Cisco PIX Firewall コマンド リファレンス
PIX Firewall コマンドの使用方法
PIX Firewall コマンドの使用方法
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

PIX Firewall コマンドの使用方法

概要

ヒント

詳細について

コマンドのモード

ポート

プロトコル

廃止されたコマンド

PIX Firewall コマンドの使用方法

この章では、このマニュアルの内容について説明します。次の項で構成されています。

「概要」

「コマンドのモード」

「ポート」

「プロトコル」

「廃止されたコマンド」

概要

ここでは、PIX Firewall コマンドの使用方法について簡単に説明し、PIX Firewall のコンフィギュレーションおよび使用についての詳細な説明の参照先を示します。

次の表に、PIX Firewall の基本コマンドをいくつか示します。

 

作業
関連コマンド

設定の保存

write memory

設定の表示

write terminal

システム ログ(syslog)メッセージの記録

logging buffered debugging

システム ログ(syslog)メッセージの表示

show logging

メッセージ バッファのクリア

clear logging

ヒント

PIX Firewall のコマンドライン インターフェイス(CLI)を使用するときは、次の作業を行います。

コマンドを入力する前に、シンタックスをチェックする。コマンドを入力して Enter キーを押し、簡単な要約を表示するか、コマンドの前に help を入力します(例: help aaa )。

コマンドを省略形で入力する。たとえば、config t コマンドを使用して設定モードを開始し、
write t
コマンド文を使用してコンフィギュレーションを表示し、 write m を使用してフラッシュ メモリに書き込むことができます。また、ほとんどのコマンドでは show sh と省略入力できます。この機能は、コマンド補完と呼ばれます。

alias access-list conduit global nat outbound 、および static コマンドを変更または削除した後に、 clear xlate コマンドを使用して IP アドレスをアクセス可能にする。

次の IANA Web サイトで、利用できるポート番号とプロトコル番号を確認する。

http://www.iana.org/assignments/port-numbers
http://www.iana.org/assignments/protocol-numbers

コンフィギュレーションをテキスト エディタで作成して、コンフィギュレーションにカット アンド ペーストする。PIX Firewall では、コンフィギュレーションを一度に 1 行ずつ貼り付けることも、コンフィギュレーション全体をまとめて貼り付けることもできます。大量のテキストを貼り付けた後は、コンフィギュレーションをチェックして、全体がコピーされたことを確認してください。

詳細について

PIX Firewall のコンフィギュレーションを作成する方法については、『 Cisco PIX Firewall and VPN Configuration Guide 』を参照してください。

syslog メッセージの詳細については、『Cis co PIX Firewall S ystem Log Messages』を参照してください。

Cisco PIX Device Manager (PDM)を使用する方法については、PDM ソフトウェアのオンライン ヘルプを参照してください。PDM アプリケーションの Help ボタンで参照できます。PDM をインストールする方法については、『 Cisco PIX Device Manager Installation Guide 』を参照してください。

PIX Firewall の技術資料は、次の Web サイトにオンライン版が用意されています。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/

コマンドのモード

PIX Firewall には Cisco IOS テクノロジーを基盤としたコマンド セットが含まれており、設定可能なコマンド特権モードが提供されています。コマンド モードには、次のものがあります。

ユーザ モード。ファイアウォールに初めてアクセスすると、「>」プロンプトが表示されます。これはユーザ モードで、ファイアウォールの設定を表示できます。ユーザ モード プロンプトは、次のように表示されます。

pixfirewall>
 

特権モード:「#」プロンプトが表示され、現在の設定を変更できます。特権モードでは、あらゆるユーザ モード コマンドも機能します。ユーザ モードから特権モードを開始するには、次のように enable コマンドを使用します。

