URLフィルターブロック画面のカスタマイズ

$Date: 2017/10/11 12:07:01 $

  1. 概要
  2. 注意事項
  3. 対応機種とリビジョン
  4. HTTPリダイレクトについて
  5. コマンド
  6. 関連文書

1. 概要

これまでURLフィルターでWebアクセスを遮断したとき、送信元のホストに返すHTTPリダイレクトの URLはルーター自身に固定されており、またブロック画面で表示される内容を変更することもできませんでした。 本機能を利用することで、リダイレクト先にルーター以外のWebサーバー上にあるブロック画面を指定できるようになり、ユーザー毎に使用環境にあったブロック画面を表示することができるようになります。

2. 注意事項

3. 対応機種とリビジョン

ヤマハRTシリーズでは以下の機種およびファームウェアで、URLフィルターブロック画面のカスタマイズをサポートしています。

機種ファームウェア
RTX830 Rev.15.02.01以降
NVR700W Rev.15.00.02以降
RTX1210 Rev.14.01.05以降
RTX5000 Rev.14.00.08以降
RTX3500 Rev.14.00.08以降
FWX120 Rev.11.03.02以降
RTX810 Rev.11.01.04以降
RTX1200 Rev.10.01.07以降
SRT100 Rev.10.00.38以降
RTX3000 Rev.9.00.31以降
RTX1100 Rev.8.03.75以降
RT107e Rev.8.03.75以降

4. HTTPリダイレクトについて

4.1 ステータスコード

ルータが送信元ホストに返すHTTPリダイレクトのステータスコードは 302 です。

4.2 リダイレクトするURLへ付加する引数

url filter rejectコマンドまたは、url filter external-database rejectコマンドで設定した、リダイレクトするURLに"?"に続けて以下のような情報を付加します。

書式:
<リダイレクトするURL> ? <情報名> = <情報> & <情報名> = <情報>...
情報名、情報:
"情報名"および"情報"は、アクセスを遮断した方式によって変わります。

"情報"に以下の文字を含む場合、これらをパーセントエンコーディングします。

文字 : / ? # [ ] @ ! $ & ' ( ) * + , ; = %
エンコーディング %3a %2f %3f %23 %5b %5d %40 %21 %24 %26 %27 %28 %29 %2a %2b %2c %3b %3d %25
これらは、RFC3986の「2.2. Reserved Characters」で規定されている文字および % です。

4.2.1 内部データベース参照型URLフィルター

情報名情報
block_url アクセスを遮断したURL
keyword マッチしたフィルターに設定されているキーワード
設定したすべてのフィルターにマッチしない場合、「keyword=」の後にキーワード文字列は入りません。
例: リダイレクトするURL ... http://192.168.100.1/block.html
アクセスを遮断したURL ... http://www.yamaha.co.jp/
キーワード ... yamaha

この場合、リダイレクトするURLへ付加する情報は以下のようになります。

http://192.168.100.1/block.html?block_url=http%3a%2f%2fwww.yamaha.co.jp%2f&keyword=yamaha

4.2.2 外部データベース参照型URLフィルターのレピュテーション機能で、 フィルターにマッチしたため要求されたURLへのアクセスを遮断した場合

情報名情報
rep_db 使用しているURLフィルタリング事業者

tm ... トレンドマイクロ株式会社
yslmc ... ヤマハ株式会社

level 該当したセキュリティーレベル番号
セキュリティーレベル番号に対応するセキュリティーレベルの定義はURLフィルタリング事業者毎に異なります。 設定したすべてのフィルターにマッチしない場合、「level=」の後にセキュリティーレベル番号は入りません。
pharming ファーミングの有無

yes ... ファーミングが検出された
no ... ファーミングは検出されなかった

マッチしたフィルターにファーミングの有無の指定がない場合、この情報は付加されません。
block_url アクセスを遮断したURL

例1:

リダイレクトするURL ... http://192.168.100.1/block.html
使用するデータベース ... トレンドマイクロ株式会社
アクセスを遮断したURL ... http://www.test1.yamaha.co.jp/
該当したセキュリティーレベル番号 ... 4
該当したファーミングの有無 ... ファーミングあり (フィルターに指定あり)

