7.1.12 動的フィルタの定義

[書式]

ip filter dynamic dyn_filter_num srcaddr[/mask] dstaddr[/mask] protocol [option ...]
ip filter dynamic dyn_filter_num srcaddr[/mask] dstaddr[/mask] filter [filter_list [in filter_list] [out filter_list] [option...]
no ip filter dynamic dyn_filter_num [dyn_filter_num...]

[設定値及び初期値]

dyn_filter_num
- [設定値] : 動的フィルタ番号 (1..21474836)
- [初期値] : -
srcaddr : IP パケットの始点 IP アドレス
- [設定値] :
  - ip filter コマンドの src_addr と同じ形式
  - 省略した場合は一個の * と同じ
- [初期値] : -
dstaddr : IP パケットの終点 IP アドレス
- [設定値] :
  - srcaddr と同じ形式
  - 省略した場合は一個の * と同じ
- [初期値] : -
mask : IP アドレスのビットマスク (src_addr および dest_addr がネットワークアドレスの場合のみ指定可 )
- [初期値] : -
protocol : プロトコルのニーモニック
- [設定値] :
  - echo/discard/daytime/chargen/ftp/ssh/telnet/smtp/time/whois/dns/domain/
  - tftp/gopher/finger/http/www/pop3/sunrpc/ident/nntp/ntp/ms-rpc/
  - netbios_ns/netbios_dgm/netbios_ssn/imap/snmp/snmptrap/bgp/imap3/ldap/
  - https/ms-ds/ike/rlogin/rwho/rsh/syslog/printer/rip/ripng/
  - ms-sql/radius/l2tp/pptp/nfs/msblast/ipsec-nat-t/sip/
  - ping/ping6/tcp/udp/submission
  以下のニーモニックは設定できますが、動的フィルターとして動作しません
  - dhcpc/dhcps/dhcpv6c/dhcpv6s
- [初期値] : -
filter_list
- [設定値] : ip filter コマンドで登録されたフィルタ番号のリスト
- [初期値] : -

option

[設定値] :

syslog=switch

設定値	説明
on	コネクションの通信履歴を SYSLOG に残す
off	コネクションの通信履歴を SYSLOG に残さない

timeout=time

設定値説明

time データが流れなくなったときにコネクション情報を解放するまでの秒数

[初期値] : syslog=on

設定値	説明
time	データが流れなくなったときにコネクション情報を解放するまでの秒数

[説明]

動的フィルタを定義する。第 1 書式では、あらかじめルーターに登録されているアプリケーション名を指定する。
第 2 書式では、ユーザがアクセス制御のルールを記述する。キーワードの filter、in、out の後には、ip filter コマンドで定義されたフィルタ番号を設定する。
filter キーワードの後に記述されたフィルタに該当するコネクション ( トリガ ) を検出したら、それ以降 in キーワードと out キーワードの後に記述されたフィルタに該当するコネクションを通過させる。in キーワードはトリガの方向に対して逆方向のアクセスを制御し、out キーワードは動的フィルタと同じ方向のアクセスを制御する。なお、ip filter コマンドの IP アドレスは無視される。 pass/reject の引数も同様に無視される。
プロトコルとして tcp や udp を指定した場合には、アプリケーションに固有な処理は実施されない。特定のアプリケーションを扱う必要がある場合には、アプリケーション名を指定する。

[設定例]

# ip filter 10 pass * * udp * snmp
# ip filter dynamic 1 * * filter 10