$Date: 2023/07/06 20:30:27 $
URLフィルター機能とは、HTTP通信においてアクセス可能なURLを制限する機能です。内部データベース参照型URLフィルター機能では、URLの全部または一部をキーワードとしてルーターに登録し、そのキーワードと一致した文字列を含むURLへのアクセスを制限することができます。また、フィルター設定時に始点IPアドレスを指定することで、特定のホストまたはネットワークからの接続を制限することもできます。
主な仕様は以下の通りです。
ヤマハRTシリーズでは以下の機種およびファームウェアで、内部データベース参照型URLフィルター機能をサポートしています。
機種 | ファームウェア |
---|---|
RTX3510 | Rev.23.01.01以降 |
RTX1300 | Rev.23.00.03以降 |
RTX1220 | Rev.15.04.01以降 |
RTX830 | Rev.15.02.01以降 |
NVR700W | Rev.15.00.02以降 |
RTX1210 | Rev.14.01.05以降 |
RTX5000 | Rev.14.00.08以降 |
RTX3500 | Rev.14.00.08以降 |
FWX120 | Rev.11.03.02以降 |
RTX810 | Rev.11.01.04以降 |
RTX1200 | Rev.10.01.07以降 |
SRT100 | Rev.10.00.08以降 |
RTX3000 | Rev.9.00.31以降 |
RTX1100 | Rev.8.03.60以降 |
RT107e | Rev.8.03.60以降 |
例えば、
url filter 1 pass www.yamaha.co.jp
url filter 2 reject yamaha
url filter 3 pass *
url lan2 filter out 1 2 3
のような設定を行った場合、http://www.yamaha.co.jp/へはアクセスできますが、
http://www.aaaa.com/yamaha/ へのアクセスは遮断されます。
url INTERFACE filter コマンドへのフィルターの登録を
url lan2 filter out 2 1 3
のように順番を逆にすると、http://www.yamaha.co.jp/ への アクセス、および、http://www.aaaa.com/yamaha/ へのアクセスの両方が遮断されます。
ホスト www.yamaha.co.jp のIPアドレスを 172.16.0.1 とします。
url filter 1 reject www.yamaha.co.jp
url filter 2 pass *
url lan2 filter out 1 2
上記設定において、http://www.yamaha.co.jp/へのアクセスは遮断されますが、http://172.16.0.1/へのアクセスは遮断されません。
以下のMIB変数で、URLフィルターが適用された統計情報を取得することができます。
ID ... フィルター番号 |
|
KIND |
|
KEYWORD |
|
SRC_ADDR ... IPパケットの始点IPアドレス |
|
MASK |
|
URLによるフィルターを設定する。本コマンドで設定されたフィルター は、url INTERFACE filterコマンドで用いられる。
指定されたキーワードに、大文字のアルファベットが含まれる場合、それらを小文字に変換して保存する。
RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで、SRC_ADDRをコンマ(,)で区切って複数指定することができる。
INTERFACE ... | LANインターフェース名 |
DIR | |
|
|
LIST ... | 空白で区切られたURLフィルター番号の並び(512個以内...RTX5000、RTX3500、RTX3000, 128個以内...その他の機種) |
url filterコマンドで設定したフィルターを組み合わせて、インターフェースで送受信するHTTPパケットのURLによって制限を行う。
設定できるフィルターの数は、RTX5000、RTX3500、RTX3000では512個以内、その他の機種では128個以内、またはコマンドライン文字列長(4095文字)で入力できる範囲内である。
指定されたすべてのフィルターにマッチしないパケットは破棄される。
フィルターは設定されていない。
LIST ... | 空白で区切られたポート番号の並び(4個以内) |
URLフィルターでチェックを行うHTTPのポート番号を設定する。
80
INTERFACE ... | LANインターフェース名 |
PEER_NUM ... | 相手先情報番号 |
TUNNEL_NUM ... | トンネルインターフェース番号 |
インターフェースに適用されているURLフィルターの中で、どのフィルターに何回マッチしたかの統計情報を表示する。インターフェースが指定されない場合は、すべてのインターフェースの情報を表示する。
表示される内容は以下の通り。
url filterコマンドで、キーワード、IPアドレスの両方に"*"を設定したフィルターがインターフェースに適用されている場合、HTTPコネクションがこのフィルターとマッチした回数は表示されない。
INTERFACE ... | LANインターフェース名 |
PEER_NUM ... | 相手先情報番号 |
TUNNEL_NUM ... | トンネルインターフェース番号 |
URLフィルターの統計情報を消去する。インターフェースが指定されない場合は、すべてのインターフェースの情報を消去する。
URLフィルターで破棄するパケットの送信元にHTTPレスポンスを返す動作を設定する。
