コンテンツにスキップ

デバイスコンソール

このページでは、CLI コンソールと、ベースコンソールで使用できる各種コマンドについて説明します。

警告

不完全なコマンドを実行すると、access_server デーモンが応答を停止することがあります。この問題を解決するには、fsck-on-nextboot コマンドを使用してファイルシステムの整合性チェックを実行し、ファイアウォールを再起動します。詳細は、systemを参照してください。

デバイスコンソールは、システムのさまざまなチェックを実行したり、トラブルシューティングのためにログファイルを表示したりするとき使用します。

コマンドラインを使用する場合、CLI コンソールに対しては有効な構文を使用し、予想される入力制約に準拠する必要があります。無効なコマンドは拒否されます。

Sophos Firewall にはコマンドプロンプト自体にヘルプが組み込まれており、CLI を終了しなくても構文を使用できるようになっています。

使用可能なコマンドのリストを表示するには、 オプション 4 (デバイスコンソール) に移動し、Tab キーを押します。次の項目が表示されます。

clear               ping            telnet
disableremote       ping6           telnet6
dnslookup           set             traceroute
dnslookup6          show            traceroute6
drop-packet-capture system
enableremote        tcpdump

コマンドの入力を開始したら、Tab キーをもう一度押すと、サポートされている、または必要な引数のリストが表示されます。例: Ping と入力して Tab キーを押すと、次のように、必須な、または許可されているパラメータのリストが表示されます。

ping
<ipaddress>    count       quiet       sourceip
<string>       interface   size        timeout

コマンドを入力し、「?」を押すと、サポートされている引数の説明のリストが表示されます。例: ping と入力して「?」を押すと、すべてのパラメータが説明付きで表示されます。

ping
quiet          起動時と終了時にサマリーを表示する
count          カウントパケットの送信後に停止する
size            送信するデータバイト数
timeout        ping が終了するまでのタイムアウト (秒)
interface      バインドインターフェイス
sourceip       ソース IP アドレスのバインド
<ipaddress>    A.B.C.D (0 <= A、B、C、D < 256)
<string>       英数字テキスト (引用符付き/引用符なし)

メインメニューに戻るには、「exit」と入力します。

以下に、CLI コマンドのリストとその機能の説明を示します。

設定

さまざまなシステムパラメータの設定には、set を使用します。使用可能なパラメータの詳細については、「set」を参照してください。

system

さまざまな設定には、system を使用します。使用可能なオプションの詳細については、「system」を参照してください。

クリア

画面をクリアします。

disableremote

SSH を介したリモート接続が有効化されている場合に、これを無効化します。デフォルトでは有効になっていません。アプライアンスは、ポート 22 で新しい接続を待機しなくなり、既存の接続は終了します。リモート SSH 接続を許可する場合は、enableremote を参照してください。

dnslookup

インターネットドメインネームサーバーに問い合わせて、ホスト名を解決します。

パラメータの一覧と説明

構文 説明
Host ipaddress
Host url
検索対象のホスト。
Server ipaddress [host] ネームサーバーのインターネット名またはアドレスです。

dnslookup6

インターネットドメインネームサーバにクエリを実行して、IPv6 ホスト名を解決します。

パラメータの一覧と説明

構文 説明
Host ipaddress
Host url
検索対象のホスト。
Server ipaddress [host] ネームサーバーのインターネット名またはアドレスです。

drop-packet-capture

ファイアウォールルールによってドロップされたパケットを表示します。接続の詳細と、デバイスによって処理されるパケットの詳細が表示されます。これは、管理者がファイアウォールルールのトラブルシューティングを行うのに役立ちます。ドロップされたパケットをフィルタリングすることもできます。

