FAQ for YAMAHA RT Series / IP Packet Filter

RTシリーズのIPパケット・フィルタに関するFAQ

IPパケット・フィルタ機能の基本

最終変更日	2022/Dec/28
文書サイズ	51KB

IPパケット・フィルタの設定方法がよくわからない。

[ TOC ]

IPパケットフィルタ機能の設定
defaultフィルタ・パターン
IPパケット・フィルタのパターンを定義する
IPパケット・フィルタの定義をインタフェースに適用する
IPパケットフィルタのログ機能
ログの例
RTA50iのWWW設定のIPパケット・フィルタの設定イメージ
関連情報
関連FAQ、設定例
関連リリースノート

[ IPパケットフィルタ機能の設定 ]

基本設定手順
1. IPパケット・フィルタのパターンを定義する。
  →IPパケット・フィルタのパターンを定義する
2. フィルタ定義をインタフェースに適用する。
  →IPパケット・フィルタの定義をインタフェースに適用する
フィルタの定義と動作の関係(基本の考え方)
1. フィルタが適用されていない。(通常の初期状態/工場出荷状態)
  →「すべて通過」
2. なにか、フィルタが適用されている…順番にパターンチェックを行う。
  →フィルタ定義と、一致した。
  →→フィルタ定義に従う。
3. なにか、フィルタが適用されている…順番にパターンチェックを行う。
  →フィルタ定義とは、不一致だった。
  →→破棄する。(defaultフィルタ・パターン)

[ defaultフィルタ・パターン ]

暗黙のフィルタ・パターン (defaultフィルタ)
フィルタ適用コマンドによって、フィルタが適用されている状態で、どのフィルタにもマッチしないパケットがあったとき、暗黙的にdefaultフィルタが適用されます。

defaultフィルタは、すべてのパケットを破棄します。
defaultフィルタと同等のフィルタパターンの定義例
同等のフィルタを100番として定義すると、以下のようになります。
ip filter 100 reject * * * * *
つまり、RTシリーズでは、上記のようなフィルタは、defaultフィルタとして機能しますので、明示する必要はありません。
defaultフィルタで破棄されたパケットのログ
以下のようなログが残ります。
PP[XXX] Rejected at OUT(default) filter: TCP YYY.YYY.YYY.YYY:1024 > ZZZ.ZZZ.ZZZ.ZZZ:21
内容の整理

I/F フィルタ番号プロトコル始点終点

IPアドレスポート番号 IPアドレスポート番号

PP[XXX], OUT方向 default TCP YYY.YYY.YYY.YYY 1024 ZZZ.ZZZ.ZZZ.ZZZ 21

[ IPパケット・フィルタのパターンを定義する ]

IPパケットフィルタで定義できるパターン
IPパケットフィルタで定義できるパケットは、IPパケットです。すなわち、IPパケット、TCPパケット、UDPパケット、ICMPパケットなどです。
IPパケットフィルタを利用するには、それらのパケットやそれらを利用したサービスに関する知識が必要です。

IPパケットフィルタで定義可能な内容

設定項目説明

フィルタ番号フィルタ定義のための識別番号

タイプ通過や拒絶などの指定

始点アドレス始点となるIPアドレス (ネットワーク指定可能)

終点アドレス終点となるIPアドレス (ネットワーク指定可能)

プロトコル TCP,UDP,ICMPなどの指定

始点ポート始点となるポート番号(TCPとUDPのみ有効)

終点ポート終点となるポート番号(TCPとUDPのみ有効)

設定項目	説明
フィルタ番号	フィルタ定義のための識別番号
タイプ	通過や拒絶などの指定
始点アドレス	始点となるIPアドレス (ネットワーク指定可能)
終点アドレス	終点となるIPアドレス (ネットワーク指定可能)
プロトコル	TCP,UDP,ICMPなどの指定
始点ポート	始点となるポート番号(TCPとUDPのみ有効)
終点ポート	終点となるポート番号(TCPとUDPのみ有効)