pixfirewall> enable
Password:
pixfirewall#
 

特権モードを終了してユーザ モードに戻るには、次のように exit コマンドまたは quit コマンドを使用します。

pixfirewall# exit
 
Logoff
 
Type help or '?' for a list of available commands.
pixfirewall>
 

特権モードを終了してユーザ モードに戻るには、次のように disable コマンドを使用します。

pixfirewall# disable
pixfirewall>

設定モード。「(config#)」プロンプトが表示され、ファイアウォールのコンフィギュレーションを変更できます。このモードでは、特権モード、ユーザ モード、および設定モードのすべてのコマンドを使用できます。設定モードを開始するには、次のように configure terminal コマンドを使用します。

pixfirewall# configure terminal
pixfirewall(config)#
 

設定モードを終了して特権モードに戻るには、次のように exit コマンドまたは quit コマンドを使用します。

pixfirewall(config)# quit
pixfirewall#
 

設定モードを終了してユーザ モードに戻るには、次のように disable コマンドを使用します。

pixfirewall(config)# disable
pixfirewall>

ポート

コマンドでは、数字のポート値の代わりにリテラル名を使用できます。

PIX Firewall で TCP リテラル名として使用できるのは、bgp、chargen、cmd、 citrix-ica 、daytime、discard、 domain 、echo、exec、finger、 ftp 、ftp-data、gopher、h323、hostname、http、ident、irc、klogin、kshell、lpd、 nntp pop2 pop3 、pptp、rpc、 smtp 、sqlnet、 sunrpc 、tacacs、talk、telnet、time、uucp、whois、および www です。

PIX Firewall では、SQL*Net 用にポート 1521 を使用します。このポートは、Oracle が SQL*Net 用に使用しているデフォルトのポートです。しかし、この値は、IANA ポート割り当てとは一致していません。

PIX Firewall は、ポート 1645 とポート 1646 で RADIUS をリスンしています。RADIUS サーバがポート 1812 とポート 1813 を使用している場合は、ポート 1645 とポート 1646 をリスンするように PIX Firewall を再設定する必要があります。

DNS アクセス用のポートを割り当てるには、dns ではなく domain を使用します。dns キーワードは、dnsix のポート値に変換されます。


) PIX Firewall の仕様では、UDP ポート 53 (通常は DNS で使用されます)に送信される DNS パケットのうち、サイズが 512 バイトより大きなパケットを破棄します。


UDP リテラル名として使用できるのは、biff、bootpc、bootps、discard、dnsix、echo、mobile-ip、nameserver、netbios-dgm、netbios-ns、ntp、rip、snmp、snmptrap、sunrpc、syslog、tacacs、talk、tftp、time、who、および xdmcp です。

ポート番号は、次の IANA Web サイトで確認できます。

http://www.iana.org/assignments/port-numbers

表 2-1 に、ポートのリテラル値を示します。

 

表 2-1 ポートのリテラル値

リテラル
説明

bgp

179

ボーダーゲートウェイ プロトコル(RFC 1163)

biff

512

新しいメールの受信をユーザに通知するために、メール システムが使用します。

bootpc

68

ブートストラップ プロトコル クライアント

bootps

67

ブートストラップ プロトコル サーバ

chargen

19

キャラクタ ジェネレータ

citrix-ica

1494

Citrix Independent Computing Architecture (ICA)プロトコル

cmd

514

自動認証機能がある点を除いて、exec と同様

daytime

13

日時(RFC 867)

discard

9

破棄

domain

53

DNS (ドメイン ネーム システム)

dnsix

195

DNSIX セッション管理モジュール監査リダイレクタ

echo

7

エコー

exec

512

リモート プロセス実行

finger

79

finger

ftp

21

ファイル転送プロトコル(制御ポート)

ftp-data

20

ファイル転送プロトコル(データ ポート)

gopher

70

gopher

h323

1720

H.323 コール シグナリング

hostname

101

NIC ホスト名サーバ

nameserver

42

ホスト名サーバ

ident

113

ID 認証サービス

irc

194

インターネット リレー チャット プロトコル

isakmp

500

ISAKMP

klogin

543

KLOGIN

kshell

544

Korn シェル

lpd

515

ライン プリンタ デーモン(プリンタ スプーラ)

