デバイスコンソール
このページでは、CLIコンソールと、ベースコンソールで使用できるさまざまなコマンドについて説明します。
デバイスコンソールは、システムでさまざまなチェックを実行したり、トラブルシューティング用のログファイルを表示したりするために使用します。
コマンドラインを使用する場合、CLIコンソールでは、有効な構文を使用し、予期される入力制約に準拠する必要があります。無効なコマンドは拒否されます。
ソフォス ファイアウォールには、コマンドプロンプト自体にヘルプが組み込まれているため、CLIを終了することなく構文を使用できます。
使用可能なコマンドのリストを表示するには 、オプション4(デバイスコンソール)に移動し 、Tabキーを押します。次の項目が表示されます。
clear ping telnet
disableremote ping6 telnet6
dnslookup set traceroute
dnslookup6 show traceroute6
drop-packet-capture system
enableremote tcpdump
コマンドの入力を開始したら、Tabキーをもう一度押すと、サポートされている引数または必要な引数のリストが表示されます。例: pingと入力してTabキーを押すと、次に示すように、必須または許可されているパラメータのリストが表示されます。
ping
<ipaddress> count quiet sourceip
<string> interface size timeout
コマンドを入力し、を押して ? 、サポートされている引数のリストと説明を表示します。例:pingと入力してを押すと ?、すべてのパラメータが説明とともに表示されます。
ping
静かです 起動時および終了時にサマリーを表示します
カウントします カウントパケットの送信後に停止します
サイズです 送信されるデータバイト数です
タイムアウトしました pingが終了する前に'秒単位のタイムアウトが発生しました
インターフェイスを選択します インターフェイスをバインドします
sourceIP 送信元IPアドレスをバインドします
<ipaddress>A.B.C.D(0 <=A、B、C、D <256)
<文字列>です 英数字-引用符付き/なしの数値テキストです
メインメニューに戻るには、exitと入力します。
以下に、CLIコマンドのリストとその機能の説明を示します。
設定
SETを使用して、さまざまなシステムパラメータを設定します。使用可能なパラメータの詳細については 、SETを参照してください。
システムを選択します
システムを使用して、さまざまな設定を行います。使用可能なオプションの詳細については 、「システム」を参照してください。
クリア
画面をクリアします。
disableremote
SSH経由のリモート接続をディセーブルにします(イネーブルの場合)。デフォルトでは有効になっていません。アプライアンスはポート22で新しい接続をリスンしなくなり、既存の接続は終了します。リモートSSH接続を許可するには、enableremoteを参照してください。
dnslookup
インターネットドメインネームサーバにクエリーを実行して、ホスト名を解決します。
パラメータリストと説明です
| 構文 | 説明 |
|---|---|
Host ipaddress Host url | 検索するホストです。 |
Server ipaddress [host] | ネームサーバーのインターネット名またはアドレスです。 |
dnslookup6
インターネットドメインネームサーバにクエリーを実行して、IPv6ホスト名を解決します。
パラメータのリストと説明です
| 構文 | 説明 |
|---|---|
Host ipaddress Host url | 検索するホストです。 |
Server ipaddress [host] | ネームサーバーのインターネット名またはアドレスです。 |
drop-packet-capture
ファイアウォールルールによってドロップされたパケットを表示します。デバイスによって処理されたパケットの接続の詳細と詳細が表示されます。これにより、管理者はファイアウォールルールのトラブルシューティングを行うことができます。ドロップされたパケットをフィルタリングすることもできます。
| 構文 | 説明 |
|---|---|
text | BPF (Berkeley Packet Filter)互換パケットフィルタ式です。 |
interface port | このインターフェイスをリッスンします。 |
snaplen 20-68835 | キャプチャするバイト数です。 |
| 次のパケットを確認する方法 | 例 |
|---|---|
| 特定のホスト | host 10.10.10.1 |
| 特定の送信元ホスト | src host 10.10.10.1 |
| 特定の宛先ホスト | dst host 10.10.10.1 |