フィルタのタイプ

タイプの識別子説明パケットの処理ログ

pass 通信を許可する通す ×

pass-log ◎

pass-nolog ×

reject 通信を拒絶する破棄する ◎

reject-log ◎

reject-nolog ×

restrict 回線の接続状態に応じて
通信を制限する接続中は、通す
切断中は、破棄する ○

restrict-log ◎

restrict-nolog ×

タイプの識別子	説明	パケットの処理	ログ
pass	通信を許可する	通す	×
pass-log	◎
pass-nolog	×
reject	通信を拒絶する	破棄する	◎
reject-log	◎
reject-nolog	×
restrict	回線の接続状態に応じて通信を制限する	接続中は、通す切断中は、破棄する	○
restrict-log	◎
restrict-nolog	×

◎: マッチしたパケットをログする
○: 落としたパケットをログする
×: ログしない
"pass"と"pass-nolog"は、同意です。show config等では、"pass"と表示される。
"reject"と"reject-log"は、同意です。show config等では、"reject"と表示される。

フィルタのIPアドレス

IPアドレス説明

* 任意のIPアドレス

192.168.0.1 ホスト・アドレス

192.168.0.0/24 24ビットマスクのネットワーク・アドレス

192.168.0.1 - 192.168.0.10 範囲指定(～から～まで)

192.168.0.1 , 192.168.0.10 列挙指定

IPアドレス	説明
*	任意のIPアドレス
192.168.0.1	ホスト・アドレス
192.168.0.0/24	24ビットマスクのネットワーク・アドレス
192.168.0.1 - 192.168.0.10	範囲指定(～から～まで)
192.168.0.1 , 192.168.0.10	列挙指定

※DNS名、NetBIOS名、ニーモニックなどの名前による指定はできません。

フィルタのプロトコル

プロトコルの識別子説明

* 任意のプロトコル

tcp tcpパケット

established tcpコネクションが確立されたもののみ
tcpパケット + ACKフラグ + α

tcpfin tcpパケット + FINフラグ = "tcpflag=0x0001/0x0001"

tcprst tcpパケット + RSTフラグ = "tcpflag=0x0004/0x0004"

tcpflag tcpflagオプション(TCPフラグによる様々な条件設定が可能)

udp udpパケット

icmp icmpパケット

icmp-error icmpパケット

icmp-info icmpパケット

ah IPsecのahパケット

esp IPsecのespパケット

プロトコルの識別子	説明
*	任意のプロトコル
tcp	tcpパケット
established	tcpコネクションが確立されたもののみ tcpパケット + ACKフラグ + α
tcpfin	tcpパケット + FINフラグ = "tcpflag=0x0001/0x0001"
tcprst	tcpパケット + RSTフラグ = "tcpflag=0x0004/0x0004"
tcpflag	tcpflagオプション(TCPフラグによる様々な条件設定が可能)
udp	udpパケット
icmp	icmpパケット
icmp-error	icmpパケット
icmp-info	icmpパケット
ah	IPsecのahパケット
esp	IPsecのespパケット

フィルタのポート番号

TCPとUDPはポート番号を指定して、利用するサービス/機能を特定します。
ポート番号は、0～65536の10進数で指定します。
RTシリーズでは、いくつかの良く使われるポート番号をニーモニックで設定可能です。また、ニーモニックに対応しているポート番号は、数字で入力しても、ニーモニックで表示します。
cf.RTシリーズで使えるニーモニック表

ポート番号の識別子説明

* 任意のポート番号

0～65536 10進数指定

文字列ニーモニック指定

netbios_ns-netbios_ssn 範囲指定(～から～まで)

-1023 範囲指定(～以下)

1024- 範囲指定(～以上)

www,ftp,nntp 列挙指定(10個まで)

ポート番号の識別子	説明
*	任意のポート番号
0～65536	10進数指定
文字列	ニーモニック指定
netbios_ns-netbios_ssn	範囲指定(～から～まで)
-1023	範囲指定(～以下)
1024-	範囲指定(～以上)
www,ftp,nntp	列挙指定(10個まで)

