fwaccel synatk allow

説明

fwaccel synatk allow" と "fwaccel6 synatk allow" コマンドは、Accelerated SYN Defenderのallow-listを制御します。

注:

  • この許可リストは、Accelerated SYN Defenderがどのパケットをドロップするかを上書きします。サードパーティ製や自動ブラックリストを使用する前に、信頼できるネットワークとホストを許可リストに追加して、障害を回避してください。

  • また、fwaccel dos allowコマンドを参照してください。

重要- クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。では、すべてのクラスタメンバで同じようにレートリミットを設定する必要があります。

IPv4用構文

fwaccel synatk allow

      -a <IPv4 Address>[/<Subnet Prefix>]

      -d <IPv4 Address>[/<Subnet Prefix>]

      -F

      -l /<Path>/<Name of File>

      -L

      -s

IPv6用構文

fwaccel6 synatk allow

      -a <IPv6 Address>[/<Subnet Prefix>]

      -d <IPv6 Address>[/<Subnet Prefix>]

      -F

      -l /<Path>/<Name of File>

      -L

      -s

パラメータ

パラメータ

説明

パラメータなし

該当する内蔵の使用状況を表示します。

-a <IPv4 Address>[/<Subnet Prefix>]

指定した IPv4 アドレスを Accelerated SYN Defender の allow-list に追加します。

  • <IPv4 Address>

    ネットワークまたはホストのIPv4アドレスを指定することができます。

  • <Subnet Prefix>

    サブネットマスクの長さをフォーマットで指定する必要がある/<bits>.

    ホストIPv4アドレスの場合は省略可能です。

    ネットワークIPv4アドレスの場合は必須。

    範囲 - /1 から /32 まで。

    重要- サブネットプレフィックスを明示的に指定しない場合、このコマンドはサブネットプレフィックス/32を使用します。

例:

  • ホストの場合

    192.168.20.30

    192.168.20.30/32

  • ネットワークの場合

    192.168.20.0/24

-a <IPv6 Address>[/<Subnet Prefix>]

指定した IPv6 アドレスを Accelerated SYN Defender の allow-list に追加します。

  • <IPv6 Address>

    ネットワークまたはホストのIPv6アドレスを指定することができます。

  • <Subnet Prefix>

    サブネットマスクの長さをフォーマットで指定する必要がある/<bits>.

    ホストIPv6アドレスの場合は省略可能です。

    ネットワークIPv6アドレスの場合は必須。

    範囲 - /1 から /128 まで。

    重要- サブネットプレフィックスを明示的に指定しない場合、このコマンドはサブネットプレフィックス /128 を使用します。

例:

  • ホストの場合

    2001:0db8:85a3:0000:0000:8a2e:0370:7334

    2001:0db8:85a3:0000:0000:8a2e:0370:7334/128

  • ネットワークの場合

    2001:cdba:9abc:5678::/64

-d <IPv4 Address>[/<Subnet Prefix>]

Accelerated SYN Defender の allow-list から指定した IPv4 アドレスを削除します。

  • <IPv4 Address>

    ネットワークまたはホストのIPv4アドレスを指定することができます。

  • <Subnet Prefix>

    オプションです。サブネットマスクの長さをフォーマットで指定する必要がある/<bits>.

    ホストIPv4アドレスの場合は省略可能です。

    ネットワークIPv4アドレスの場合は必須。

    範囲 - /1 から /32 まで。

    重要- サブネットプレフィックスを明示的に指定しない場合、このコマンドはサブネットプレフィックス/32を使用します。

-d <IPv6 Address>[/<Subnet Prefix>]

Accelerated SYN Defender の allow-list から指定した IPv6 アドレスを削除します。

  • <IPv6 Address>

    ネットワークまたはホストのIPv6アドレスを指定することができます。

  • <Subnet Prefix>

    オプションです。サブネットマスクの長さをフォーマットで指定する必要がある/<bits>.

    ホストIPv6アドレスの場合は省略可能です。

    ネットワークIPv6アドレスの場合は必須。

    範囲 - /1 から /128 まで。

    重要- サブネットプレフィックスを明示的に指定しない場合、このコマンドはサブネットプレフィックス /128 を使用します。

-F

Accelerated SYN Defenderのallow-listからすべてのエントリを削除(フラッシュ)します。

-l /<Path>/<Name of File>

Accelerated SYN Defenderのallow-listエントリーを指定されたプレーンテキストファイルから読み込みます。

- 現在のallow-listを新しいファイルの内容に置き換えるには、同じコマンドラインで-F-l の両方のパラメータを使用します。

重要:

-L

Accelerated SYN Defenderのallow-listエントリーを、あらかじめ定義された名前のプレーンテキストファイルから読み込みます。

$FWDIR/conf/synatk-allow-list-v4.conf

Security Gateway は、起動時に自動的にこれらのコマンド "{fwaccel | fwaccel6} synatk allow -L" を実行します。

- 現在のallow-listを新しいファイルの内容に置き換えるには、同じコマンドラインで "-F" と "-L" の両パラメータを使用します。

重要:

  • このファイルはデフォルトでは存在しません。

  • このファイルは、touch またはvi コマンドで手動で作成し、設定する必要があります。

  • このファイルには、chmod +x コマンドで少なくとも読み取り権限を付与する必要があります。

  • このファイルの各エントリは、独立した行にする必要があります。

  • このファイルの各エントリは、この形式でなければなりません。

    <IPv4 Address>[/<Subnet Prefix>]

  • SecureXLは、このファイル中の空行と#文字で始まる行を無視します。

-s

現在のAccelerated SYN Defenderのallow-listエントリーを表示します。

 

[Expert@MyGW:0]# fwaccel synatk allow -a 192.168.20.0/24
[Expert@MyGW:0]# fwaccel synatk allow -s
192.168.20.0/24
[Expert@MyGW:0]# fwaccel synatk allow -d 192.168.20.0/24
[Expert@MyGW:0]#
[Expert@MyGW:0]# fwaccel synatk allow -a 192.168.40.55
[Expert@MyGW:0]# fwaccel synatk allow -s
192.168.40.55/32
[Expert@MyGW:0]# fwaccel synatk allow -d 192.168.40.55