next up previous contents
Next: ルールオプション Up: ルールの記述 Previous: ルールの基本

ルールヘッダー

ルールヘッダーは以下の様式で表される。


  [action]  [proto]  [src IP] [src port] [direction] [dest IP] [dest port]

  1. action マッチした際の動作を設定し、alert, pass, log のいずれか。

    alert 警報を出し、ログをとる。
    pass 文字通りパスする。
    log 警報を出さずにログをとる。

    この内、pass は高速性のためのオプションであるが、取扱いには気を付けなければ ならない。ちなみに、通常ルールのチェックは、alert, pass, log の順にチェック される(-o オプションを使うと更に pass, alert, log の順に変更出来る)。 1.9.x 以降は activate, dynamic が増えるようである。

  2. proto tcp, udp, icmp のいずれかのプロトコルを指定する。

    これも1.9.x 以降の予定では、ip,arp,igrp,gre,ospf,rip,ipx など にも拡張されるようである。

  3. src IP, dest IP src,dest のIP アドレス。マスクを用いた指定も可能。

    複数ある場合には、[] で括り、カンマで区切って指定する。 ここでも空白は含んではならない。

    例 [192.168.0.16/28,10.0.0.0/8]

    なお、全てを意味する場合は any が利用出来る。

  4. src port, dest port src,dest のポート番号

    ここでも全ての意味で any が使える。一方、範囲を指定したい場合には コロンが利用出来る。

    6000:6016 6000以上、6016 以下
    :1024 1024 以下
    500: 500 以上
    !80 80 以外

    なお、否定の ! はIPの指定でも利用可能である。

  5. direction 方向を指定する。

    -> src から dest に向かってのパケットにマッチ
    <> 双方向のパケットにマッチ

以上をまとめると、ルールヘッダーは以下の例のようにかける訳である。


   alert tcp 10.0.0.1   any  -> any 23
   log   udp 10.0.0.0/8 any -> any !6000:6010
   pass  tcp [10.0.0.0/8,192.168.0.1/24] any -> $EXTERNAL_NET 1024:



Noriyo Kanayama