genfilt コマンド
目的
フィルター規則を追加します。
構文
genfilt -v 4|6 [ -n fid] [ -a D|P|I|L|E|H|S ] -s s_addr -m s_mask [-d d_addr] [ -M d_mask] [ -g Y|N ] [ -c protocol] [ -o s_opr] [ -p s_port] [ -O d_opr] [ -P d_port] [ -r R|L|B ] [ -w I|O|B ] [ -l Y|N ] [ -f Y|N|O|H ] [ -t tid] [ -i interface] [-D description] [-e expiration_time] [-x quoted_pattern] [-X pattern_filename ] [-C antivirus_filename]
説明
genfilt コマンドを使用して、 フィルター規則テーブルにフィルター規則を追加します。 このコマンドによって生成されたフィルター規則は、手動フィルター規則と呼ばれます。 IPsec フィルター規則は、genfilt コマンドまたは IPsec smit (IP バージョン 4 または IP バージョン 6) を使用して構成することができます。
フラグ
項目 | 説明 |
---|---|
-a Action | 次の Action 値が使用できます。
|
-C antivirus_filename | アンチウィルスのファイル名を指定します。-C フラグは一部のバージョンの ClamAV ウィルス・データベース (http://www.clamav.net) を認識します。 |
-c protocol | 有効な値は、udp、icmp、icmpv6、tcp、tcp/ack、ospf、ipip、esp、ah、および all です。値 all は、フィルター・ルールがすべてのプロトコルに適用されるように指定します。プロトコルは、数値 (1 から 252 の間) でも指定することができます。デフォルト値は all です。 tcp/ack の値は、ACK フラグが設定された TCP パケットをチェックすることを意味します。 |
-D description | フィルター・ルールの短い説明のテキストです。 このフラグは、静的フィルター規則の場合はオプションで、動的フィルター規則には適用されません。 |
-d d_addr | 宛先アドレスを指定します。IP アドレスまたはホスト名です。ホスト名を指定すると、そのホストのネーム・サーバーによって戻される最初の IP アドレスが使用されます。 この値は、宛先サブネット・マスクとともに、IP パケットの宛先アドレスと比較されます。 |
-e expiration_time | 満了時間を指定します。満了時間 (秒) はルールがアクティブである時間です。 expiration_time では、フィルター・ルールがデータベースから除去されません。expiration_time は、ネットワーク・トラフィックの処理中にフィルター・ルールがアクティブである時間に関連します。expiration_time を指定しないと、フィルター・ルールの存続時間は無限になります。 expiration_time を SHUN_PORT (-a S) または SHUN_HOST (-a H) フィルター・ルールと一緒に指定すると、これらのフィルター・ルール・パラメーターが満たされた場合に、これはリモート・ポートまたはリモート・ホストが拒否または回避される時間を表します。expiration_time を回避ルールと独立に指定すると、 これは、フィルター・ルールがカーネルにロードされてネットワーク・トラフィック処理が開始したとき、フィルター・ルールが活動中であり続ける時間になります。 |
-f | フラグメント制御を指定します。このフラグは、すべてのパケット (Y)、フラグメント・ヘッダーとフラグメントされていないパケットのみ (H)、フラグメントとフラグメント・ヘッダーのみ (O)、フラグメントされていないパケットのみ (N) のいずれかにこのルールが適用されることを指定します。 デフォルト値は Y です。 |
-g | 発信元経路指定に適用しますか ? に Y (はい) か N (いいえ) を指定しなければなりません。 Y を指定すると、このフィルター・ルールが送信元経路指定を使用する IP パケットに適用されます。 デフォルト値は、はい (Y) です。このフィールドは許可規則にしか適用されません。 |
-i interface | フィルター・ルールが適用される IP インターフェースの名前を指定します。 名前の例としては、all、tr0、en0、lo0、および pp0 があります。 デフォルト値は all です。 |
-l | ログ制御を指定します。Y (はい) または N (いいえ) を指定する必要があります。Y を指定した場合、このフィルター・ルールに適合するパケットがフィルター・ログに取り込まれます。デフォルト値は N (いいえ) です。 |
