fwaccel dos allow

説明

fwaccel dos allow コマンドは,SecureXL閉じた セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。 ペナルティボックスの送信元IPアドレスの許可リストを設定します。

この許可リストは、SecureXLペナルティボックスがどのパケットをドロップするかを上書きします。

重要:

注:

  • Rate Limiting ポリシーを allow-list するには,fw samp コマンドの bypass action を参照してください。

    例: fw samp -a b ...

    fw sam_policy コマンドの詳細については、fw sam_policy を参照してください。

  • このコマンドは、"fwaccel dos pbox allow" コマンドと似ています(fwaccel dos pbox 参照)。

  • また、fwaccel synatk allowコマンドも参照してください。

IPv4用構文

fwaccel dos allow

      -a <IPv4 Address>[/<Subnet Prefix>]

      -d <IPv4 Address>[/<Subnet Prefix>]

      -F

      -l /<Path>/<Name of File>

      -L

      -s

パラメータ

パラメータ

説明

パラメータなし

該当する内蔵の使用状況を表示します。

-a <IPv4 Address>[/<Subnet Prefix>]

指定した IP アドレスをペナルティボックスの許可リストに追加します。

  • <IPv4 Address>

    ネットワークまたはホストのIPv4アドレスを指定することができます。

  • <Subnet Prefix>

    サブネットマスクの長さをフォーマットで指定する必要がある/<bits>.

    ホストIPv4アドレスの場合は省略可能です。

    ネットワークIPv4アドレスの場合は必須。

    範囲 - /1 から /32 まで。

    重要- サブネットプレフィックスを明示的に指定しない場合、このコマンドはサブネットプレフィックス/32を使用します。

例:

  • ホストの場合

    192.168.20.30

    192.168.20.30/32

  • ネットワークの場合

    192.168.20.0/24

-d <IPv4 Address>[/<Subnet Prefix>]

ペナルティーボックスの許可リストから指定された IPv4 アドレスを削除します。

  • <IPv4 Address>

    ネットワークまたはホストのIPv4アドレスを指定することができます。

  • <Subnet Prefix>

    オプションです。サブネットマスクの長さをフォーマットで指定する必要がある/<bits>.

    ホストIPv4アドレスの場合は省略可能です。

    ネットワークIPv4アドレスの場合は必須。

    範囲 - /1 から /32 まで。

    重要- サブネットプレフィックスを明示的に指定しない場合、このコマンドはサブネットプレフィックス/32を使用します。

-F

Penalty Box allow-listからすべてのエントリを削除(フラッシュ)します。

-l /<Path>/<Name of File>

指定されたプレーンテキストファイルからPenalty Boxの許可リストエントリーを読み込みます。

- 現在のallow-listを新しいファイルの内容に置き換えるには、同じコマンドラインで "-F" と "-l" の両パラメータを使用します。

重要:

  • このファイルは、touch またはvi コマンドで手動で作成し、設定する必要があります。

  • このファイルには、chmod +x コマンドで少なくとも読み取り権限を付与する必要があります。

  • このファイルの各エントリは、独立した行にする必要があります。

  • このファイルの各エントリは、この形式でなければなりません。

    <IPv4 Address>[/<Subnet Prefix>]

  • SecureXLは、このファイル中の空行と#文字で始まる行を無視します。

-L

ペナルティーボックスの許可リストエントリーを、あらかじめ定義された名前のプレーンテキストファイルから読み込みます。

$FWDIR/conf/pbox-allow-list-v4.conf

Security Gatewayは、起動時に自動的にこのコマンド"fwaccel dos pbox allow -L"を実行します。

- 現在のallow-listを新しいファイルの内容に置き換えるには、同じコマンドラインで "-F" と "-L" の両パラメータを使用します。

重要:

  • このファイルはデフォルトでは存在しません。

  • このファイルは、touch またはvi コマンドで手動で作成し、設定する必要があります。

  • このファイルには、chmod +x コマンドで少なくとも読み取り権限を付与する必要があります。

  • このファイルの各エントリは、独立した行にする必要があります。

  • このファイルの各エントリは、この形式でなければなりません。

    <IPv4 Address>[/<Subnet Prefix>]

  • SecureXLは、このファイル中の空行と#文字で始まる行を無視します。

-s

現在のPenalty Boxのallow-listエントリーを表示します。

例1 - オプションのサブネットプレフィックスを使用しないホストIPアドレスの追加

[Expert@MyGW:0]# fwaccel dos allow -a 192.168.20.40
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos allow -s
192.168.20.40/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos allow -F
[Expert@MyGW:0]# fwaccel dos allow -s
[Expert@MyGW:0]#

例2 - オプションのサブネットプレフィックスを使用したホストIPアドレスの追加

[Expert@MyGW:0]# fwaccel dos allow -a 192.168.20.40/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos allow -s
192.168.20.40/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos allow -F
[Expert@MyGW:0]# fwaccel dos allow -s
[Expert@MyGW:0]#

例3 - サブネットプレフィックスを必須とするネットワークIPアドレスの追加

[Expert@MyGW:0]# fwaccel dos allow -a 192.168.20.0/24
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos allow -s
192.168.20.0/24
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos allow -F
[Expert@MyGW:0]# fwaccel dos allow -s
[Expert@MyGW:0]#

例4 - エントリーを削除する

[Expert@MyGW:0]# fwaccel dos allow -a 192.168.20.40/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos allow -a 192.168.20.70/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos allow -s
192.168.20.40/32
192.168.20.70/32
[Expert@MyGW:0]# fwaccel dos allow -d 192.168.20.70/32
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos allow -s
192.168.20.40/32
[Expert@MyGW:0]#