| 特定のネットワーク | net 10.10.10.0 |
| 特定の送信元ネットワーク | src net 10.10.10.0 |
| 特定の宛先ネットワーク | dst net 10.10.10.0 |
| 特定のポート | ポート 20 |
| 2つの特定のポートがあります | port 20 or port 21 |
| 特定の送信元ポート | src port 21 |
| 特定の宛先ポート | dst port 21 |
| 特定のポートの特定のホストです | host 10.10.10.1 and port 21 |
| SSHを除くすべてのポートの特定のホストです | host 10.10.10.1 and port not 22 |
| 特定のプロトコル | proto ICMP, proto UDP, proto TCP |
enableremote
ソフォス ファイアウォールへのリモートSSH接続を許可します。アプライアンスは、指定されたポートでSSH接続を待ち受け、指定されたアドレスからの接続を許可します。
| 構文 | 説明 |
|---|---|
port number | リモートSSHの確立に使用できるアプライアンスのイーサネットポートです。 |
serverip ipaddress | アプライアンスへのSSH接続を許可するホストIPアドレスです。 |
ping
ICMP ECHO_REQUESTパケットをIPv4ネットワークホストに送信し、対応するECHO_REPLYをリッスンします。
| 構文 | 説明 |
|---|---|
ipaddress | pingを実行するIPアドレスです。 |
string | pingを実行するドメインです。 |
count number | 特定の数のパケットを送信します。カウント数に達すると、pingは停止します。 |
interface interfaceid | ソフォス ファイアウォールのインターフェイスを設定して、からパケットを送信します。 |
quiet | pingシーケンスの開始時と終了時にのみサマリーを表示します。 |
size number | 送信されたエコー要求メッセージのデータフィールドの長さをバイト単位で指定します。デフォルトの値は 32 です。最大サイズは65,527です。 |
sourceip ipaddress | 送信元IPアドレスパケットの送信元を指定します。 |
timeout number | パケットの送信を停止し、指定した時間が経過したらpingを終了します。 |
ping6
ICMPv6 ECHO_REQUESTパケットをIPv6ネットワークホストに送信し、対応するECHO_REPLYをリッスンします。
| 構文 | 説明 |
|---|---|
ipaddress6 | pingされるIPv6アドレスです。 |
count number | 特定の数のパケットを送信します。カウント数に達すると、pingは停止します。 |
interfaceinterfaceid | ソフォス ファイアウォールのインターフェイスを設定して、からパケットを送信します。 |
quiet | pingシーケンスの開始時と終了時にのみサマリーを表示します。 |
size number | 送信するデータバイト数を指定します。デフォルトは56です。これは、8バイトのICMPヘッダーデータと組み合わせた場合に64 ICMPデータバイトに変換されます。 |
tcpdump
送信するデータバイト数を指定します。デフォルトは56です。これは、8バイトのICMPヘッダーデータと組み合わせた場合に64 ICMPデータバイトに変換されます。
| 構文 | 説明 |
|---|---|
text | パケットフィルタ式です。指定されたフィルタに基づいて、パケットがダンプされます。式を指定しない場合、すべてのパケットがダンプされます。それ以外の場合は、式 true がダンプされるパケットだけがダンプされます。式は、1つ以上のプリミティブで構成されます。プリミティブは通常、1つ以上の修飾子で進められたID(名前または番号)で構成されます。フィルタリング式の記述については、次の表を参照してください。 |
count number | 指定された数のパケットを受信したら、tcpdumpを終了します。 |
filedump | tcpdump出力は、必要な基準に基づいて生成できます。出力ファイルはにあります /tmp。 |
hex | 各パケット(リンクレベルヘッダーを除いたもの)を16進表記で出力します。 |
interface interfaceid | リッスンするインターフェイスを指定します。 |
llh | イーサネットまたはその他のレイヤ2ヘッダー情報を使用してパケットの内容を表示します。 |
no_time | ダンプ行ごとにタイムスタンプを印刷しないでください。 |
quite | 出力行が短くなるように、出力するプロトコル情報を減らします。 |
