FAQ for YAMAHA RT Series / IP Packet Filter

RTシリーズのIPフィルターに関するFAQ

IPフィルター機能の基本

最終変更日	2025/Dec/23
文書サイズ	36KB

IPフィルターの設定方法がよくわからない。

[ TOC ]

IPフィルター機能の設定
defaultフィルターのパターン
IPフィルターのパターンを定義する
IPフィルターの定義をインターフェースに適用する
IPフィルターのログ機能
ログの例
RTX1300のWeb GUIのIPフィルター設定イメージ
関連FAQ、設定例

1. IPフィルター機能の設定

基本設定手順
1. IPフィルターのパターンを定義する。
  →3. IPフィルターのパターンを定義する
2. フィルター定義をインターフェースに適用する。
  →4. IPフィルターの定義をインターフェースに適用する
フィルターの定義と動作の関係(基本の考え方)
1. フィルターが適用されていない。(通常の初期状態/工場出荷状態)
  →「すべて通過」
2. なにか、フィルターが適用されている…順番にパターンチェックを行う。
  →フィルター定義と、一致した。
  →→フィルター定義に従う。
3. なにか、フィルターが適用されている…順番にパターンチェックを行う。
  →フィルター定義とは、不一致だった。
  →→破棄する。(2. defaultフィルターのパターン)

2. defaultフィルターのパターン

暗黙のフィルターのパターン (defaultフィルター)
フィルター適用コマンドによって、フィルターが適用されている状態で、どのフィルターにもマッチしないパケットがあったとき、暗黙的にdefaultフィルターが適用されます。

defaultフィルターは、すべてのパケットを破棄します。
defaultフィルターと同等のフィルターパターンの定義例
同等のフィルターを100番として定義すると、以下のようになります。
ip filter 100 reject * * * * *
つまり、RTシリーズでは、上記のようなフィルターは、defaultフィルターとして機能しますので、明示する必要はありません。
defaultフィルターで破棄されたパケットのログ
以下のようなログが残ります。
PP[XXX] Rejected at OUT(default) filter: TCP YYY.YYY.YYY.YYY:1024 > ZZZ.ZZZ.ZZZ.ZZZ:21
内容の整理

I/F フィルター番号プロトコル始点終点

IPアドレスポート番号 IPアドレスポート番号

PP[XXX], OUT方向 default TCP YYY.YYY.YYY.YYY 1024 ZZZ.ZZZ.ZZZ.ZZZ 21

3. IPフィルターのパターンを定義する

IPフィルターで定義できるパターン
IPフィルターで定義できるパケットは、IPパケットです。すなわち、IPパケット、TCPパケット、UDPパケット、ICMPパケットなどです。
IPフィルターを利用するには、それらのパケットやそれらを利用したサービスに関する知識が必要です。

IPフィルターで定義可能な内容

設定項目説明

フィルター番号フィルター定義のための識別番号

タイプ通過や拒絶などの指定

始点アドレス始点となるIPアドレス (ネットワーク指定可能)

終点アドレス終点となるIPアドレス (ネットワーク指定可能)

プロトコル TCP,UDP,ICMPなどの指定

始点ポート始点となるポート番号(TCPとUDPのみ有効)

終点ポート終点となるポート番号(TCPとUDPのみ有効)

設定項目	説明
フィルター番号	フィルター定義のための識別番号
タイプ	通過や拒絶などの指定
始点アドレス	始点となるIPアドレス (ネットワーク指定可能)
終点アドレス	終点となるIPアドレス (ネットワーク指定可能)
プロトコル	TCP,UDP,ICMPなどの指定
始点ポート	始点となるポート番号(TCPとUDPのみ有効)
終点ポート	終点となるポート番号(TCPとUDPのみ有効)

フィルターのタイプ

タイプの識別子説明パケットの処理ログ

pass 通信を許可する通す ×

pass-log ◎

pass-nolog ×

reject 通信を拒絶する破棄する ◎

reject-log ◎

reject-nolog ×

restrict 回線の接続状態に応じて
通信を制限する接続中は、通す
切断中は、破棄する ○

restrict-log ◎

restrict-nolog ×

タイプの識別子	説明	パケットの処理	ログ
pass	通信を許可する	通す	×
pass-log	◎
pass-nolog	×
reject	通信を拒絶する	破棄する	◎
reject-log	◎
reject-nolog	×
restrict	回線の接続状態に応じて通信を制限する	接続中は、通す切断中は、破棄する	○
restrict-log	◎
restrict-nolog	×

