[書式]
- ip interface secure filter direction [filter_list...] [dynamic filter_list...]
- ip pp secure filter direction [filter_list...] [dynamic filter_list...]
- ip tunnel secure filter direction [filter_list...] [dynamic filter_list...]
- ip interface secure filter name set_name
- ip pp secure filter name set_name
- ip tunnel secure filter name set_name
- no ip interface secure filter direction [filter_list]
- no ip pp secure filter direction [filter_list]
- no ip tunnel secure filter direction [filter_list]
- no ip interface secure filter name [set_name]
- no ip pp secure filter name [set_name]
- no ip tunnel secure filter name [set_name]
[設定値及び初期値]
- interface
- [設定値] : LAN インターフェース名、WAN インターフェース名、LOOPBACK インターフェース名、NULL インターフェース名
- [初期値] : -
- direction
[設定値] :
| 設定値 |
説明 |
|---|
| in |
受信したパケットのフィルタリング |
| out |
送信するパケットのフィルタリング |
- [初期値] : -
- filter_list
- [設定値] : 空白で区切られたフィルター番号の並び ( 静的フィルターと動的フィルターの数の合計として 129 個以内 )
- [初期値] : -
- set_name
- [設定値] : フィルターセットの名前を表す文字列
- [初期値] : -
- dynamic : キーワード後に動的フィルターの番号を記述する
[説明]
ip filter コマンドによるパケットのフィルターを組み合わせて、インターフェースで送受信するパケットの種類を制限する
方向を指定する書式では、それぞれの方向に対して適用するフィルター列をフィルター番号で指定する。指定された番号のフィルターが順番に適用され、パケットにマッチするフィルターが見つかればそのフィルターにより通過/ 破棄が決定する。それ以降のフィルターは調べられない。すべてのフィルターにマッチしないパケットは破棄される。
フィルターセットの名前を指定する書式では、指定されたフィルターセットが適用される。フィルターを調べる順序などは方向を指定する書式の方法に準ずる。定義されていないフィルターセットの名前が指定された場合には、フィルターは設定されていないものとして動作する。
[ノート]
フィルターリストを走査して、一致すると通過、破棄が決定する。
# ip filter 1 pass 192.168.0.0/24 *
# ip filter 2 reject 192.168.0.1
# ip lan1 secure filter in 1 2
この設定では、始点 IP アドレスが 192.168.0.1 であるパケットは、最初のフィルター 1 で通過が決定してしまうため、フィルター 2 での検査は行われない。そのため、フィルター 2 は何も意味を持たない。
フィルターリストを操作した結果、どのフィルターにも一致しないパケットは破棄される。
LOOPBACK インターフェースと NULL インターフェースでは動的フィルターは使用できない。
NULL インターフェースでdirection に 'in' は指定できない。
WAN インターフェースは Rev.11.00.16 以降で指定可能。