[書式]
- ipv6 filter filter_num pass_reject src_addr[/prefix_len] [dest_addr[/prefix_len] [protocol [src_port_list [dest_port_list]]]]
- no ipv6 filter filter_num [pass_reject]
[設定値及び初期値]
- filter_num
- [設定値] : 静的フィルター番号 (1..21474836)
- [初期値] : -
- pass_reject
- [設定値] : フィルターのタイプ (ip filter コマンドに準ずる )
- [初期値] : -
- src_addr : IPv6 パケットの始点 IPv6 アドレス
- [設定値] :
- IPv6アドレス
- 静的または動的IPv6アドレス
- , を区切りとして複数設定することができる。
- FQDN
- 任意の文字列 (半角 255 文字以内。/ : は使用できない。, は区切り文字として使われるため、使用できない)
- * から始まる FQDN は * より後ろの文字列を後方一致条件として判断する
例えば *.example.co.jp は www.example.co.jp 、mail.example.co.jp などと一致する
- , を区切りとして複数設定することができる。
- map-e
- MAP-Eのマップルールにより生成され、MAP-Eトンネルに設定されたグローバルIPv6アドレスを表すキーワード
- * (すべての IPv6 アドレスに対応)
- [初期値] : -
- prefix_len
- [設定値] : プレフィックス長
- [初期値] : -
- dest_addr : IPv6 パケットの終点 IPv6 アドレス
- [設定値] :
- src_addr と同じ形式
- 省略した場合は一個の * と同じ
- [初期値] : -
- protocol : フィルタリングするパケットの種類 (ip filter コマンドに準ずる )
- [設定値] :
| icmp-nd |
近隣探索に関係するパケットの指定を示すキーワード。(TYPE が 133、134、135、136 のいずれかである ICMPv6 パケット ) |
| icmp4 |
ICMPv4 パケットの指定を示すキーワード |
| icmp |
ICMPv6 パケットの指定を示すキーワード |
| icmp6 |
- [初期値] : -
- src_port_list
- [設定値] : TCP/UDP のソースポート番号、あるいは ICMPv6 タイプ (ip filter コマンドに準ずる )
- [初期値] : -
- dest_port_list
- [設定値] : TCP/UDP のデスティネーションポート番号、あるいは ICMPv6 コード
- [初期値] : -
[ノート]
近隣探索に関係するパケットとは以下の 4 つを意味する。
- 133: Router Solicitation
- 134: Router Advertisement
- 135: Neighbor Solicitation
- 136: Neighbor Advertisement
src_addr および dest_addr は IPv6 アドレス と FQDN と map-e を混合することも可能。
src_addr および dest_addr への FQDN の指定は RTX5000 Rev.14.00.32 以降、RTX3500 Rev.14.00.32 以降、RTX1210 Rev.14.01.41 以降、RTX830 Rev.15.02.24、RTX1220 Rev.15.04.04、および Rev.23.00 系以降で指定可能。
src_addr および dest_addr に FQDN を指定することによって、固定 IP アドレスではないサーバーや 1 つの FQDN に対して複数の固定 IP アドレスを持つサーバーを対象にしたフィルタリングを行うことができる。FQDN を使用する場合、ルーター自身が DNS リカーシブサーバーとして動作し、ルーター配下の端末は DNS サーバーとして本機を指定する必要がある。
指定した FQDN に一致する通信が発生した場合、設定した FQDN に該当する IPv6 アドレスの情報が保持される。保持される期間は、 ip filter fqdn timer コマンドで指定できる。
src_addr および dest_addr への map-e の指定は RTX5000 Rev.14.00.32 以降、 RTX3500 Rev.14.00.32 以降、 RTX1210 Rev.14.01.40 以降、RTX830 Rev.15.02.20 以降、および Rev.15.04 系以降で指定可能。
[設定例]
PP 1 で送受信される IPv6 Packet Too Big を記録する
# pp select 1
# ipv6 pp secure filter in 1 100
# ipv6 pp secure filter out 1 100
# pp enable 1
# ipv6 filter 1 pass-log * * icmp6 2
# ipv6 filter 100 pass * *
[適用モデル]
RTX5000, RTX3510, RTX3500, RTX1300, RTX1220, RTX1210, RTX830