定義コマンド

# ip filter ? 入力形式： ip filter フィルタ番号タイプ始点IPアドレス[/マスク] [終点IPアドレス[/マスク] [プロトコル [始点ポートリスト [終点ポートリスト ]]]] フィルタ番号 = 1-100, タイプ = 'pass', 'pass-log', 'reject', 'reject-nolog', 'restrict', 'restrict-log' or 'restrict-nolog' このコマンドの後に'delete','directed-broadcast'または 'source-route'を続けると別のコマンドになります　　説明： IPに対するフィルタを定義します # ip filter delete ? 入力形式： ip filter delete フィルタ番号フィルタ番号 = 1-100 　　説明：定義してあるIPのフィルタを削除します #

その他の類似コマンド

# ip filter source-route ? 入力形式： ip filter source-route スイッチスイッチ = 'on' or 'off' 　　説明： Source-routeオプション付きIPパケットをフィルタリングするか否かを選択しますデフォルト値： off # ip filter directed-broadcast ? 入力形式： ip filter directed-broadcast スイッチスイッチ = 'on' or 'off' 　　説明： Directed-Broadcast宛のIPパケットをフィルタリングするか否かを選択しますデフォルト値： off #

[ IPパケット・フィルタの定義をインタフェースに適用する ]

RTシリーズのIPパケットフィルタの適用位置
「IPパケット・フィルタリング機能がどこで働くかわからない。」
フィルタの適用される順番
インタフェースへの適用リストに記述された順番でパターンマッチングされ、マッチしたフィルタが適用されます。どのフィルタにもマッチしなければ、defaultフィルタが適用されます。

ただし、WWW設定でフィルタを設定する場合は、フィルタ番号が昇順(数値の小さい順)に適用されます。

PPインタフェースへの適用コマンド

# pp select 1 pp1# ip pp secure ? ? filter pp1# ip pp secure filter ? 入力形式： ip pp secure filter 方向 clear ip pp secure filter 方向フィルタ列方向 = 'in' or 'out', フィルタ列 = 1-100 　　説明：選択されている相手に対するIPによるフィルタリングを設定しますデフォルト値： clear

LANインタフェースへの適用コマンド

# ip lan secure filter ? 入力形式： ip lan secure filter 方向 clear ip lan secure filter 方向フィルタ列方向 = 'in' or 'out', フィルタ列 = 1-100 　　説明： LAN1側に対するIPのフィルタリングを設定しますデフォルト値： clear

LANインタフェースへの適用コマンド (複数LANインタフェースの場合)

# ip lan1 secure filter ? 入力形式： ip lan1 secure filter 方向 clear ip lan1 secure filter 方向フィルタ列方向 = 'in' or 'out', フィルタ列 = 1-100 　　説明： LAN1側に対するIPのフィルタリングを設定しますデフォルト値： clear # ip lan2 secure filter ? 入力形式： ip lan2 secure filter 方向 clear ip lan2 secure filter 方向フィルタ列方向 = 'in' or 'out', フィルタ列 = 1-100 　　説明： LAN2側に対するIPのフィルタリングを設定しますデフォルト値： clear

TUNNELインタフェースへの適用コマンド

# tunnel select 1 tunnel1# ip tunnel secure ? ? filter tunnel1# ip tunnel secure filter ? 入力形式： ip tunnel secure filter 方向 clear ip tunnel secure filter 方向フィルタ列方向 = 'in' or 'out', フィルタ列 = 1-100 　　説明：選択されているトンネルインタフェースに対するフィルタリングを設定しますデフォルト値： clear tunnel1# ip tunnel secure filter

フィルタを使わない場合
フィルタ適用コマンドを設定せず、フィルタを使わない設定の時にはすべてのパケットが通過します。

[ IPパケットフィルタのログ機能 ]

