内部データベース参照型URLフィルター

$Date: 2023/07/06 20:30:27 $

  1. 概要
  2. 注意事項
  3. 対応機種とリビジョン
  4. 詳細
  5. コマンド
  6. 設定例
  7. SYSLOGメッセージ一覧
  8. 関連文書

1. 概要

URLフィルター機能とは、HTTP通信においてアクセス可能なURLを制限する機能です。内部データベース参照型URLフィルター機能では、URLの全部または一部をキーワードとしてルーターに登録し、そのキーワードと一致した文字列を含むURLへのアクセスを制限することができます。また、フィルター設定時に始点IPアドレスを指定することで、特定のホストまたはネットワークからの接続を制限することもできます。

主な仕様は以下の通りです。

2. 注意事項

3. 対応機種とリビジョン

ヤマハRTシリーズでは以下の機種およびファームウェアで、内部データベース参照型URLフィルター機能をサポートしています。

機種ファームウェア
RTX3510 Rev.23.01.01以降
RTX1300 Rev.23.00.03以降
RTX1220 Rev.15.04.01以降
RTX830 Rev.15.02.01以降
NVR700W Rev.15.00.02以降
RTX1210 Rev.14.01.05以降
RTX5000 Rev.14.00.08以降
RTX3500 Rev.14.00.08以降
FWX120 Rev.11.03.02以降
RTX810 Rev.11.01.04以降
RTX1200 Rev.10.01.07以降
SRT100 Rev.10.00.08以降
RTX3000 Rev.9.00.31以降
RTX1100 Rev.8.03.60以降
RT107e Rev.8.03.60以降

4. 詳細

インターフェースへのURLフィルターの適用

評価するURLの整形

URLフィルターの走査

MIB変数

以下のMIB変数で、URLフィルターが適用された統計情報を取得することができます。

5. コマンド

6. 設定例

PP[1]インターフェースへの設定例

url filter 1 reject * 192.168.0.100			... (1)
url filter 2 reject info *				... (2)
url filter 3 reject yamaha 192.168.0.2-192.168.0.10     ... (3)
url filter 4 reject http://aaa.bbb.ccc/ *	        ... (4)
url filter 1000 pass * *				... (5)
pp select 1
 url pp filter out 1 2 3 4 1000				... (6)

(1)... 192.168.0.100 のホストからすべてのURLへのアクセスを禁止する。
(2)... すべてのホストから、info を含むURLへのアクセスを禁止する。
(3)... 192.168.0.2-192.168.0.10の範囲のホストから、yamahaを含むURLへのアクセスを禁止する。
(4)... すべてのホストから、http://aaa.bbb.ccc/へのアクセスを禁止する。
(5)... すべてのホストから、すべてのURLへのアクセスを許可する。
(6)... (1)〜(5)のフィルターをPP[1]の出力方向のHTTPコネクションへ適用する。

show url filterコマンドの表示例

# show url filter pp 1
pp 1 [OUT]:
フィルタ番号   始点IPアドレス       回数
----------------------------------------
    1          192.168.0.10           29
    2          192.168.0.27           10
    3          192.168.0.74          917
    4          192.168.0.18           83

#

(インターフェースを指定しない場合)
# show url filter
LAN 2 [OUT]:
フィルタ番号   始点IPアドレス       回数
----------------------------------------
   19          192.168.100.231     83716
   22          192.168.100.18        378
   43          192.168.100.172      1058
   88          192.168.100.34       1892
  324          192.168.100.35       3871


pp 1 [OUT]:
フィルタ番号   始点IPアドレス       回数
----------------------------------------
    1          192.168.0.10           29
    2          192.168.0.27           10
    3          192.168.0.74          917
    4          192.168.0.18           83

pp 2 [IN]:
フィルタ番号   始点IPアドレス       回数
----------------------------------------
 2001          10.129.83.98         1238
 2002          172.16.38.137           9
 2003          10.211.49.176         328

7. SYSLOGメッセージ一覧

本機能において出力されるSYSLOGメッセージの一覧を以下に示します。尚、実際に出力される各メッセージの先頭には"[URL FILTER] "というプレフィックスが付与されます。

レベル 出力メッセージ 内容
NOTICE(*) Passed at INTERFACE DIR(NUM) filter: IP_ADDRESS : URL INTERFACEのDIR方向に適用したフィルター番号NUMのフィルターにマッチした、IP_ADDRESSからURLへアクセスするパケットを通過させた。
Rejected at INTERFACE DIR(NUM) filter: IP_ADDRESS : URL INTERFACEのDIR方向に適用したフィルター番号NUMのフィルターにマッチした、IP_ADDRESSからURLへアクセスするパケットを破棄した。
(*) SRT100のRev.10.00.31以前、RTX1100/RT107eのRev.8.03.70以前はDEBUGレベルで出力される。

8. 関連文書