以下のニーモニックは設定できますが、動的フィルターとして動作しません
設定値 | 説明 |
---|---|
on | コネクションの通信履歴を SYSLOG に残す |
off | コネクションの通信履歴を SYSLOG に残さない |
設定値 | 説明 |
---|---|
time | データが流れなくなったときにコネクション情報を解放するまでの秒数 |
動的フィルタを定義する。第 1 書式では、あらかじめルーターに登録されているアプリケーション名を指定する。
第 2 書式では、ユーザがアクセス制御のルールを記述する。キーワードの filter、in、out の後には、ip filter コマンドで定義されたフィルタ番号を設定する。
filter キーワードの後に記述されたフィルタに該当するコネクション ( トリガ ) を検出したら、それ以降 in キーワードと out キーワードの後に記述されたフィルタに該当するコネクションを通過させる。in キーワードはトリガの方向に対して逆方向のアクセスを制御し、out キーワードは動的フィルタと同じ方向のアクセスを制御する。なお、ip filter コマンドの IP アドレスは無視される。 pass/reject の引数も同様に無視される。
プロトコルとして tcp や udp を指定した場合には、アプリケーションに固有な処理は実施されない。特定のアプリケーションを扱う必要がある場合には、アプリケーション名を指定する。
# ip filter 10 pass * * udp * snmp # ip filter dynamic 1 * * filter 10