9.1.10 IP パケットのフィルタの設定

[書式]


[設定値及び初期値]


[説明]

IP パケットのフィルタを設定する。本コマンドで設定されたフィルタはip filter directed-broadcastip filter dynamicip filter setip forward filterip fragment remove df-bitip interface rip filterip interface secure filter、およびip route コマンドで用いられる。

[ノート]

restrict-log 及び restrict-nolog を使ったフィルタは、回線が接続されている時だけ通せば十分で、そのために回線に発信するまでもないようなパケットに有効である。例えば、時計を合わせるための NTP パケットがこれに該当する。ICMP パケットに対して、ICMP タイプと ICMP コードをフィルタでチェックしたい場合には、protocol には 'icmp' だけを単独で指定する。protocol が 'icmp' 単独である場合にのみ、src_port_list は ICMP タイプ、dest_port_list は ICMP コードと見なされる。protocol に 'icmp' と他のプロトコルを列挙した場合には src_port_listdest_port_list の指定は TCP/UDP のポート番号と見なされ、ICMP パケットとの比較は行われない。また、protocol に 'icmp-error' や 'icmpinfo' を指定した場合には、src_port_listdst_port_list の指定は無視される。protocol に '*' を指定するか、TCP/UDP を含む複数のプロトコルを列挙している場合には、src_port_listdest_port_list の指定は TCP/UDP のポート番号と見なされ、パケットが TCP または UDP である場合のみポート番号がフィルタが比較される。パケットがその他のプロトコル (ICMP を含む) の場合には、src_port_listdest_port_list の指定は存在しないものとしてフィルタと比較される。

Rev.10.00 系以降のすべてのファームウェアで protocol に 'tcpsyn' を指定可能。

RTX1200 Rev.10.01.47 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで src_port_list または dest_port_list に submission を指定可能。

RTX1500 / RTX1100 / RT107e Rev.8.03.68 以降、RTX3000 Rev.9.00.31 以降のファームウェア、および、Rev.10.00 系以降のすべてのファームウェアで ICMP のタイプとコードを指定可能。

src_addr および dest_addr に FQDN を指定することによって、固定IPアドレスではないサーバーや1つのFQDNに対して複数の固定IPアドレスを持つサーバーを対象にしたフィルタリングを行うことができる。FQDNを使用する場合、ルーター自身がDNSリカーシブサーバーとして動作し、ルータ配下の端末は、DNSサーバーとして本機を指定する必要がある。

src_addr および dest_addr へのFQDNの指定は RTX5000 Rev.14.00.26以降、RTX3500 Rev.14.00.26以降、RTX1210 Rev.14.01.26 以降、RTX830 Rev.15.02.03 以降、RTX810 Rev.11.01.28 以降で指定可能。

指定したFQDNに一致する通信が発生した場合、設定したFQDNに該当するIPアドレスの情報が保持される。保持される期間は、ip filter fqdn timerコマンドで指定できる。

[設定例]

LAN1 で送受信される IPv4 ICMP ECHO/REPLY を pass-log で記録する
# ip lan1 secure filter in 1 2 100
# ip lan1 secure filter out 1 2 100
# ip filter 1 pass-log * * icmp 8
# ip filter 2 pass-log * * icmp 0
# ip filter 100 pass * *

LAN2 から送信される IPv4 Redirect のうち、"for the Host" だけを通さない
# ip lan2 secure filter out 1 100
# ip filter 1 reject * * icmp 5 1
# ip filter 100 pass * *

[適用モデル]

RTX5000, RTX3500, RTX3000, RTX1500, RTX1210, RTX1200, RTX1100, RTX830, RTX810, RT250i, RT107e, SRT100