login

513

リモート ログイン

mobile-ip

434

MobileIP エージェント

netbios-ns

137

NetBIOS ネーム サービス

netbios-dgm

138

NetBIOS データグラム サービス

nntp

119

Network News Transfer Protocol(NNTP)

ntp

123

ネットワーク タイム プロトコル

pim-auto-rp

496

Protocol Independent Multicast(PIM)、逆経路フラッディング、稠密モード

pop2

109

Post Office Protocol(POP)Version 2

pop3

110

Post Office Protocol(POP)Version 3

radius

1645, 1646

リモート認証ダイヤルイン ユーザ サービス

rip

520

ルーティング情報プロトコル

smtp

25

簡易メール転送プロトコル

snmp

161

簡易ネットワーク管理プロトコル

snmptrap

162

簡易ネットワーク管理プロトコル(トラップ)

sqlnet

1521

構造化照会言語ネットワーク

sunrpc

111

Sun RPC (リモート プロシージャ コール)

syslog

514

システム ログ

tacacs

49

TACACS+ (ターミナル アクセス コントローラ アクセス コントロール システム プラス)

talk

517

talk

telnet

23

Telnet(RFC 854)

tftp

69

トリビアル ファイル転送プロトコル

time

37

time

uucp

540

UNIX 間コピー プログラム

who

513

who

whois

43

who is

www

80

ワールドワイド ウェブ

xdmcp

177

X DMCP (X 端末と UNIX ワークステーション間での通信に使用される)

プロトコル

リテラル値として使用できるのは、ahp、eigrp、esp、gre、icmp、igmp、igrp、ip、ipinip、ipsec、nos、ospf、pcp、snp、tcp、および udp です。プロトコルは番号でも指定できます。

プロトコル番号は、次の IANA Web サイトで確認できます。

http://www.iana.org/assignments/port-numbers


) 多くのルーティング プロトコルでは、マルチキャスト パケットを使用してデータを伝送しています。PIX Firewall 経由でルーティング プロトコルを送信する場合は、Cisco IOS ソフトウェアの neighbor コマンドを使用して周辺ルータを設定してください。保護されていないインターフェイス上のルートが破損すると、ファイアウォールで保護されている側に通じているルートによって、ファイアウォール内側のルータも汚染されます。


表 2-2 に、プロトコルを表す数値を示します。

 

表 2-2 プロトコルのリテラル値

リテラル
説明

ah

51

IPv6 の認証ヘッダー(RFC 1826)

eigrp

88

Enhanced IGRP

esp

50

IPv6 のカプセル化セキュリティ ペイロード(ESP、RFC 1827)

gre

47

GRE (総称ルーティング カプセル化)

icmp

1

インターネット制御メッセージ プロトコル(RPC 792)

igmp

2

インターネット グループ管理プロトコル(RPC 1112)

igrp

9

IGRP

ip

0

インターネット プロトコル

ipinip

4

IP-in-IP カプセル化

nos

94

ネットワーク オペレーティング システム(Novell NetWare)

ospf

89

OSPF ルーティング プロトコル(RFC 1247)

pcp

108

ペイロード圧縮プロトコル

snp

109

Sitara Networks プロトコル

tcp

6

伝送制御プロトコル(RFC 793)

udp

17

ユーザ データグラム プロトコル(RFC 768)

廃止されたコマンド

ファイアウォールのコンフィギュレーションに使用されなくなったコマンドには、 sysopt route dnat sysopt security fragguard fragguard 、および session enable があります。

PIX Firewall Version 6.2 以降では、 sysopt route dnat コマンドは無視されます。このコマンドと同様の設定(ネットワーク アドレスとルート)は、外部の NAT によって自動的に実行されます。

sysopt security fragguard コマンドと fragguard コマンドは、 fragment コマンドに置き換えられました。

session enable コマンドは、このコマンドの操作対象であった AccessPro ルータがサポートされなくなったため、廃止されています。