構文 説明
text BPF (Berkeley Packet Filter) 互換パケットフィルタ式です。
interface port このインターフェイスを待機します。
snaplen 20-68835 キャプチャするバイト数です。
次のパケットを確認する方法
特定のホスト host 10.10.10.1
特定の送信元ホスト src host 10.10.10.1
特定の宛先ホスト dst host 10.10.10.1
特定のネットワーク net 10.10.10.0
特定の送信元ネットワーク src net 10.10.10.0
特定の宛先ネットワーク dst net 10.10.10.0
特定のポート ポート 20
2つの特定ポート port 20 or port 21
特定の送信元ポート src port 21
特定の宛先ポート dst port 21
特定ポートの特定のホスト host 10.10.10.1 and port 21
SSH 以外のすべてのポートの特定のホスト host 10.10.10.1 and port not 22
特定のプロトコル proto ICMP, proto UDP, proto TCP

enableremote

Sophos Firewall へのリモート SSH 接続を許可します。アプライアンスは指定されたポートでSSH接続を待機し、指定されたアドレスからの接続を許可します。

構文 説明
port number リモート SSH を確立できるアプライアンス上のイーサネットポートです。
serverip ipaddress アプライアンスへの SSH 接続が許可されるホスト IP アドレスです。

ping

ICMP ECHO_REQUEST パケットを IPv4 ネットワークホストに送信し、対応する ECHO_REPLY を待機します。

構文 説明
ipaddress ping を実行する IP アドレスです。
string ping を実行するドメインです。
count number 特定の数のパケットを送信します。指定数に達すると、ping は停止します。
interface interfaceid パケットの送信元となる Sophos Firewall のインターフェイスを設定します。
quiet ping シーケンスの開始時と終了時にのみサマリーを表示します。
size number 送信されるエコー要求メッセージのデータフィールドの長さをバイト単位で指定します。デフォルトの値は 32 です。最大サイズは 65,527 です。
sourceip ipaddress パケットの送信元の IP アドレスを指定します。
timeout number 指定時間に達すると、パケットの送信を停止し、ping を終了します。

ping6

ICMPv6 ECHO_REQUEST パケットを IPv6 ネットワークホストに送信し、対応する ECHO_REPLY を待機します。

構文 説明
ipaddress6 ping を実行する IPv6 アドレスです。
count number 特定の数のパケットを送信します。指定数に達すると、ping は停止します。
interfaceinterfaceid パケットの送信元となる Sophos Firewall のインターフェイスを設定します。
quiet ping シーケンスの開始時と終了時にのみサマリーを表示します。
size number 送信するデータバイト数を指定します。デフォルトは 56 で、ICMP ヘッダーデータの 8 バイトと組み合わせると、64 ICMP データバイトに変換されます。

tcpdump

送信するデータバイト数を指定します。デフォルトは 56 で、ICMP ヘッダーデータの 8 バイトと組み合わせると、64 ICMP データバイトに変換されます。

構文 説明
text パケットフィルタ式です。指定されたフィルタに基づいて、パケットがダンプされます。式が指定されていない場合、すべてのパケットがダンプされます。指定されている場合は、式がtrueであるパケットだけがダンプされます。式は 1 つまたは複数のプリミティブで構成されます。プリミティブは通常、1つまたは複数の修飾子に続く ID (名前または番号) で構成されます。フィルタリング式の記述方法については、次の表の例を参照してください。
count number 指定された数のパケットを受信した`ら、tcpdump を終了します。
filedump tcpdump 出力は、必要な基準に基づいて生成できます。出力ファイルは /tmp にあります。
hex 各パケット (リンクレベルヘッダーを差し引いたもの) は、16 進数表記で出力します。
interface interfaceid リッスンするインターフェースを指定します。
llh イーサネットまたはその他のレイヤ 2 ヘッダー情報を含むパケットの内容を表示します。
no_time ダンプ行ごとにタイムスタンプを出力しないでください。
quite 出力行が短くなるように、プロトコル情報を少なくします。
verbose 詳細な出力。たとえば、IP パケットの有効時間、識別、全長、オプションが表示されます。また、IP および ICMP ヘッダーチェックサムの確認など、追加のパケット整合性チェックも有効化します。