この場合、リダイレクトするURLへ付加する情報は以下のようになります。

http://192.168.100.1/block.html?rep_db=tm&level=4&pharming=yes&block_url=http%3a%2f%2fwww.test1.yamaha.co.jp%2f

例2:

リダイレクトするURL ... http://192.168.100.1/block.html
使用するデータベース ... トレンドマイクロ株式会社
アクセスを遮断したURL ... http://www.test2.yamaha.co.jp/
該当したセキュリティーレベル番号 ... 0

この場合、リダイレクトするURLへ付加する情報は以下のようになります。

http://192.168.100.1/block.html?rep_db=yslmc&level=0&block_url=http%3a%2f%2fwww.test2.yamaha.co.jp%2f

4.2.3 外部データベース参照型URLフィルターのカテゴリーチェック機能で、 フィルターにマッチしたため要求されたURLへのアクセスを遮断した場合

情報名情報
db 使用しているURLフィルタリング事業者

da ... デジタルアーツ株式会社
ns ... ネットスター株式会社
tm ... トレンドマイクロ株式会社
yslmc ... ヤマハ株式会社

category 該当したカテゴリーの番号
カテゴリー番号に対応するカテゴリーの名称はURLフィルタリング事業者毎に異なります。 複数のカテゴリーに該当した場合は、カテゴリー番号を「+」で区切って列挙します。(例: category=1+2+3)
設定したすべてのフィルターにマッチしない場合、「category=」の後にカテゴリー番号は入りません。
block_url アクセスを遮断したURL

例1:

リダイレクトするURL ... http://192.168.100.1/block.html
使用するデータベース ... デジタルアーツ株式会社
アクセスを遮断したURL ... http://www.test.yamaha.co.jp/
該当したカテゴリー番号 ... 11

この場合、リダイレクトするURLへ付加する情報は以下のようになります。

http://192.168.100.1/block.html?db=da&category=11&block_url=http%3a%2f%2fwww.test.yamaha.co.jp%2f

例2:

リダイレクトするURL ... http://192.168.100.1/block.html
使用するデータベース ... ネットスター株式会社
アクセスを遮断したURL ... http://www.test2.yamaha.co.jp/
該当したカテゴリー番号 ... 502

この場合、リダイレクトするURLへ付加する情報は以下のようになります。

http://192.168.100.1/block.html?db=ns&category=502&block_url=http%3a%2f%2fwww.test2.yamaha.co.jp%2f

例3:

リダイレクトするURL ... http://192.168.100.1/block.html
使用するデータベース ... トレンドマイクロ株式会社
アクセスを遮断したURL ... http://www.test3.yamaha.co.jp/
該当したカテゴリー番号 ... 21

この場合、リダイレクトするURLへ付加する情報は以下のようになります。

http://192.168.100.1/block.html?db=tm&category=21&block_url=http%3a%2f%2fwww.test3.yamaha.co.jp%2f

例4:

リダイレクトするURL ... http://192.168.100.1/block.html
使用するデータベース ... ヤマハ株式会社
アクセスを遮断したURL ... http://www.test4.yamaha.co.jp/
該当したカテゴリー番号 ... 192

この場合、リダイレクトするURLへ付加する情報は以下のようになります。

http://192.168.100.1/block.html?db=ysmlc&category=192&block_url=http%3a%2f%2fwww.test4.yamaha.co.jp%2f

