2 の間のトラフィックをトンネル 1 を通してフィルターに掛ける、 自動生成ルールの集合。ルール 4 はアウトバウンド・トラフィック用で、 ルール 5 はインバウンド・トラフィック用です。
注: ルール 4 には、アウトバウンド・トラフィック のユーザー定義記述があります。
ルール 6 からルール 9
アドレス 10.0.0.1 およびアドレス 10.0.0.3 間のアウトバウンド rsh、 rcp、rdump、rrestore、および rdist サービスをトンネル 2 を通してフィルターに掛ける、 ユーザー定義ルールの集合。この例では、ロギングは Yes に設定され、 管理者がトラフィックのタイプをモニターできます。
ルール 10 およびルール 11
アドレス 10.0.0.1 およびアドレス 10.0.0.4 間のすべてのインバウンドおよびアウトバウンド icmp サービスのすべてのタイプをトンネル 3 を通してフィルターに掛ける、ユーザー定義ルールの集合。
ルール 12 からルール 17
10.0.0.1 および 10.0.0.5 間のアウトバウンド・ファイル転送プロトコル (FTP) サービスをトンネル 4 を通してフィルターに掛ける、ユーザー定義フィルター・ルール。
ルール 18
自動生成ルールは、常にテーブルの最後に配置されます。 この例では、他のフィルター・ルールと突き合わないすべてのパケットを許可します。 他のフィルター・ルールと突き合わないすべてのトラフィックを拒否するように設定することもできます。

ルールは、それぞれ別々に (lsfilt を使用して) 表示して、 各フィールドとその値をリストすることができます。 例えば、

Rule 1:
Rule action          : permit
Source Address       : 0.0.0.0
Source Mask          : 0.0.0.0
Destination Address  : 0.0.0.0
Destination Mask     : 0.0.0.0
Source Routing       : yes
Protocol             : udp
Source Port          : eq  4001
Destination Port     : eq  4001
Scope                : both
Direction            : both
Logging control      : no
Fragment control     : all packets
Tunnel ID number     : 0
Interface            : all
Auto-Generated       : yes

以下のリストには、フィルター・ルールで指定可能なすべてのパラメーターが含まれています。

-v
IP バージョン: 4 または 6
-a
アクション:
d
拒否
p
許可
-s
送信元アドレス。 IP アドレスまたはホスト名のどちらでも可。
-m
送信元サブネット・マスク
-d
宛先アドレス。 IP アドレスまたはホスト名のどちらでも可。
-M
宛先サブネット・マスク
-g
送信元経路指定制御: y または n
-c
プロトコル。 値は、udpicmptcptcp/ackospfpipespah、および all のいずれかです。
-o
送信元ポートの操作または ICMP タイプの操作
-p
送信元ポートの値または ICMP タイプの値
-O
宛先ポートの操作、または ICMP コードの操作
-P
宛先ポートの値、または ICMP コード値
-r
経路指定 :
r
転送パケット。
l
ローカルの受信/発信パケット。
b
両方。
-l
ログ制御
y
ログに組み込みます。
n
ログに組み込みません。
-f
フラグメント化。
y
フラグメント・ヘッダー、フラグメント、および非フラグメントに適用します。
o
フラグメントおよびフラグメント・ヘッダーのみに適用します。
n
非フラグメントのみに適用します。
h
非フラグメントおよびフラグメント・ヘッダーのみに適用します。
-t
トンネル ID
-i
tr0 または en0 などのインターフェース

詳しくは、『genfilt コマンド』および『chfilt コマンド』の説明を参照してください。