以下に、tcpdump コマンドを使用してさまざまな情報を表示する方法の例をいくつか示します。

式は論理演算子の AND、OR、NOT を組み合わせることができます。さまざまな組み合わせを使用する場合は、クエリ全体をかぎ括弧で囲んでいることを必ず確認してください。

次のトラフィックの表示方法… tcpdump コマンド
特定のホスト tcpdump 'host <ipaddress>' tcpdump 'host 10.10.10.1'
特定のネットワーク tcpdump 'net <network address>' tcpdump 'net 10.10.10.0'
特定の送信元ネットワーク tcpdump 'src net <network address>' tcpdump 'src net 10.10.10.0'
特定の宛先ネットワーク tcpdump 'dst net <network address>' tcpdump 'dst net 10.10.10.0'
特定のポート tcpdump 'port <portnumber>' tcpdump 'port 21'
特定の送信元ポート tcpdump 'src port <port number\>' tcpdump 'src port 21'
特定の宛先ポート tcpdump 'dst port <port number>' tcpdump 'dst port 21'
特定のホストと特定のポート tcpdump 'host <ipaddress> and port <port number>' tcpdump 'host 10.10.10.1 and port 21'
SSH 以外の特定のホストとすべてのポート tcpdump 'host <ipaddress> and port not <port number>' tcpdump 'host 10.10.10.1 and port not 22'
特定のプロトコル tcpdump 'proto <protocol name>'

tcpdump 'proto ICMP'

tcpdump 'proto UDP'

特定のインターフェイス tcpdump interface <interface id> tcpdump interface port2
特定のインターフェース上の特定のポート tcpdump interface <interface id> 'port <port number>' tcpdump interface port2 'port 21'

telnet

別のリモートコンピュータに接続するときは、telnet を使用します。システムが特定のポートで接続を受け入れているかどうかを確認するために使用できます。telnet データはクリアテキストで送信されるため、管理タスクには可能な限り SSH を使用することをお勧めします。

構文 説明
ipaddress port number 接続先のポート番号は、リモートホストの FQDN、エイリアス、または IP アドレスの後に入力します。ポート情報が指定されていない場合は、デフォルトの telnet ポート (23) が使用されます。

telnet6

IPv6 アドレスの付いたシステムに接続するときは、telnet 経由で telnet6 を使用します。

構文 説明
ipv6address port number FQDN、エイリアス、またはリモートホストの IPv6 アドレスの後に、接続先のポート番号を付けます。ポート情報が指定されていない場合は、デフォルトの telnet ポート (23) が使用されます。

traceroute

traceroute は、IPv4 ネットワークから宛先システムまで、パケットが辿るパスをトレースします。traceroute は、IP プロトコルの有効時間 (TTL) フィールドを使用し、宛先へのパスに沿って各ゲートウェイから ICMP TIME_EXCEEDEED 応答を取得しようとします。

構文 説明
<ipaddress> ルートをトレースする宛先 IP アドレスを指定します。
<string> ルートをトレースするドメインを指定します。
first-ttl 最初の送信パケットが使用する初期有効時間を設定します。
icmp UDP データグラムの代わりに ICMP ECHO を使用します。
max-ttl パケットの最大有効時間を指定します。
no-frag 送信パケットのビットの断片化禁止を設定します。
probes プローブは各 ttl で送信されます。デフォルト値は「3」です。
source 指定した IP アドレスを送信パケットの送信元アドレスとして設定します。
timeout プローブへの応答のタイムアウトを秒単位で設定します。デフォルトは5です。
tos IPv4 の場合は、サービスの種類 (TOS) と優先順位値を設定します。有効な値は、16 (低遅延) および 8 (高スループット) です。

traceroute6

traceroute6 は、IPv6 ネットワークから宛先システムまで、パケットが辿るパスをトレースします。traceroute は、IP プロトコルの有効時間 (TTL) フィールドを使用し、宛先へのパスに沿って各ゲートウェイから ICMP TIME_EXCEEDEED 応答を取得しようとします。