ログ機能を有効にするコマンド
IPパケット・フィルタリングのログ機能を有効にするには、事前に「syslog noticeコマンド」の設定を有効しておく必要があります。
ログ機能を有効にする場合は、「syslog notice on」と設定してください。
syslogに残す方法
- syslog って何ですか?
- UNIX で syslog を受け取るにはどうすればいいの?
DNSの名前解決に関わるパケットのログ
通常のログ情報に加えて、DNSの問い合わせ内容をログに記録します。
LAN1 Passed at IN(1) filter: UDP 192.168.0.2:1039 > 192.168.0.1:53 (DNS Query [www.rtpro.yamaha.co.jp])
また、「DNSの名前解決に関わるパケット」がきっかけ(トリガー)となり、 ISDN回線の発呼(接続)要因を報告するログ(IP Commencing)でも、同様の問い合わせ内容が記録されます。
PP[01] IP Commencing: UDP 192.168.0.1:53 > 133.176.200.51:53 (DNS Query [www.rtpro.yamaha.co.jp] from 192.168.0.2)
100番のフィルタを通過したパケットのログ
内容の整理

I/F フィルタ番号プロトコル始点終点

IPアドレスポート番号 IPアドレスポート番号

LAN1, IN方向 100 TCP 192.168.0.2 1117 192.168.0.1 80
ログの形式
LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1117 > 192.168.0.1:80
defaultフィルタで破棄されたパケットのログ
内容の整理

I/F フィルタ番号プロトコル始点終点

IPアドレスポート番号 IPアドレスポート番号

PP[XX], OUT方向 default TCP YYY.YYY.YYY.YYY 1024 ZZZ.ZZZ.ZZZ.ZZZ 21
ログの形式
PP[XX] Rejected at OUT(default) filter: TCP YYY.YYY.YYY.YYY:1024 > ZZZ.ZZZ.ZZZ.ZZZ:21

[ ログの例 ]

HTTP通信の(通過)動作を観測するフィルタ設定とログ

ip filter 100 pass-log * * * * * ip lan address 192.168.0.1/24 ip lan secure filter in 100 ip lan secure filter out 100

LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1117 > 192.168.0.1:80 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1117

(LAN側のWWWブラウザ→ネットボランチのWWW設定機能)の通信内容の整理

I/F フィルタ番号プロトコル始点終点

IPアドレスポート番号 IPアドレスポート番号

LAN1, IN方向 100 TCP 192.168.0.2 1107 192.168.0.1 80

LAN1, OUT方向 100 TCP 192.168.0.1 80 192.168.0.2 1107

ping通信の(通過)動作を観測するフィルタ設定とログ

ip filter 1 pass-log * * * * * ip lan secure filter in 1 ip lan secure filter out 1 syslog notice on

ネットワーク構成
+-------------+ | IPホスト#A | (www.rtpro.yamaha.co.jp) +------+------+ | 133.176.200.51 133.176.200.0/24 -------+----------------------------------- | 133.176.200.67 +------+------+ | RT(A) | (ダイヤルアップ・サーバ) +-------------+ : 10/Celery : ISDN擬似交換機またはISDN回線　～～～～～～～～～～～～～～～～～～～～～～ : : 20/Tomato +-------------+ (133.176.200.68) | RT(B) | (端末型ダイヤルアップ) ↑ IPマスカレード +------+------+ 192.168.0.1-192.168.0.254 | 192.168.0.1 192.168.0.0/24 -------+----------------------------------- | 192.168.0.2 +------+------+ | IPホスト#B | (Windows98) +-------------+

Windows98のMS-DOSプロンプトからの操作
C:\WINDOWS> ping www.rtpro.yamaha.co.jp Pinging www.rtpro.yamaha.co.jp [133.176.200.51] with 32 bytes of data: Reply from 133.176.200.51: bytes=32 time=26ms TTL=252 Reply from 133.176.200.51: bytes=32 time=16ms TTL=252 Reply from 133.176.200.51: bytes=32 time=16ms TTL=252 Reply from 133.176.200.51: bytes=32 time=17ms TTL=252 Ping statistics for 133.176.200.51: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 16ms, Maximum = 26ms, Average = 18ms C:\WINDOWS>