verbose | 詳細な出力です。たとえば、IPパケットの存続可能時間、識別、全長、およびオプションが印刷されます。また、IPおよびICMPヘッダーチェックサムの確認など、追加のパケット整合性チェックもイネーブルにします。 |
tcpdumpコマンドを使用してさまざまな情報を表示する方法の例を以下に示します。
注
式は論理演算子AND、OR、NOTを使用して組み合わせることができます。異なる組み合わせを使用して単一引用符で完全なクエリをカプセル化する場合は、必ず確認してください。
| のトラフィックを表示する方法を説明します | tcpdump コマンド | 例 |
|---|---|---|
| 特定のホスト | tcpdump 'host \ | tcpdump 'host 10.10.10.1'(tcpdump 'ホスト10.10.10.1') |
| 特定のネットワーク | tcpdump 'net \<ネットワークアドレス>' | tcpdump 'net 10.10.10.0' |
| 特定の送信元ネットワーク | tcpdump 'src net \<ネットワークアドレス>' | tcpdump 'rc net 10.10.10.0' |
| 特定の宛先ネットワーク | tcpdump 'st net \<ネットワークアドレス>' | tcpdump 'st net 10.10.10.0' |
| 特定のポート | tcpdump 'port \<ポート番号>' | tcpdump 'ポート21' |
| 特定の送信元ポート | tcpdump 'src port \<ポート番号>' | tcpdumpのrcポート21' |
| 特定の宛先ポート | tcpdump 'st port \<ポート番号>' | tcpdump 'st port 21' |
| 特定のホストと特定のポートです | tcpdump 'host \ | tcpdump 'ホスト10.10.10.1およびポート21' |
| 特定のホストおよびSSHを除くすべてのポートです | tcpdump 'host \ | tcpdump 'ホスト10.10.10.1およびポートが22'ではありません |
| 特定のプロトコル | tcpdump 'proto \<プロトコル名>' | tcpdump 'proto icmp' tcpdump' proto udp' |
| 特定のインターフェイスです | tcpdump interface \<インターフェイスID>の順に選択します | tcpdumpインターフェイスport2です |
| 特定のインターフェイス上の特定のポートです | tcpdump interface \<インターフェイスID>'port \<ポート番号>'です | tcpdumpインターフェイスport2 'port 21' |
telnet
Telnetを使用して別のリモートコンピュータに接続します。システムが特定のポートで接続を受け入れているかどうかを確認するために使用できます。Telnetデータはクリアテキストで送信されるため、管理タスクでは可能な限りSSHを使用することをお勧めします。
| 構文 | 説明 |
|---|---|
ipaddress port number | リモートホストのFQDN、エイリアス、またはIPアドレスの後に、接続先のポート番号が続きます。ポート情報が指定されていない場合は、デフォルトのTelnetポート(23)が使用されます。 |
telnet6
telnet6を使用して、IPv6アドレスシステムにtelnetで接続します
| 構文 | 説明 |
|---|---|
ipv6address port number | リモートホストのFQDN、エイリアス、またはIPv6アドレスの後に、接続先のポート番号が続きます。ポート情報が指定されていない場合は、デフォルトのTelnetポート(23)が使用されます。 |
traceroute
tracerouteは、パケットがIPv4ネットワークから宛先システムに到達するまでのパスをトレースします。IPプロトコルのTime to Live(TTL)フィールドを使用して、宛先へのパスに沿って各ゲートウェイからICMP time_exceeded応答を取得しようとします。
| 構文 | 説明 |
|---|---|
<ipaddress> | ルートをトレースする宛先IPアドレスを指定します。 |
<string> | ルートをトレースするドメインを指定します。 |
first-ttl | 最初の発信パケットで使用される最初の存続可能時間を設定します。 |
icmp | UDPデータグラムの代わりにICMPエコーを使用します。 |
max-ttl | パケットの最大存続可能時間を指定します。 |
no-frag | 送信されたパケットのDon't fragmentビットを設定します。 |
probes | プローブは各ttlで送信されます。デフォルト値は3です。 |
