[設定値] :
設定値 | 説明 |
---|---|
in | 受信したパケットのフィルタリング |
out | 送信するパケットのフィルタリング |
ip filter コマンドによるパケットのフィルターを組み合わせて、インターフェースで送受信するパケットの種類を制限する
方向を指定する書式では、それぞれの方向に対して適用するフィルター列をフィルター番号で指定する。指定された番号のフィルターが順番に適用され、パケットにマッチするフィルターが見つかればそのフィルターにより通過/ 破棄が決定する。それ以降のフィルターは調べられない。すべてのフィルターにマッチしないパケットは破棄される。
フィルターセットの名前を指定する書式では、指定されたフィルターセットが適用される。フィルターを調べる順序などは方向を指定する書式の方法に準ずる。定義されていないフィルターセットの名前が指定された場合には、フィルターは設定されていないものとして動作する。
フィルターリストを走査して、一致すると通過、破棄が決定する。
# ip filter 1 pass 192.168.0.0/24 * # ip filter 2 reject 192.168.0.1 # ip lan1 secure filter in 1 2
この設定では、始点 IP アドレスが 192.168.0.1 であるパケットは、最初のフィルター 1 で通過が決定してしまうため、フィルター 2 での検査は行われない。そのため、フィルター 2 は何も意味を持たない。
フィルターリストを操作した結果、どのフィルターにも一致しないパケットは破棄される。
PP Anonymous で認証に RADIUS を利用する場合で、RADIUS サーバーから送られた Access-Response にアトリビュート 'Filter-Id' がついていた場合には、その値に指定されたフィルターセットを適用し、ip pp secure filter コマンドの設定は無視される。
ただしアトリビュート "Filter-Id" が存在しない場合には、ip pp secure filter コマンドの設定がフィルターとして利用される。
LOOPBACK インターフェースと NULL インターフェースでは動的フィルターは使用できない。
NULL インターフェースで direction に 'in' は指定できない。
ブリッジインターフェースは NVR700W で指定可能。