デバイスコンソール
このページでは、CLI コンソールと、ベースコンソールで使用できる各種コマンドについて説明します。
警告
不完全なコマンドを実行すると、access_server デーモンが応答を停止することがあります。この問題を解決するには、fsck-on-nextboot
コマンドを使用してファイルシステムの整合性チェックを実行し、ファイアウォールを再起動します。詳細は、systemを参照してください。
デバイスコンソールは、システムのさまざまなチェックを実行したり、トラブルシューティングのためにログファイルを表示したりするとき使用します。
コマンドラインを使用する場合、CLI コンソールに対しては有効な構文を使用し、予想される入力制約に準拠する必要があります。無効なコマンドは拒否されます。
Sophos Firewall にはコマンドプロンプト自体にヘルプが組み込まれており、CLI を終了しなくても構文を使用できるようになっています。
使用可能なコマンドのリストを表示するには、 オプション 4 (デバイスコンソール) に移動し、Tab キーを押します。次の項目が表示されます。
clear ping telnet
disableremote ping6 telnet6
dnslookup set traceroute
dnslookup6 show traceroute6
drop-packet-capture system
enableremote tcpdump
コマンドの入力を開始したら、Tab キーをもう一度押すと、サポートされている、または必要な引数のリストが表示されます。例: Ping と入力して Tab キーを押すと、次のように、必須な、または許可されているパラメータのリストが表示されます。
ping
<ipaddress> count quiet sourceip
<string> interface size timeout
コマンドを入力し、「?
」を押すと、サポートされている引数の説明のリストが表示されます。例: ping と入力して「?
」を押すと、すべてのパラメータが説明付きで表示されます。
ping
quiet 起動時と終了時にサマリーを表示する
count カウントパケットの送信後に停止する
size 送信するデータバイト数
timeout ping が終了するまでのタイムアウト (秒)
interface バインドインターフェイス
sourceip ソース IP アドレスのバインド
<ipaddress> A.B.C.D (0 <= A、B、C、D < 256)
<string> 英数字テキスト (引用符付き/引用符なし)
メインメニューに戻るには、「exit」と入力します。
以下に、CLI コマンドのリストとその機能の説明を示します。
設定
さまざまなシステムパラメータの設定には、set を使用します。使用可能なパラメータの詳細については、「set」を参照してください。
system
さまざまな設定には、system を使用します。使用可能なオプションの詳細については、「system」を参照してください。
クリア
画面をクリアします。
disableremote
SSH を介したリモート接続が有効化されている場合に、これを無効化します。デフォルトでは有効になっていません。アプライアンスは、ポート 22 で新しい接続を待機しなくなり、既存の接続は終了します。リモート SSH 接続を許可する場合は、enableremote を参照してください。
dnslookup
インターネットドメインネームサーバーに問い合わせて、ホスト名を解決します。
パラメータの一覧と説明
構文 | 説明 |
---|---|
Host ipaddress Host url | 検索対象のホスト。 |
Server ipaddress [host] | ネームサーバーのインターネット名またはアドレスです。 |
dnslookup6
インターネットドメインネームサーバにクエリを実行して、IPv6 ホスト名を解決します。
パラメータの一覧と説明
構文 | 説明 |
---|---|
Host ipaddress Host url | 検索対象のホスト。 |
Server ipaddress [host] | ネームサーバーのインターネット名またはアドレスです。 |
drop-packet-capture
ファイアウォールルールによってドロップされたパケットを表示します。接続の詳細と、デバイスによって処理されるパケットの詳細が表示されます。これは、管理者がファイアウォールルールのトラブルシューティングを行うのに役立ちます。ドロップされたパケットをフィルタリングすることもできます。
構文 | 説明 |
---|---|
text | BPF (Berkeley Packet Filter) 互換パケットフィルタ式です。 |
interface port | このインターフェイスを待機します。 |
snaplen 20-68835 | キャプチャするバイト数です。 |
次のパケットを確認する方法 | 例 |
---|---|
特定のホスト | host 10.10.10.1 |
特定の送信元ホスト | src host 10.10.10.1 |