4.2.4 外部データベース参照型URLフィルターで、 フィルターによるチェック以外の要因で要求されたURLへのアクセスを遮断した場合

情報名情報
db 使用しているURLフィルタリング事業者

da ... デジタルアーツ株式会社
ns ... ネットスター株式会社
tm ... トレンドマイクロ株式会社
yslmc ... ヤマハ株式会社

err 設定したフィルターによるチェック以外の要因でアクセスを遮断した場合、 「err=」に続けて遮断した理由が付加されます。
遮断した理由とその内容は以下の通りです。
ip IPアドレスを直接指定したURL(http://192.168.0.1/など)へのアクセスを遮断した。(**1)
net ネットワークエラーにより、データベースへのアクセスに失敗した。(**2)
auth ライセンスが無効である。(**2)
overflow フィルターでチェックされるのを待つURLの数が、保持できる上限を超えた。(**2)
db_errERROR デジタルアーツ株式会社のデータベースを使用している場合に、データベースから正常な応答が得られなかった。(**2)
ERRORには以下のエラー番号が入ります。
  • 0 ... サービス停止
  • 1 ... IDチェック異常
  • 2 ... サーバーがデータベースへの接続に失敗した
  • 3 ... その他のエラー
db_err ネットスター株式会社、またはトレンドマイクロ株式会社のデータベースを使用している場合に、データベースから正常な応答が得られなかった。(**2)
(**1) url filter external-database ipaddress access reject を設定している場合のみ、このエラーが通知される。
(**2) url filter external-database access failure reject を設定している場合のみ、このエラーが通知される。
block_url アクセスを遮断したURL

例:

リダイレクトするURL ... http://192.168.100.1/block.html
使用するデータベース ... デジタルアーツ株式会社
アクセスを遮断したURL ... http://www.test.yamaha.co.jp/
エラー ... net (データベースへのアクセスに失敗)

この場合、リダイレクトするURLへ付加する情報は以下のようになります。

http://192.168.100.1/block.html?db=da&err=net&block_url=http%3a%2f%2fwww.test.yamaha.co.jp%2f

4.3 URLの長さ

組み立てたられたリダイレクトURL全体の長さは2048バイト以内になります。2048バイトを超える場合には、block_urlパラメータの情報が切り詰められます。

5.コマンド

○外部データベース参照型URLフィルターで破棄するパケットの送信元にHTTPレスポンスを返す動作の設定
[書式] url filter external-database reject redirect [URL]
       url filter external-database reject redirect URL
       url filter external-database reject off
       no url filter external-database reject

[設定値] ○redirect ... HTTPリダイレクトのHTTPレスポンスを返し、ブロック画面へ転送する
         ○off ... HTTPレスポンスは返さずに、TCP RSTによってTCPセッションを終了する
         ○URL ... リダイレクトするURL(http:// または https:// で始まる文字列で、半角255文字以内)

[説明] 外部データベース参照型URLフィルターで破棄するパケットの送信元にHTTPレスポン
       スを返す動作を設定する。

       redirectを指定した場合、実際にリダイレクトするときには本コマンドで指定した
       URLの後ろに"?"に続けて以下の内容のクエリを付加する。

           - 使用しているURLフィルタリング事業者名
           - 該当したセキュリティーレベル番号、カテゴリー番号、もしくはエラー文字列
           - アクセスを遮断したURL

       URLに http:// または https:// で始まる文字列以外を設定することはできない。

[ノート] HTTPサーバー機能に対応した機種では、redirectを設定してWebブラウザにブロック画面を表示する場合、
         httpd service onの設定が必要である。

         HTTPサーバー機能に対応していない機種でredirectを指定する場合、URLを省略することはできない。

[初期値] off (RTX5000、RTX3500、RTX3000)
         redirect (上記以外の機種)

○内部データベース参照型URLフィルターで破棄するパケットの送信元にHTTPレスポンスを返す動作の設定
[書式] url filter reject redirect [URL]
       url filter reject redirect URL
       url filter reject off
       no url filter reject

[設定値] ○redirect ... HTTPリダイレクトのHTTPレスポンスを返し、ブロック画面へ転送する
         ○off ... HTTPレスポンスは返さずに、TCP RSTによってTCPセッションを終了する
         ○URL ... リダイレクトするURL(http:// または https:// で始まる文字列で、半角255文字以内)

[説明] 内部データベース参照型URLフィルターで破棄するパケットの送信元にHTTPレスポン
       スを返す動作を設定する。

       redirectを指定した場合、実際にリダイレクトするときには本コマンドで指定した
       URLの後ろに"?"に続けて以下の内容のクエリを付加する。

           - アクセスを遮断したURL
           - マッチしたフィルターに設定されているキーワード

       URLに http:// または https:// で始まる文字列以外を設定することはできない。

[ノート] HTTPサーバー機能に対応した機種では、redirectを設定してWebブラウザにブロック画面を表示する場合、
         httpd service onの設定が必要である。

         HTTPサーバー機能に対応していない機種でredirectを指定する場合、URLを省略することはできない。

[初期値] off (RTX5000、RTX3500、RTX3000)
         redirect (上記以外の機種)

6. 関連文書