30.7.3 IPv6 動的フィルターの定義

[書式]

ipv6 filter dynamic dyn_filter_num srcaddr[/prefix_len] dstaddr[/prefix_len] protocol [option ...]
ipv6 filter dynamic dyn_filter_num srcaddr[/prefix_len] dstaddr[/prefix_len] filter filter_list [in filter_list] [out filter_list] [option ...]
no ipv6 filter dynamic dyn_filter_num [srcaddr ...]

[設定値及び初期値]

dyn_filter_num
- [設定値] : 動的フィルター番号 (1..21474836)
- [初期値] : -
srcaddr : IPv6 パケットの始点 IPv6 アドレス
- [設定値] :
  - ipv6 filter コマンドの src_addr と同じ形式
  - 省略した場合は一個の * と同じ
- [初期値] : -
prefix_len
- [設定値] : プレフィックス長
- [初期値] : -
dstaddr : IPv6 パケットの終点 IPv6 アドレス
- [設定値] :
  - srcaddr と同じ形式
  - 省略した場合は一個の * と同じ
- [初期値] : -
protocol : プロトコルのニーモニック
- [設定値] :
  - tcp/udp/ftp/tftp/domain/www/smtp/pop3/telnet
  - echo/discard/daytime/chargen/ftp/ssh/telnet/smtp/time/whois/dns/domain/dhcps/
  - dhcpc/tftp/gopher/finger/http/www/pop3/sunrpc/ident/nntp/ntp/ms-rpc/
  - netbios_ns/netbios_dgm/netbios_ssn/imap/snmp/snmptrap/bgp/imap3/ldap/
  - https/ms-ds/ike/rlogin/rwho/rsh/syslog/printer/rip/ripng/
  - dhcpv6c/dhcpv6s/ms-sql/radius/l2tp/pptp/nfs/msblast/ipsec-nat-t/sip/
  - ping/ping6/tcp/udp
  - submission
- [初期値] : -
filter_list
- [設定値] : ipv6 filter コマンドで登録されたフィルター番号のリスト
- [初期値] : -

option

[設定値] :

syslog=switch

設定値	説明
on	コネクションの通信履歴を syslog に残す
off	コネクションの通信履歴を syslog に残さない

timeout=time

設定値説明

time データが流れなくなったときにコネクション情報を解放するまでの秒数

[初期値] :
- syslog=on

設定値	説明
time	データが流れなくなったときにコネクション情報を解放するまでの秒数

[説明]

IPv6 の動的フィルターを定義する。第 1 書式では、あらかじめルーターに登録されているアプリケーション名を指定する。第 2 書式では、ユーザーがアクセス制御のルールを記述する。キーワードの filter、in、out の後には、ipv6 filter コマンドで定義されたフィルター番号を設定する。
filter キーワードの後に記述されたフィルターに該当するコネクション ( トリガー ) を検出したら、それ以降 in キーワードと out キーワードの後に記述されたフィルターに該当するコネクションを通過させる。in キーワードはトリガーの方向に対して逆方向のアクセスを制御し、out キーワードは動的フィルターと同じ方向のアクセスを制御する。なお、ipv6 filter コマンドの IP アドレスは無視される。 pass/reject の引数も同様に無視される。
ここに記載されていないアプリケーションについては、filter キーワードを使って定義することで扱える可能性がある。特に snmp のように動的にポート番号が変化しないプロトコルの扱いは容易である。

tcp か udp を設定することで扱える可能性がある。特に、telnet のように動的にポート番号が変化しないプロトコルは tcp を指定することで扱うことができる。

[ノート]

src_addr および dstaddr は IP アドレス、FQDN、map-e、hb46pp、およびアプリケーション名を表すニーモニックを混合することも可能。

srcaddr および dstaddr への FQDN の指定は、vRX Amazon EC2 版、vRX VMware ESXi 版、RTX5000 / RTX3500 Rev.14.00.31 以前、RTX1220 Rev.15.04.03 以前、RTX1210 Rev.14.01.40 以前、および RTX830 Rev.15.02.23 以前では不可能。

src_addr および dstaddr への map-e の指定は、vRX シリーズ、RTX5000 Rev.14.00.31 以前、RTX3500 Rev.14.00.31 以前、RTX1210 Rev.14.01.39 以前、および RTX830 Rev.15.02.19 以前では不可能。
src_addr および dstaddr への hb46pp の指定は、vRX シリーズ、RTX5000、RTX3510 Rev.23.01.01、RTX3500、RTX1300 Rev.23.00.11 以前、RTX1220 Rev.15.04.06 以前、RTX1210、および RTX830 Rev.15.02.30 以前では不可能。
src_addr および dstaddr へのアプリケーション名を表すニーモニックの指定は、vRX シリーズ、RTX5000、RTX3510、RTX3500、RTX1300、RTX1220、RTX1210、および RTX830 では不可能。

アプリケーション名を表すニーモニックには、通信先リストに記載されたニーモニックを指定する。
以下の状態では、アプリケーション名を表すニーモニックは評価されない。

LBO の状態が"正常動作中"でないとき
指定されたニーモニックが、通信先リストに含まれていないとき

[適用モデル]

vRX シリーズ, RTX5000, RTX3510, RTX3500, RTX1300, RTX1220, RTX1210, RTX840, RTX830