特定の宛先ホスト | dst host 10.10.10.1 |
特定のネットワーク | net 10.10.10.0 |
特定の送信元ネットワーク | src net 10.10.10.0 |
特定の宛先ネットワーク | dst net 10.10.10.0 |
特定のポート | ポート 20 |
2つの特定ポート | port 20 or port 21 |
特定の送信元ポート | src port 21 |
特定の宛先ポート | dst port 21 |
特定ポートの特定のホスト | host 10.10.10.1 and port 21 |
SSH 以外のすべてのポートの特定のホスト | host 10.10.10.1 and port not 22 |
特定のプロトコル | proto ICMP, proto UDP, proto TCP |
enableremote
Sophos Firewall へのリモート SSH 接続を許可します。アプライアンスは指定されたポートでSSH接続を待機し、指定されたアドレスからの接続を許可します。
構文 | 説明 |
---|---|
port number | リモート SSH を確立できるアプライアンス上のイーサネットポートです。 |
serverip ipaddress | アプライアンスへの SSH 接続が許可されるホスト IP アドレスです。 |
ping
ICMP ECHO_REQUEST パケットを IPv4 ネットワークホストに送信し、対応する ECHO_REPLY を待機します。
構文 | 説明 |
---|---|
ipaddress | ping を実行する IP アドレスです。 |
string | ping を実行するドメインです。 |
count number | 特定の数のパケットを送信します。指定数に達すると、ping は停止します。 |
interface interfaceid | パケットの送信元となる Sophos Firewall のインターフェイスを設定します。 |
quiet | ping シーケンスの開始時と終了時にのみサマリーを表示します。 |
size number | 送信されるエコー要求メッセージのデータフィールドの長さをバイト単位で指定します。デフォルトの値は 32 です。最大サイズは 65,527 です。 |
sourceip ipaddress | パケットの送信元の IP アドレスを指定します。 |
timeout number | 指定時間に達すると、パケットの送信を停止し、ping を終了します。 |
ping6
ICMPv6 ECHO_REQUEST パケットを IPv6 ネットワークホストに送信し、対応する ECHO_REPLY を待機します。
構文 | 説明 |
---|---|
ipaddress6 | ping を実行する IPv6 アドレスです。 |
count number | 特定の数のパケットを送信します。指定数に達すると、ping は停止します。 |
interfaceinterfaceid | パケットの送信元となる Sophos Firewall のインターフェイスを設定します。 |
quiet | ping シーケンスの開始時と終了時にのみサマリーを表示します。 |
size number | 送信するデータバイト数を指定します。デフォルトは 56 で、ICMP ヘッダーデータの 8 バイトと組み合わせると、64 ICMP データバイトに変換されます。 |
tcpdump
送信するデータバイト数を指定します。デフォルトは 56 で、ICMP ヘッダーデータの 8 バイトと組み合わせると、64 ICMP データバイトに変換されます。
構文 | 説明 |
---|---|
text | パケットフィルタ式です。指定されたフィルタに基づいて、パケットがダンプされます。式が指定されていない場合、すべてのパケットがダンプされます。指定されている場合は、式がtrue であるパケットだけがダンプされます。式は 1 つまたは複数のプリミティブで構成されます。プリミティブは通常、1つまたは複数の修飾子に続く ID (名前または番号) で構成されます。フィルタリング式の記述方法については、次の表の例を参照してください。 |
count number | 指定された数のパケットを受信した`ら、tcpdump を終了します。 |
filedump | tcpdump 出力は、必要な基準に基づいて生成できます。出力ファイルは /tmp にあります。 |
hex | 各パケット (リンクレベルヘッダーを差し引いたもの) は、16 進数表記で出力します。 |
interface interfaceid | リッスンするインターフェースを指定します。 |
llh | イーサネットまたはその他のレイヤ 2 ヘッダー情報を含むパケットの内容を表示します。 |
no_time | ダンプ行ごとにタイムスタンプを出力しないでください。 |
quite | 出力行が短くなるように、プロトコル情報を少なくします。 |