source | 指定されたIPアドレスを送信パケットの送信元アドレスとして設定します。 |
timeout | プローブへの応答のタイムアウトを秒単位で設定します。デフォルトは5です。 |
tos | IPv4の場合は、Type of Service(TOS)およびPrecedence値を設定します。有効な値は、16(低遅延)および8(高スループット)です。 |
traceroute6
traceroute6は、パケットがIPv6ネットワークから宛先システムに到達するまでのパスをトレースします。IPプロトコルのTime to Live(TTL)フィールドを使用して、宛先へのパスに沿って各ゲートウェイからICMP time_exceeded応答を取得しようとします。
| 構文 | 説明 |
|---|---|
<ipv6address> | ルートをトレースする宛先IPv6アドレスを指定します。 |
<string> | ルートをトレースするドメインを指定します。 |
first-ttl | 最初の発信パケットで使用される最初の存続可能時間を設定します。 |
icmp | UDPデータグラムの代わりにICMPエコーを使用します。 |
max-ttl | パケットの最大存続可能時間を指定します。 |
no-frag | 送信されたパケットのDon't fragmentビットを設定します。 |
probes | プローブは各ttlで送信されます。デフォルト値は3です。 |
source | 指定されたIPアドレスを送信パケットの送信元アドレスとして設定します。 |
timeout | プローブへの応答のタイムアウトを秒単位で設定します。デフォルトは5です。 |
tos | サービスのタイプを設定します。IPv6の場合、これはトラフィック制御値と呼ばれます。 |
表示します
次のファイアウォール設定の設定済みパラメータを表示します。
| 構文 | 説明 |
|---|---|
advanced-firewall | 現在設定されている高度なファイアウォールパラメータを表示します。パラメータの詳細については 、SETを参照してください |
arp-flux | arp-fluxが現在オンかオフかを表示します。 |
country-host ip2country ipaddress list | ip2address > ipaddress オプションを使用して、特定のIPアドレスをホストする国を検索します。listパラメータを使用して、保存されているIPアドレスと、そのアドレスをホストしている国を一覧表示します。 |
fqdn-host |
|
http_proxy | HTTPプロキシの次の設定済みパラメータを表示します。
|
ips-settings | 現在設定されているIPS設定と実行中のインスタンスを表示します。 |
ip-signature alert disable drop | 現在設定されているIPSシグニチャを数値ID別に一覧表示します。 アラートは、トリガーされたときにアラートを送信するように設定されたシグニチャを表示します。 無効にすると、現在無効になっている署名が表示されます。 ドロップは、トリガーされたときにトラフィックをドロップするように現在設定されているシグニチャを表示します。 |
ips_conf | 現在のIPS設定を表示します。 |
lanbypass | 現在のランバイパス設定を表示します。このモードでは、1組または2組のインターフェイスがブリッジされるため、停電やハードウェアの故障時にスキャンを行わずにトラフィックフローを中断することができます。 |
nat-policy application-server failover mail-notification | 保護されたアプリケーションサーバのNATポリシー設定(イネーブルまたはディセーブル)を表示します。 |
network | 使用されているフィルタに従って、設定されているさまざまなネットワークパラメータを表示します。 |
interface-speedinterfaceid | 指定されたインターフェイス上の現在のネットワーク速度を表示します。 |
interfaces | 論理インターフェイスを含むアプライアンス上のインターフェイスの詳細を表示します。 |
lag-interfaceinterfaceid | 指定されたLAGインターフェイスの詳細を表示します。 |
macaddrinterfaceid | 指定したインターフェイスのMACアドレスを表示します。 |
mtu-mssinterfaceid | 指定されたインターフェイスの現在設定されているMTU(デフォルトMTU 1500 MSS 1460)を表示します。 |
static-route | 現在のIPv4スタティックルートをすべて表示します。 |
static-route6 | 現在のすべてのIPv6スタティックルートを表示します。 |
その他のリソース