ファイアウォール機能 リファレンスマニュアル

目次 索引

9.1.1 FWConfig（FireWall Configuration）

FWConfig ファイルは、IP フィルタに関するインタフェース情報、ライン

情報、ロギング、アラートに関する基本動作環境を設定します。

■記述形式

各ファイルの第1 カラムが"#"の行は、コメント行として解釈されます。

コンフィグレーション・エントリは，大括弧（"["、"]"）で囲まれたカテゴリ名、および各カテゴリごとのパラメタから構成されます。

コンフィグレーション・エントリは1 行に1 構成要素（カテゴリまたはパラメタ）が記述できます。

■パラメタの説明

◆[INTERFACE]カテゴリ

IPフィルタのフィルタリング対象のインタフェース情報を設定します。INTERFACEカテゴリには、以下のパラメタがあります。

IF_NAME_<n>

フィルタリングの対象となるインタフェース名を1 〜16文字で指定します。

<n>には、インタフェースシーケンス番号（0,1,2,..）を設定します。

IF_TYPE_<n>

インタフェースが外部ネットワーク（相対的にセキュリティレベルの低いネットワーク）に対するものか、または、内部ネットワーク（相対的にセキュリティレベルの高いネットワーク）に対するものかを指定します。

• in

  内部ネットワークインタフェース

• out

  外部ネットワークインタフェース

• mid

  インタフェースの定義が1個だけの場合

<n>には、インタフェースシーケンス番号（0,1,2,..）を設定します。

IF_IP_<n>

各インタフェースに対するIPアドレスを指定します。

<n>には、インタフェースシーケンス番号（0,1,2,..）を設定します。

◆[LINE]カテゴリ

IPフィルタを行うネットワークパス情報を設定します。LINEカテゴリには以下のパラメタがあります。

LINE_<n>

ネットワークパスを指定します。INTERFACEカテゴリに設定されているインタフェースのインタフェースシーケンス番号を2つ選択します。

インタフェースの定義が1 つだけの場合は、同一のインタフェースシーケンス番号を組み合わせて指定します。

<n>には、LINEシーケンス番号（0,1,2,..）を設定します。

◆[LOG]カテゴリ

IPフィルタロギングの動作環境を設定します。LOGカテゴリには以下のパラメタがあります。

PROTOCOL

ロギング対象とするプロトコル種別を指定します。

• tcpudp

  TCP、UDPパケットを対象とする

• icmp

  ICMPパケットを対象とする

• all

  全パケットを対象とする

TYPE

ロギング対象とするデータ種別を指定します。

• established

  コネクション確立／解放（TCP、UDPだけ）

• blocked

  通過拒否

• all

  コネクション確立／解放、通過拒否

DIR

ロギングファイル格納用デイレクトリをフルパス（1 〜 512バイト）で指定します。

CYCLE

ロギングファイルの保存日数を日単位（1 〜 99）で指定します。指定した日数を過ぎたファイルは削除されます。

OVERFLOW_MODE

ロギング取得時にオーバーフローが発生した場合の処理モードを指定します。指定できる値と動作は、以下の通りです。

• give_up

  発生時のデータの書込みを中止する

• remove_old

  一番古い日付のファイルを削除し、新規にファイルをオープンする

IF_LOG_<n>

各インタフェースに対してロギングを採取するかどうかを指定します。

• active

  ロギング実行

• inactive

  ロギング対象外

TCP_TIMEOUT

TCPパケットのコネクション監視のタイムアウト時間を、秒単位（10進数で1 〜86400）で指定します。

UDP_TIMEOUT

UDPパケットおよびその他のコネクションレス型パケットのコネクション監視のタイムアウト時間を、秒単位（10進数で1 〜 86400）で指定します。

TRACE_BUF

ロギングデータバッファサイズをKバイト単位（256 〜 999999）で指定します。省略すると、256Kバイトで動作します。

◆[ALERT]カテゴリ

IPフィルタのアラートの動作環境を設定します。ALERTカテゴリには以下のパラメタがあります。

SRC_NG

同一IPアドレスからのパケットが連続してブロックされたときに、アラートを発する場合のしきい値（1〜255）を指定します。

DST_NG

同一IPアドレスへのパケットが連続してブロックされたときに、アラートを発する場合のしきい値（1〜255）を指定します。

INTERVAL

アラートパケットを監視する単位時間を秒単位（1 〜 86400）で指定します。

ALERTER

アラートメールを送信する対象者リスト（メーリングリスト）のaliases（1 〜512バイト）を指定します。

ALT_CMD

アラート発生時に実行するコマンドをフルパス（ 1 〜 512バイト）で指定します。コマンドを指定しない場合は、""を記述します。

TCP_PORT

監視対象のTCPポート番号を指定します。指定したポート番号が使用された場合は、ALERTERに対してアラートメールを送信します。

UDP_PORT

監視対象のUDPポート番号を指定します。指定したポート番号が使用された場合は、ALERTERに対してアラートメールを送信します。

CONSOLE

アラートメッセージのコンソール出力有無を指定します。

• on

  コンソール出力あり

• off

  コンソール出力なし

OVERFLOW_MAIL

ロギングファイルの格納ディレクトリが容量不足となった場合の通知メールの送信有無を指定します。

• on

  メール送信あり

• off

  メール送信なし

■記述例

目次 索引