verbose | 詳細な出力。たとえば、IP パケットの有効時間、識別、全長、オプションが表示されます。また、IP および ICMP ヘッダーチェックサムの確認など、追加のパケット整合性チェックも有効化します。 |
以下に、tcpdump コマンドを使用してさまざまな情報を表示する方法の例をいくつか示します。
注
式は論理演算子の AND、OR、NOT を組み合わせることができます。さまざまな組み合わせを使用する場合は、クエリ全体をかぎ括弧で囲んでいることを必ず確認してください。
次のトラフィックの表示方法… | tcpdump コマンド | 例 |
---|---|---|
特定のホスト | tcpdump 'host <ipaddress>' | tcpdump 'host 10.10.10.1' |
特定のネットワーク | tcpdump 'net <network address>' | tcpdump 'net 10.10.10.0' |
特定の送信元ネットワーク | tcpdump 'src net <network address>' | tcpdump 'src net 10.10.10.0' |
特定の宛先ネットワーク | tcpdump 'dst net <network address>' | tcpdump 'dst net 10.10.10.0' |
特定のポート | tcpdump 'port <portnumber>' | tcpdump 'port 21' |
特定の送信元ポート | tcpdump 'src port <port number\>' | tcpdump 'src port 21' |
特定の宛先ポート | tcpdump 'dst port <port number>' | tcpdump 'dst port 21' |
特定のホストと特定のポート | tcpdump 'host <ipaddress> and port <port number>' | tcpdump 'host 10.10.10.1 and port 21' |
SSH 以外の特定のホストとすべてのポート | tcpdump 'host <ipaddress> and port not <port number>' | tcpdump 'host 10.10.10.1 and port not 22' |
特定のプロトコル | tcpdump 'proto <protocol name>' |
|
特定のインターフェイス | tcpdump interface <interface id> | tcpdump interface port2 |
特定のインターフェース上の特定のポート | tcpdump interface <interface id> 'port <port number>' | tcpdump interface port2 'port 21' |
telnet
別のリモートコンピュータに接続するときは、telnet を使用します。システムが特定のポートで接続を受け入れているかどうかを確認するために使用できます。telnet データはクリアテキストで送信されるため、管理タスクには可能な限り SSH を使用することをお勧めします。
構文 | 説明 |
---|---|
ipaddress port number | 接続先のポート番号は、リモートホストの FQDN、エイリアス、または IP アドレスの後に入力します。ポート情報が指定されていない場合は、デフォルトの telnet ポート (23) が使用されます。 |
telnet6
IPv6 アドレスの付いたシステムに接続するときは、telnet 経由で telnet6 を使用します。
構文 | 説明 |
---|---|
ipv6address port number | FQDN、エイリアス、またはリモートホストの IPv6 アドレスの後に、接続先のポート番号を付けます。ポート情報が指定されていない場合は、デフォルトの telnet ポート (23) が使用されます。 |
traceroute
traceroute は、IPv4 ネットワークから宛先システムまで、パケットが辿るパスをトレースします。traceroute は、IP プロトコルの有効時間 (TTL) フィールドを使用し、宛先へのパスに沿って各ゲートウェイから ICMP TIME_EXCEEDEED 応答を取得しようとします。
構文 | 説明 |
---|---|
<ipaddress> | ルートをトレースする宛先 IP アドレスを指定します。 |
<string> | ルートをトレースするドメインを指定します。 |
first-ttl | 最初の送信パケットが使用する初期有効時間を設定します。 |
icmp | UDP データグラムの代わりに ICMP ECHO を使用します。 |
max-ttl | パケットの最大有効時間を指定します。 |
no-frag | 送信パケットのビットの断片化禁止を設定します。 |
probes | プローブは各 ttl で送信されます。デフォルト値は「3」です。 |
source | 指定した IP アドレスを送信パケットの送信元アドレスとして設定します。 |
timeout | プローブへの応答のタイムアウトを秒単位で設定します。デフォルトは5です。 |