◎: マッチしたパケットをログする
○: 落としたパケットをログする
×: ログしない
"pass"と"pass-nolog"は、同意です。show config等では、"pass"と表示される。
"reject"と"reject-log"は、同意です。show config等では、"reject"と表示される。

フィルターのIPアドレス

IPアドレス説明

* 任意のIPアドレス

192.168.0.1 ホストアドレス

192.168.0.0/24 24ビットマスクのネットワークアドレス

192.168.0.1 - 192.168.0.10 範囲指定(～から～まで)

192.168.0.1 , 192.168.0.10 列挙指定

IPアドレス	説明
*	任意のIPアドレス
192.168.0.1	ホストアドレス
192.168.0.0/24	24ビットマスクのネットワークアドレス
192.168.0.1 - 192.168.0.10	範囲指定(～から～まで)
192.168.0.1 , 192.168.0.10	列挙指定

※DNS名、NetBIOS名、ニーモニックなどの名前による指定はできません。

フィルターのプロトコル

プロトコルの識別子説明

* 任意のプロトコル

tcp tcpパケット

established tcpコネクションが確立されたもののみ
tcpパケット + ACKフラグ + α

tcpfin tcpパケット + FINフラグ = "tcpflag=0x0001/0x0001"

tcprst tcpパケット + RSTフラグ = "tcpflag=0x0004/0x0004"

tcpflag tcpflagオプション(TCPフラグによる様々な条件設定が可能)

udp udpパケット

icmp icmpパケット

icmp-error icmpパケット

icmp-info icmpパケット

ah IPsecのahパケット

esp IPsecのespパケット

プロトコルの識別子	説明
*	任意のプロトコル
tcp	tcpパケット
established	tcpコネクションが確立されたもののみ tcpパケット + ACKフラグ + α
tcpfin	tcpパケット + FINフラグ = "tcpflag=0x0001/0x0001"
tcprst	tcpパケット + RSTフラグ = "tcpflag=0x0004/0x0004"
tcpflag	tcpflagオプション(TCPフラグによる様々な条件設定が可能)
udp	udpパケット
icmp	icmpパケット
icmp-error	icmpパケット
icmp-info	icmpパケット
ah	IPsecのahパケット
esp	IPsecのespパケット

フィルターのポート番号

TCPとUDPはポート番号を指定して、利用するサービス/機能を特定します。
ポート番号は、0～65536の10進数で指定します。
RTシリーズでは、いくつかの良く使われるポート番号をニーモニックで設定可能です。また、ニーモニックに対応しているポート番号は、数字で入力しても、ニーモニックで表示します。
RTシリーズで使えるニーモニック表

ポート番号の識別子説明

* 任意のポート番号

0～65536 10進数指定

文字列ニーモニック指定

netbios_ns-netbios_ssn 範囲指定(～から～まで)

-1023 範囲指定(～以下)

1024- 範囲指定(～以上)

www,ftp,nntp 列挙指定(10個まで)

ポート番号の識別子	説明
*	任意のポート番号
0～65536	10進数指定
文字列	ニーモニック指定
netbios_ns-netbios_ssn	範囲指定(～から～まで)
-1023	範囲指定(～以下)
1024-	範囲指定(～以上)
www,ftp,nntp	列挙指定(10個まで)

定義コマンド

# ip filter ? 入力形式： ip filter フィルター番号タイプ始点アドレス[/マスク] [終点アドレス[/マスク] [プロトコル [始点ポートリスト [終点ポートリスト]]]] フィルター番号 = 1-21474836, タイプ = 'pass', 'pass-log', 'pass-nolog', 'reject', 'reject-log', 'reject-nolog', 'restrict', 'restrict-log' or 'restrict-nolog' 　　説明： IPに対するフィルターを定義しますこのコマンドの後に'directed-broadcast', 'dynamic', 'fqdn', 'set'または'source-r oute'を続けると別のコマンドになります #