ブロック画面には、一致したキーワードまたは、アクセスを遮断した理由を表示する。
URLを指定した場合、実際にリダイレクトするときには指定したURLの後ろに"?"に続けて以下の内容のクエリを付加する。
URLに http:// または https:// で始まる文字列以外を設定することはできない。
本コマンドはHTTPパケットをURLフィルターで破棄するときのみ適用され、HTTPSパケットをURLフィルターで破棄するときには適用されない。
HTTPサーバー機能に対応した機種では、redirectを設定してWebブラウザにブロック画面を表示する場合、httpd service onの設定が必要である。
HTTPサーバー機能に対応していない機種でredirectを指定する場合、URLを省略することはできない。
RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで、URL を指定できる。
off | ... RTX5000、RTX3510、RTX3500、RTX3000 |
redirect | ... 上記以外の機種 |
フィルターにマッチした際にログを出力するか否かを設定する。
onを設定した場合でも、url filterコマンドで KINDにpass、pass-nolog、またはreject-nologを指定したフィルターにマッチした場合はログを出力しない。
RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで使用可能。
on
内部データベース参照型URLフィルターおよび、外部データベース参照型URLフィルターを使用するか否かを設定する。
RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで使用可能。
on
url filter 1 reject * 192.168.0.100 ... (1) url filter 2 reject info * ... (2) url filter 3 reject yamaha 192.168.0.2-192.168.0.10 ... (3) url filter 4 reject http://aaa.bbb.ccc/ * ... (4) url filter 1000 pass * * ... (5) pp select 1 url pp filter out 1 2 3 4 1000 ... (6) (1)... 192.168.0.100 のホストからすべてのURLへのアクセスを禁止する。 (2)... すべてのホストから、info を含むURLへのアクセスを禁止する。 (3)... 192.168.0.2-192.168.0.10の範囲のホストから、yamahaを含むURLへのアクセスを禁止する。 (4)... すべてのホストから、http://aaa.bbb.ccc/へのアクセスを禁止する。 (5)... すべてのホストから、すべてのURLへのアクセスを許可する。 (6)... (1)〜(5)のフィルターをPP[1]の出力方向のHTTPコネクションへ適用する。
# show url filter pp 1 pp 1 [OUT]: フィルタ番号 始点IPアドレス 回数 ---------------------------------------- 1 192.168.0.10 29 2 192.168.0.27 10 3 192.168.0.74 917 4 192.168.0.18 83 # (インターフェースを指定しない場合) # show url filter LAN 2 [OUT]: フィルタ番号 始点IPアドレス 回数 ---------------------------------------- 19 192.168.100.231 83716 22 192.168.100.18 378 43 192.168.100.172 1058 88 192.168.100.34 1892 324 192.168.100.35 3871 pp 1 [OUT]: フィルタ番号 始点IPアドレス 回数 ---------------------------------------- 1 192.168.0.10 29 2 192.168.0.27 10 3 192.168.0.74 917 4 192.168.0.18 83 pp 2 [IN]: フィルタ番号 始点IPアドレス 回数 ---------------------------------------- 2001 10.129.83.98 1238 2002 172.16.38.137 9 2003 10.211.49.176 328
本機能において出力されるSYSLOGメッセージの一覧を以下に示します。尚、実際に出力される各メッセージの先頭には"[URL FILTER] "というプレフィックスが付与されます。
レベル | 出力メッセージ | 内容 |
---|---|---|
NOTICE(*) | Passed at INTERFACE DIR(NUM) filter: IP_ADDRESS : URL | INTERFACEのDIR方向に適用したフィルター番号NUMのフィルターにマッチした、IP_ADDRESSからURLへアクセスするパケットを通過させた。 |
Rejected at INTERFACE DIR(NUM) filter: IP_ADDRESS : URL | INTERFACEのDIR方向に適用したフィルター番号NUMのフィルターにマッチした、IP_ADDRESSからURLへアクセスするパケットを破棄した。 |
(*) | SRT100のRev.10.00.31以前、RTX1100/RT107eのRev.8.03.70以前はDEBUGレベルで出力される。 |