FQDN フィルター機能

$Date: 2025/07/18 15:32:42 $

• 概要
• 制限事項
• 対応機種とファームウェアリビジョン
• コマンド
• 設定例
• 関連技術資料
• 更新履歴

概要

以下のコマンドの始点と終点アドレスに、FQDNを指定することができます。

• ip filterコマンド
• ip filter dynamicコマンド
• ipv6 filterコマンド
• ipv6 filter dynamicコマンド

FQDNを指定したip filterコマンドは、以下のコマンドで使用することができます。

• ip filter directed-broadcastコマンド
• ip filter dynamicコマンド
• ip filter setコマンド
• ip forward filterコマンド
• ip fragment remove df-bitコマンド
• ip interface rip filterコマンド
• ip interface secure filterコマンド (ポリシーフィルターを使用中は動作保証外)
• ip routeコマンド

FQDNを指定したipv6 filterコマンドは、以下のコマンドで使用することができます。

• ipv6 filter dynamicコマンド
• ipv6 interface rip filterコマンド
• ipv6 interface secure filterコマンド (ポリシーフィルターを使用中は動作保証外)
• ipv6 routeコマンド

FQDNを指定したip filterコマンドおよびipv6 filterコマンドを以下の機能で使用することにより、固定IPアドレスではないサーバーや１つのFQDNに対して複数の固定IPアドレスを持つサーバーを対象にしたルーティング制御を行うことができます。

• フィルター型ルーティング
• パケット転送フィルター (ip filterコマンドのみ)

▲ このドキュメントの先頭へ

制限事項

FQDNフィルター機能を使用するには、以下の制限があります。

• 本機能を使用するルーター自身がDNSリカーシブサーバーとして動作する必要があります。
• 本機能を使用するルーター配下の端末は、DNSサーバーとして本機能が動作しているルーターを指定する必要があります。
• 指定したFQDNの名前解決で得られたIPアドレスのみが、フィルタリングの対象となります。Webサーバーへアクセスすることで得られたHTMLファイル等から派生した別のWebサーバーへの通信やリダイレクトなどは、フィルタリングの対象にはなりません。
• ip hostコマンドの設定値、dns staticコマンドの設定値、DNSキャッシュの順で検索します。
• 本機能に基づき決定されたルーティングは、ファストパスのフローテーブルに記録され、以降の同じ条件のパケットはファストパスで処理されます。
  DNSキャッシュのTTLが満了するなどしてDNS情報が書き換わった場合でも、フローテーブルに記録された情報は置き換えられずに、ファストパスで従前の宛先にルーティングされ続けます。フローテーブルの情報の寿命は ip flow timer コマンドで制御できます。
• 1つのIPアドレスに対して複数のFQDNがある場合に注意が必要です。
  例えば、「google検索サイト」と「youtube動画サイト」は同じIPアドレスとなる場合があります。
  google＝pass、youtube＝rejectをこの順で設定し、googleで検索した後にyoutubeにアクセスした場合、youtubeのIPアドレスが先に アクセスしたgoogleと同じだった場合は、youtubeもpassします (googleとyoutubeが別々のIPアドレスだった場合は設定どおりyoutubeはrejectされます)。
• 一部の機種およびファームウェアではIPv6に対応していません。
  IPv6への対応機種およびファームウェアについては「対応機種とファームウェアリビジョン」を参照してください。

▲ このドキュメントの先頭へ

対応機種とファームウェアリビジョン

ヤマハルーターでは以下の機種およびファームウェアで、FQDNフィルター機能に対応しています。

▲ このドキュメントの先頭へ

コマンド

▲ このドキュメントの先頭へ

設定例

• フィルター型ルーティングで、デフォルトゲートウェイはPP1を使用し、Microsoft Update は PP2 を使用する

  ip filter 1000 pass * update.microsoft.com,*.update.microsoft.com,*.windowsupdate.com
  ip filter 1001 pass * download.windowsupdate.com,*.download.windowsupdate.com
  ip filter 1002 pass * download.microsoft.com,*.download.microsoft.com
  ip filter 1003 pass * wustat.windows.com,ntservicepack.microsoft.com
  ip filter 1010 pass * mp.microsoft.com,*.mp.microsoft.com
  ip filter 1011 pass * *.do.dsp.mp.microsoft.com,*.dl.delivery.mp.microsoft.com,*.emdl.ws.microsoft.com
  ip filter 1012 pass * windowsupdate.com,login.live.com
  ip route default gateway pp 2 filter 1000 1001 1002 1003 1010 1011 1012 gateway pp 1
  
  # show ip route
  宛先ネットワーク      ゲートウェイ        インタフェース  種別      付加情報
  default                    -                        PP[02]             static    filter:1000,1001,1002,1003,1010,1011,1012
  default                    -                        PP[01]             static
  192.168.100.0/24   192.168.100.1     LAN1               implicit
  

  ※ IPフィルターに記載したFQDNは「https://docs.microsoft.com/ja-jp/archive/blogs/jpwsus/wu-mu-list」を基に記載しています。

• パケット転送フィルターで、デフォルトゲートウェイはPP1を使用し、google 関係は PP2 を使用する

  ip route default gateway pp 1
  ip lan1 forward filter 100
  ip filter 2000 pass * *.google.co.jp,*.google.com
  ip forward filter 100 1 gateway pp 2 filter 2000
  

▲ このドキュメントの先頭へ

関連技術資料

• パケット転送フィルター
• フィルター型ルーティング

▲ このドキュメントの先頭へ

更新履歴