その他の類似コマンド

# ip filter source-route ? 入力形式： ip filter source-route スイッチスイッチ = 'on' or 'off' 　　説明： Source-routeオプション付きIPパケットをフィルタリングするか否かを選択しますデフォルト値： on # # ip filter directed-broadcast ? 入力形式： ip filter directed-broadcast スイッチ ip filter directed-broadcast filter フィルター番号... スイッチ = 'on' or 'off' 　　説明： Directed-Broadcast宛のIPパケットをフィルタリングするか否かを選択しますデフォルト値： on #

4. IPフィルターの定義をインターフェースに適用する

RTシリーズのIPフィルターの適用位置
「IPフィルター機能がどこで働くかわからない。」
フィルターの適用される順番
インターフェースへの適用リストに記述された順番でパターンマッチングされ、マッチしたフィルターが適用されます。どのフィルターにもマッチしなければ、defaultフィルターが適用されます。

ただし、WWW設定でフィルターを設定する場合は、フィルター番号が昇順(数値の小さい順)に適用されます。

PPインターフェースへの適用コマンド

# pp select 1 pp1# ip pp secure filter ? 入力形式： ip pp secure filter 方向フィルター列 ['dynamic' フィルター列] ip pp secure filter name 名前方向 = 'in' or 'out', フィルター列 = 1-21474836 　　説明：インターフェースに対するIPのフィルタリングを設定します pp1#

LANインターフェースへの適用コマンド

# ip lan1 secure filter ? 入力形式： ip lan1 secure filter 方向フィルター列 ['dynamic' フィルター列] ip lan1 secure filter name 名前方向 = 'in' or 'out', フィルター列 = 1-21474836 　　説明：インターフェースに対するIPのフィルタリングを設定します # ip lan2 secure filter ? 入力形式： ip lan2 secure filter 方向フィルター列 ['dynamic' フィルター列] ip lan2 secure filter name 名前方向 = 'in' or 'out', フィルター列 = 1-21474836 　　説明：インターフェースに対するIPのフィルタリングを設定します #

TUNNELインターフェースへの適用コマンド

# tunnel select 1 tunnel1# ip tunnel secure filter ? 入力形式： ip tunnel secure filter 方向フィルター列 ['dynamic' フィルター列] ip tunnel secure filter name 名前方向 = 'in' or 'out', フィルター列 = 1-21474836 　　説明：インターフェースに対するIPのフィルタリングを設定します tunnel1#

フィルターを使わない場合
フィルター適用コマンドを設定せず、フィルターを使わない設定の時にはすべてのパケットが通過します。

5. IPフィルターのログ機能

ログ機能を有効にするコマンド
IPフィルターのログ機能を有効にするには、事前に「syslog noticeコマンド」の設定を有効しておく必要があります。
ログ機能を有効にする場合は、「syslog notice on」と設定してください。
syslogに残す方法
- syslog って何ですか?
- UNIX で syslog を受け取るにはどうすればいいの?
DNSの名前解決に関わるパケットのログ
通常のログ情報に加えて、DNSの問い合わせ内容をログに記録します。
LAN1 Passed at IN(1) filter: UDP 192.168.0.2:1039 > 192.168.0.1:53 (DNS Query [www.rtpro.yamaha.co.jp])
また、「DNSの名前解決に関わるパケット」がきっかけ(トリガー)となり、 ISDN回線の発呼(接続)要因を報告するログ(IP Commencing)でも、同様の問い合わせ内容が記録されます。
PP[01] IP Commencing: UDP 192.168.0.1:53 > 133.176.200.51:53 (DNS Query [www.rtpro.yamaha.co.jp] from 192.168.0.2)
100番のフィルターを通過したパケットのログ
内容の整理

I/F フィルター番号プロトコル始点終点

IPアドレスポート番号 IPアドレスポート番号

LAN1, IN方向 100 TCP 192.168.0.2 1117 192.168.0.1 80
ログの形式
LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1117 > 192.168.0.1:80
defaultフィルターで破棄されたパケットのログ
内容の整理