構文 説明
<ipv6address> ルートをトレースする宛先 Ipv6 アドレスを指定します。
<string> ルートをトレースするドメインを指定します。
first-ttl 最初の送信パケットが使用する初期有効時間を設定します。
icmp UDP データグラムの代わりに ICMP ECHO を使用します。
max-ttl パケットの最大有効時間を指定します。
no-frag 送信パケットのビットの断片化禁止を設定します。
probes プローブは各 ttl で送信されます。デフォルト値は「3」です。
source 指定した IP アドレスを送信パケットの送信元アドレスとして設定します。
timeout プローブへの応答のタイムアウトを秒単位で設定します。デフォルトは5です。
tos サービスの種類を設定します。Ipv6 の場合、これはトラフィック制御値と呼ばれます。

show

以下のコマンドを入力します: show <setting>

例: show advanced-firewall

次の構成の設定を確認します。

構文 説明
advanced-firewall 現在設定されているファイアウォールの詳細パラメータを表示します。パラメータの詳細については、「set」を参照してください。
arp-flux arp-flux が現在オンまたはオフになっているかが示されます。

country-host

ip2country ipaddress

list

特定の IP アドレスをホストする国を検索するときは、ip2address > ipaddress オプションを使用します。list パラメータを使用すると、保存されている IP アドレスとその IP アドレスをホストする国が一覧表示されます。
fqdn-host

以下の設定パラメータを表示します:

  • cache-ttl- idle-timeout
  • learn-subdomains- IP eviction
http_proxy

HTTP プロキシに設定された次のパラメータを表示します。

  • add_via_header- core_dump
  • relay_invalid_http_traffic- connect_timeout
  • tunnel_timeout- client_timeout
  • response_timeout- proxy_tlsv_0
  • captive_portal_tlsv1_0- captive_portal_x_frame_options
interface-speedinterfaceid 指定したインターフェースのネットワーク速度を示します。
interfaces 論理インターフェースを含むアプライアンス上のインターフェースの詳細を表示します。
ips-settings 現在設定されている IPS 設定と実行中のインスタンスを表示します。

ip-signature

alert

disable

drop

現在設定されている IPS シグネチャを数値 ID で表示します。

alert は、トリガーされたときにアラートするよう設定されているシグネチャを表示します。

disable は、現在無効になっているシグネチャを表示します。

drop は、トリガーされたときにトラフィックをドロップするように設定されているシグネチャを表示します。

ips_conf 現在の IPS 設定を表示します。
lag-interfaceinterfaceid 指定した LAG インターフェースの詳細を表示します。
lanbypass 現在の lanbypass 構成を表示します。このモードでは、1 つまたは 2 つのペアのインターフェースがブリッジされるため、停電やハードウェアの誤動作が発生してもスキャンせずにトラフィックフローを中断することがありません。
license_status ライセンスが有効化されているかどうか、同期化されているかどうかが表示されます。
logs {log file} [lines] {number} 指定した行数に基づいて、ファイルの最新ログを表示します。
macaddrinterfaceid 指定インターフェースの MAC アドレスを表示します。
mtu-mssinterfaceid 指定インターフェースに現在設定されている MTU (デフォルトは MTU 1500 MSS 1460) を表示します。

nat-policy

application-server

failover

mail-notification

保護されたアプリケーションサーバーの NAT ポリシー設定 (有効化されているか、無効化されているか) を表示します。
network 使用されているフィルタに応じて、設定されたさまざまなネットワークパラメータを示します。
static-route 現在の IPv4 静的ルートをすべて表示します。
static-route6 現在の IPv6 静的ルートをすべて表示します。
support_access サポートアクセスがオンまたはオフのどちらに設定されているかを表示します。オンになっている場合は、アクセス ID とアクセス期間が表示されます。

その他のリソース