-M | 宛先サブネット・マスクを指定します。これは、IP パケットの宛先アドレスと、 フィルター・ルールの宛先アドレスを比較する際に使用されます。 |
-m | 送信元サブネット・マスクを指定します。これは、IP パケットの送信元アドレスと、 フィルター・ルールの送信元アドレスを比較する際に使用されます。 |
-n | フィルター・ルール ID を指定します。新しい規則は、指定されたフィルター規則の前に追加されます。 IP バージョン 4 の場合、ID は 1 より大きくなければなりません。理由は、最初のフィルター規則はシステム生成規則であって、移動できないからです。このフラグが使用されない場合は、フィルター規則テーブルの末尾に新規規則が追加されます。 |
-O | 宛先ポートまたは ICMP コード操作を指定します。これは、宛先ポートまたは ICMP コード (-P フラグ) を指定して、パケットの宛先ポート/ICMP コード間の比較を行う際に使用される操作です。有効な値は、lt、le、gt、ge、eq、neq、および any です。 デフォルト値は any です。 -c フラグが ospf の場合、この値は any でなければなりません。 |
-o | 発信元ポートまたは ICMP タイプ操作を指定します。これは、このフィルター規則に送信元ポートまたは ICMP タイプ (-p フラグ) を指定してパケットの送信元ポート/ICMP タイプ間を比較する際に使用されるオペレーションです。 有効な値は、lt、le、gt、ge、eq、neq、および any です。 デフォルト値は any です。 -c フラグが ospf の場合、この値は any でなければなりません。 |
-p | 発信元ポートまたは ICMP タイプを指定します。これは、IP パケットの送信元ポート (または ICMP タイプ) と比較される値/タイプです。 |
-P | 宛先ポートまたは ICMP コードを指定します。これは、IP パケットの宛先ポート (または ICMP コード) に相当する値/コードです。 |
-r | 経路指定。これによって、規則が、転送パケット (R)、ローカル・ホストからの予定されたパケットか発信されたパケット (L)、あるいはその両方 (B) のいずれに適用されるかが指定されます。デフォルト値は B です。 |
-s s_addr | 送信元アドレスを指定します。IP アドレスまたはホスト名です。ホスト名を指定すると、そのホストのネーム・サーバーによって戻される最初の IP アドレスが使用されます。 この値は、送信元サブネット・マスクとともに、IP パケットの送信元アドレスと比較されます。 |
-t | このフィルター・ルールに関連したトンネルの ID を指定します。このフィルター・ルールに一致するすべてのパケットが、指定されたトンネルを経由する必要があります。このフラグを指定しないと、この規則は非トンネル・トラフィックのみに適用されます。 |
-v | フィルター・ルールの IP バージョンを指定します。有効な値は 4 と 6 です。 |
-w Direction | ルールが、受信パケット (I)、発信パケット (O)、または両方 (B) に適用されるかどうかを指定します。 デフォルト値は B です。発信方向 (O) を -x、-X、または -C パターン・オプションと一緒に使用することは無効です。両方向 (B) をパターン・オプションと一緒に指定することは有効ですが、受信パケットだけが検査されます。 |
-X pattern_filename | パターン・ファイル名を指定します。複数のパターンがこのフィルター・ルールに関連している場合は、 1 つのパターン・ファイル名を使用しなければなりません。そのパターン・ファイル名は、行あたり 1 パターンのフォーマットである必要があります。 パターンは引用符で囲まれていない文字列です。このファイルは、フィルター・ルールが活動化されるときに一度読み取られます。 詳しくは、mkfilt コマンドを参照してください。 |
-x pattern | 引用符で囲まれた文字列またはパターンを指定します。指定された
この文字列は、前に 0x が付かない限り、ASCII 文字列として解釈されます。0x が前に付いた場合は、この文字列は 16 進数文字列として解釈されます。
-x pattern フラグは、ネットワーク・トラフィックと比較されます。 |
セキュリティー
RBAC ユーザーおよび Trusted AIX ユーザーへの注意: このコマンドは特権命令を実行できます。 特権命令を実行できるのは特権ユーザーのみです。 権限および特権についての詳細情報は、「セキュリティー
」の『特権コマンド・データベース』を参照してください。 このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。