I/F フィルター番号プロトコル始点終点

IPアドレスポート番号 IPアドレスポート番号

PP[XX], OUT方向 default TCP YYY.YYY.YYY.YYY 1024 ZZZ.ZZZ.ZZZ.ZZZ 21
ログの形式
PP[XX] Rejected at OUT(default) filter: TCP YYY.YYY.YYY.YYY:1024 > ZZZ.ZZZ.ZZZ.ZZZ:21

6. ログの例

HTTP通信の(通過)動作を観測するフィルター設定とログ

ip filter 100 pass-log * * * * * ip lan1 address 192.168.0.1/24 ip lan1 secure filter in 100 ip lan1 secure filter out 100

LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1117 > 192.168.0.1:80 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1117

(LAN側のWWWブラウザ→ネットボランチのWWW設定機能)の通信内容の整理

I/F フィルター番号プロトコル始点終点

IPアドレスポート番号 IPアドレスポート番号

LAN1, IN方向 100 TCP 192.168.0.2 1107 192.168.0.1 80

LAN1, OUT方向 100 TCP 192.168.0.1 80 192.168.0.2 1107

ping通信の(通過)動作を観測するフィルター設定とログ

ip filter 1 pass-log * * * * * ip lan1 secure filter in 1 ip lan1 secure filter out 1 syslog notice on

ネットワーク構成
+-------------+ | IPホスト#A | (www.rtpro.yamaha.co.jp) +------+------+ | 133.176.200.51 133.176.200.0/24 -------+----------------------------------- | 133.176.200.67 +------+------+ | RT(A) | (ダイヤルアップサーバー) +-------------+ : 10/Celery : ISDN擬似交換機またはISDN回線　～～～～～～～～～～～～～～～～～～～～～～ : : 20/Tomato +-------------+ (133.176.200.68) | RT(B) | (端末型ダイヤルアップ) ↑ IPマスカレード +------+------+ 192.168.0.1-192.168.0.254 | 192.168.0.1 192.168.0.0/24 -------+----------------------------------- | 192.168.0.2 +------+------+ | IPホスト#B | (Windows) +-------------+

Windowsのコマンドプロンプトからの操作
C:¥WINDOWS> ping www.rtpro.yamaha.co.jp Pinging www.rtpro.yamaha.co.jp [133.176.200.51] with 32 bytes of data: Reply from 133.176.200.51: bytes=32 time=26ms TTL=252 Reply from 133.176.200.51: bytes=32 time=16ms TTL=252 Reply from 133.176.200.51: bytes=32 time=16ms TTL=252 Reply from 133.176.200.51: bytes=32 time=17ms TTL=252 Ping statistics for 133.176.200.51: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 16ms, Maximum = 26ms, Average = 18ms C:¥WINDOWS>

1999/06/23 15:20:07: LAN1 Passed at IN(1) filter: UDP 192.168.0.2:1039 > 192.168.0.1:53 (DNS Query [www.rtpro.yamaha.co.jp]) 1999/06/23 15:20:07: PP[01] IP Commencing: UDP 192.168.0.1:53 > 133.176.200.51:53 (DNS Query [www.rtpro.yamaha.co.jp] from 192.168.0.2) 1999/06/23 15:20:07: PP[01] Calling 10 with 1B mode 1999/06/23 15:20:07: PP[01] PPP/IPCP up 1999/06/23 15:20:11: LAN1 Passed at OUT(1) filter: UDP 192.168.0.1:53 > 192.168.0.2:1039 (DNS response) 1999/06/23 15:20:11: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request 1999/06/23 15:20:11: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply 1999/06/23 15:20:12: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request 1999/06/23 15:20:12: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply 1999/06/23 15:20:13: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request 1999/06/23 15:20:13: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply 1999/06/23 15:20:14: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request 1999/06/23 15:20:14: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply

ping通信の(通過)動作を観測するフィルター設定とログ

ip filter 100 pass-log * * * * * ip lan1 address 192.168.0.1/24 ip lan1 secure filter in 100 ip lan1 secure filter out 100

LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1122 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1122 > 192.168.0.1:80 LAN1 Passed at IN(100) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request LAN1 Passed at OUT(100) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply LAN1 Passed at IN(100) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request LAN1 Passed at OUT(100) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply LAN1 Passed at IN(100) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request LAN1 Passed at OUT(100) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply LAN1 Passed at IN(100) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request LAN1 Passed at OUT(100) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1123 > 192.168.0.1:80 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1123

NetBIOS通信の(通過)動作を観測するフィルター設定とログ

ip filter 100 pass-log * * * * * ip lan1 address 192.168.0.1/24 ip lan1 secure filter in 100 ip lan1 secure filter out 100

LAN1 Passed at IN(100) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 LAN1 Passed at IN(100) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 same message repeated 2 times

DHCP通信の(通過)動作を観測するフィルター設定とログ

ip filter 100 pass-log * * * * * ip lan1 address 192.168.0.1/24 ip lan1 secure filter in 100 ip lan1 secure filter out 100

2000/04/06 10:50:39: LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1135 2000/04/06 10:50:39: same message repeated 1 times 2000/04/06 10:50:39: LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1135 > 192.168.0.1:80 2000/04/06 10:50:47: LAN1 Passed at IN(100) filter: UDP 0.0.0.0:68 > 255.255.255.255:67 2000/04/06 10:50:47: LAN1 Passed at OUT(100) filter: UDP 192.168.0.1:67 > 192.168.0.2:68 2000/04/06 10:50:47: LAN1 Passed at IN(100) filter: UDP 0.0.0.0:68 > 255.255.255.255:67 2000/04/06 10:50:47: [DHCPD] Allocates 192.168.0.2: 00:80:98:e0:ee:6f 2000/04/06 10:50:47: LAN1 Passed at OUT(100) filter: UDP 192.168.0.1:67 > 192.168.0.2:68 2000/04/06 10:50:53: LAN1 Passed at IN(100) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 2000/04/06 10:51:01: same message repeated 19 times 2000/04/06 10:51:01: LAN1 Passed at IN(100) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 2000/04/06 10:51:06: LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1136 > 192.168.0.1:80 2000/04/06 10:51:06: LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1136

telnet通信の(通過)動作を観測するフィルター設定とログ

ip filter 100 pass-log * * * * * ip lan1 address 192.168.0.1/24 ip lan1 secure filter in 100 ip lan1 secure filter out 100

～～～～～　telnetの通信開始　～～～～～ LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 ～～～～～　telnetのログイン成功　～～～～～ Login succeeded for TELNET: 192.168.0.2 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 2 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times ～～～～～　管理ユーザでログイン成功　～～～～～ 'administrator' succeeded for TELNET: 192.168.0.2 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 2 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 2 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 ～～～～～　telnetのログアウト成功　～～～～～ Logout from TELNET: 192.168.0.2 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 ～～～～～　telnetの通信終了　～～～～～ LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1130 > 192.168.0.1:80 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1130

NetBIOSフィルターの(破棄)動作を観測する設定とログ

ip filter 1 reject * * * netbios_ns-netbios_ssn * ip filter 2 reject * * * * netbios_ns-netbios_ssn ip filter 100 pass * * * * * ip lan1 address 192.168.0.1/24 ip lan1 secure filter in 1 2 100 syslog notice on

LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 same message repeated 2 times LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 same message repeated 19 times LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 same message repeated 10 times LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 same message repeated 7 times LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138

7. RTX1300のWeb GUIのIPフィルター設定イメージ

[詳細設定]-[セキュリティー]-[IPフィルター]のTOP画面

インターフェースに適用されているIPv4フィルターの一覧画面

GUI IPフィルターインターフェース画面

この説明画面において設定しているコマンド一覧

ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
pp select 1
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 106 107

IPv4フィルター適用リストの編集画面
IPv4静的フィルター定義の設定画面
IPv4動的フィルター定義の設定画面

8. 関連FAQ、設定例

[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]

I/F	フィルター番号	プロトコル	始点		終点
			IPアドレス	ポート番号	IPアドレス	ポート番号
`PP[XXX], OUT方向`	`default`	`TCP`	`YYY.YYY.YYY.YYY`	`1024`	`ZZZ.ZZZ.ZZZ.ZZZ`	`21`