fwaccel dos deny

説明

fwaccel dos deny およびfwaccel6 dos deny コマンドは,SecureXL閉じた セキュリティゲートウェイを通過するIPv4およびIPv6トラフィックを高速化するセキュリティゲートウェイ上のCheck Point製品。 の IP deny-list を制御します。

deny-listは、指定したIPアドレスとの間のすべてのトラフィックを遮断します。

Deny-listによるドロップはSecureXLで発生するため、Access Control Policyでパケットをドロップするよりも効率的である。

重要:

IPv4用構文

fwaccel dos deny

      -a <IPv4 Address>

      -d <IPv4 Address>

      -F

      -M {on | off}

      -m

      -N "<Name of IP Deny-list>"

      -n

      -s

IPv6用構文

fwaccel6 dos deny

      -a <IPv6 Address>

      -d <IPv6 Address>

      -F

      -M {on | off}

      -m

      -N "<Name of IP Deny-list>"

      -n

      -s

パラメータ

パラメータ

説明

パラメータなし

該当する内蔵の使用状況を表示します。

-a <IP Address>

指定されたIPアドレスをDeny-listに追加します。

複数のIPアドレスを追加する場合は、該当するIPアドレスごとにこのコマンドを実行します。

-d <IP Address>

指定したIPアドレスをDeny-listから削除します。

複数のIPアドレスを削除するには、該当するIPアドレスごとにこのコマンドを実行します。

-F

IP Deny-listからすべてのIPアドレスを削除(フラッシュ)します。

-M {on | off}

IP拒否リストのモニタオンリーモードを有効(on)または無効(off)にします。

デフォルトでは、モニタ専用モードは無効になっています。

モニタオンリーモードでは、トラフィックをブロックせずにIP拒否リストをテストすることができます。

このコマンドは、IP deny-list にのみ影響します(fw samp ルールなどには影響しません)。

-m

IP 拒否リストのモニタオンリーモードの現在の状態(有効または無効)を表示します。

-N "<Name of IP Deny-list>"

IP deny-list の名前を設定します。

この名前は、Security Gatewayのログに表示されます。

注:

  • 最大長は15 文字です。

  • ASCII文字のみを使用する必要があります。

-n

IP 拒否リストに設定されている名前を表示します。

-s

設定されているDeny-listを表示します。

非VSXゲートウェイの例

[Expert@MyGW:0]# fwaccel dos deny -s
The deny list is empty
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos deny -a 1.1.1.1
Adding 1.1.1.1
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos deny -s
1.1.1.1
[Expert@MyGW:0]# fwaccel dos deny -a 2.2.2.2
Adding 2.2.2.2
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos deny -s
2.2.2.2
1.1.1.1
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos deny -d 2.2.2.2
Deleting 2.2.2.2
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos deny -s
1.1.1.1
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos deny -F
All deny list entries deleted
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel dos deny -s
The deny list is empty
[Expert@MyGW:0]#