tos | IPv4 の場合は、サービスの種類 (TOS) と優先順位値を設定します。有効な値は、16 (低遅延) および 8 (高スループット) です。 |
traceroute6
traceroute6 は、IPv6 ネットワークから宛先システムまで、パケットが辿るパスをトレースします。traceroute は、IP プロトコルの有効時間 (TTL) フィールドを使用し、宛先へのパスに沿って各ゲートウェイから ICMP TIME_EXCEEDEED 応答を取得しようとします。
構文 | 説明 |
---|---|
<ipv6address> | ルートをトレースする宛先 Ipv6 アドレスを指定します。 |
<string> | ルートをトレースするドメインを指定します。 |
first-ttl | 最初の送信パケットが使用する初期有効時間を設定します。 |
icmp | UDP データグラムの代わりに ICMP ECHO を使用します。 |
max-ttl | パケットの最大有効時間を指定します。 |
no-frag | 送信パケットのビットの断片化禁止を設定します。 |
probes | プローブは各 ttl で送信されます。デフォルト値は「3」です。 |
source | 指定した IP アドレスを送信パケットの送信元アドレスとして設定します。 |
timeout | プローブへの応答のタイムアウトを秒単位で設定します。デフォルトは5です。 |
tos | サービスの種類を設定します。Ipv6 の場合、これはトラフィック制御値と呼ばれます。 |
show
以下のコマンドを入力します: show <setting>
例: show advanced-firewall
次の構成の設定を確認します。
構文 | 説明 |
---|---|
advanced-firewall | 現在設定されているファイアウォールの詳細パラメータを表示します。パラメータの詳細については、「set」を参照してください。 |
arp-flux | arp-flux が現在オンまたはオフになっているかが示されます。 |
| 特定の IP アドレスをホストする国を検索するときは、ip2address > ipaddress オプションを使用します。list パラメータを使用すると、保存されている IP アドレスとその IP アドレスをホストする国が一覧表示されます。 |
fqdn-host | 以下の設定パラメータを表示します:
|
http_proxy | HTTP プロキシに設定された次のパラメータを表示します。
|
interface-speedinterfaceid | 指定したインターフェースのネットワーク速度を示します。 |
interfaces | 論理インターフェースを含むアプライアンス上のインターフェースの詳細を表示します。 |
ips-settings | 現在設定されている IPS 設定と実行中のインスタンスを表示します。 |
| 現在設定されている IPS シグネチャを数値 ID で表示します。 alert は、トリガーされたときにアラートするよう設定されているシグネチャを表示します。 disable は、現在無効になっているシグネチャを表示します。 drop は、トリガーされたときにトラフィックをドロップするように設定されているシグネチャを表示します。 |
ips_conf | 現在の IPS 設定を表示します。 |
lag-interfaceinterfaceid | 指定した LAG インターフェースの詳細を表示します。 |
lanbypass | 現在の lanbypass 構成を表示します。このモードでは、1 つまたは 2 つのペアのインターフェースがブリッジされるため、停電やハードウェアの誤動作が発生してもスキャンせずにトラフィックフローを中断することがありません。 |
license_status | ライセンスが有効化されているかどうか、同期化されているかどうかが表示されます。 |
logs {log file} [lines] {number} | 指定した行数に基づいて、ファイルの最新ログを表示します。 |
macaddrinterfaceid | 指定インターフェースの MAC アドレスを表示します。 |
mtu-mssinterfaceid | 指定インターフェースに現在設定されている MTU (デフォルトは MTU 1500 MSS 1460) を表示します。 |
| 保護されたアプリケーションサーバーの NAT ポリシー設定 (有効化されているか、無効化されているか) を表示します。 |
network | 使用されているフィルタに応じて、設定されたさまざまなネットワークパラメータを示します。 |
static-route | 現在の IPv4 静的ルートをすべて表示します。 |
static-route6 | 現在の IPv6 静的ルートをすべて表示します。 |
support_access | サポートアクセスがオンまたはオフのどちらに設定されているかを表示します。オンになっている場合は、アクセス ID とアクセス期間が表示されます。 |
その他のリソース