30.7.3 IPv6 動的フィルターの定義

[書式]

ipv6 filter dynamic dyn_filter_num srcaddr[/prefix_len] dstaddr[/prefix_len] protocol [option ...]
ipv6 filter dynamic dyn_filter_num srcaddr[/prefix_len] dstaddr[/prefix_len] filter filter_list [in filter_list] [out filter_list] [option ...]
no ipv6 filter dynamic dyn_filter_num [srcaddr ...]

[設定値及び初期値]

dyn_filter_num
- [設定値] : 動的フィルター番号 (1..21474836)
- [初期値] : -
srcaddr : IPv6 パケットの始点 IPv6 アドレス
- [設定値] :
  - ipv6 filter コマンドの src_addr と同じ形式
  - 省略した場合は一個の * と同じ
- [初期値] : -
prefix_len
- [設定値] : プレフィックス長
- [初期値] : -
dstaddr : IPv6 パケットの終点 IPv6 アドレス
- [設定値] :
  - srcaddr と同じ形式
  - 省略した場合は一個の * と同じ
- [初期値] : -
protocol : プロトコルのニーモニック
- [設定値] :
  - tcp/udp/ftp/tftp/domain/www/smtp/pop3/telnet
  - echo/discard/daytime/chargen/ftp/ssh/telnet/smtp/time/whois/dns/domain/dhcps/
  - dhcpc/tftp/gopher/finger/http/www/pop3/sunrpc/ident/nntp/ntp/ms-rpc/
  - netbios_ns/netbios_dgm/netbios_ssn/imap/snmp/snmptrap/bgp/imap3/ldap/
  - https/ms-ds/ike/rlogin/rwho/rsh/syslog/printer/rip/ripng/
  - dhcpv6c/dhcpv6s/ms-sql/radius/l2tp/pptp/nfs/msblast/ipsec-nat-t/sip/
  - ping/ping6/tcp/udp
  - submission
- [初期値] : -
filter_list
- [設定値] : ipv6 filter コマンドで登録されたフィルター番号のリスト
- [初期値] : -

option

[設定値] :

syslog=switch

設定値	説明
on	コネクションの通信履歴を syslog に残す
off	コネクションの通信履歴を syslog に残さない

timeout=time

設定値説明

time データが流れなくなったときにコネクション情報を解放するまでの秒数

[初期値] :
- syslog=on
- timeout=60

設定値	説明
time	データが流れなくなったときにコネクション情報を解放するまでの秒数

[説明]

IPv6 の動的フィルターを定義する。第 1 書式では、あらかじめルーターに登録されているアプリケーション名を指定する。第 2 書式では、ユーザーがアクセス制御のルールを記述する。キーワードの filter、in、out の後には、ipv6 filter コマンドで定義されたフィルター番号を設定する。
filter キーワードの後に記述されたフィルターに該当するコネクション ( トリガー ) を検出したら、それ以降 in キーワードと out キーワードの後に記述されたフィルターに該当するコネクションを通過させる。in キーワードはトリガーの方向に対して逆方向のアクセスを制御し、out キーワードは動的フィルターと同じ方向のアクセスを制御する。なお、ipv6 filter コマンドの IP アドレスは無視される。 pass/reject の引数も同様に無視される。
ここに記載されていないアプリケーションについては、filter キーワードを使って定義することで扱える可能性がある。特に snmp のように動的にポート番号が変化しないプロトコルの扱いは容易である。

tcp か udp を設定することで扱える可能性がある。特に、telnet のように動的にポート番号が変化しないプロトコルは tcp を指定することで扱うことができる。

[ノート]

srcaddr および dstaddr は IPv6 アドレスと FQDN と map-e を混合することも可能。

srcaddr および dstaddr への FQDN の指定は RTX5000 Rev.14.00.32 以降、RTX3500 Rev.14.00.32 以降、RTX1210 Rev.14.01.41 以降、RTX830 Rev.15.02.24 以降、RTX1220 Rev.15.04.04 以降、および Rev.23.00 系以降で指定可能。

srcaddr および dstaddr への map-e の指定は RTX5000 Rev.14.00.32 以降、 RTX3500 Rev.14.00.32 以降、 RTX1210 Rev.14.01.40 以降、 RTX830 Rev.15.02.20 以降、および Rev.15.04 系以降で指定可能。

[適用モデル]

RTX5000, RTX3510, RTX3500, RTX1300, RTX1220, RTX1210, RTX830