1999/06/23 15:20:07: LAN1 Passed at IN(1) filter: UDP 192.168.0.2:1039 > 192.168.0.1:53 (DNS Query [www.rtpro.yamaha.co.jp]) 1999/06/23 15:20:07: PP[01] IP Commencing: UDP 192.168.0.1:53 > 133.176.200.51:53 (DNS Query [www.rtpro.yamaha.co.jp] from 192.168.0.2) 1999/06/23 15:20:07: PP[01] Calling 10 with 1B mode 1999/06/23 15:20:07: PP[01] PPP/IPCP up 1999/06/23 15:20:11: LAN1 Passed at OUT(1) filter: UDP 192.168.0.1:53 > 192.168.0.2:1039 (DNS response) 1999/06/23 15:20:11: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request 1999/06/23 15:20:11: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply 1999/06/23 15:20:12: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request 1999/06/23 15:20:12: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply 1999/06/23 15:20:13: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request 1999/06/23 15:20:13: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply 1999/06/23 15:20:14: LAN1 Passed at IN(1) filter: ICMP 192.168.0.2 > 133.176.200.51 : echo request 1999/06/23 15:20:14: LAN1 Passed at OUT(1) filter: ICMP 133.176.200.51 > 192.168.0.2 : echo reply

ping通信の(通過)動作を観測するフィルタ設定とログ

ip filter 100 pass-log * * * * * ip lan address 192.168.0.1/24 ip lan secure filter in 100 ip lan secure filter out 100

LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1122 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1122 > 192.168.0.1:80 LAN1 Passed at IN(100) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request LAN1 Passed at OUT(100) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply LAN1 Passed at IN(100) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request LAN1 Passed at OUT(100) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply LAN1 Passed at IN(100) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request LAN1 Passed at OUT(100) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply LAN1 Passed at IN(100) filter: ICMP 192.168.0.2 > 192.168.0.1 : echo request LAN1 Passed at OUT(100) filter: ICMP 192.168.0.1 > 192.168.0.2 : echo reply LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1123 > 192.168.0.1:80 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1123

NetBIOS通信の(通過)動作を観測するフィルタ設定とログ

ip filter 100 pass-log * * * * * ip lan address 192.168.0.1/24 ip lan secure filter in 100 ip lan secure filter out 100

LAN1 Passed at IN(100) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 LAN1 Passed at IN(100) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 same message repeated 2 times

DHCP通信の(通過)動作を観測するフィルタ設定とログ

ip filter 100 pass-log * * * * * ip lan address 192.168.0.1/24 ip lan secure filter in 100 ip lan secure filter out 100

2000/04/06 10:50:39: LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1135 2000/04/06 10:50:39: same message repeated 1 times 2000/04/06 10:50:39: LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1135 > 192.168.0.1:80 2000/04/06 10:50:47: LAN1 Passed at IN(100) filter: UDP 0.0.0.0:68 > 255.255.255.255:67 2000/04/06 10:50:47: LAN1 Passed at OUT(100) filter: UDP 192.168.0.1:67 > 192.168.0.2:68 2000/04/06 10:50:47: LAN1 Passed at IN(100) filter: UDP 0.0.0.0:68 > 255.255.255.255:67 2000/04/06 10:50:47: [DHCPD] Allocates 192.168.0.2: 00:80:98:e0:ee:6f 2000/04/06 10:50:47: LAN1 Passed at OUT(100) filter: UDP 192.168.0.1:67 > 192.168.0.2:68 2000/04/06 10:50:53: LAN1 Passed at IN(100) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 2000/04/06 10:51:01: same message repeated 19 times 2000/04/06 10:51:01: LAN1 Passed at IN(100) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 2000/04/06 10:51:06: LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1136 > 192.168.0.1:80 2000/04/06 10:51:06: LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1136

telnet通信の(通過)動作を観測するフィルタ設定とログ

ip filter 100 pass-log * * * * * ip lan address 192.168.0.1/24 ip lan secure filter in 100 ip lan secure filter out 100

～～～～～　telnetの通信開始　～～～～～ LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 ～～～～～　telnetのログイン成功　～～～～～ Login succeeded for TELNET: 192.168.0.2 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 2 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times ～～～～～　管理ユーザでログイン成功　～～～～～ 'administrator' succeeded for TELNET: 192.168.0.2 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 2 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 2 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 same message repeated 1 times LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 ～～～～～　telnetのログアウト成功　～～～～～ Logout from TELNET: 192.168.0.2 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1129 > 192.168.0.1:23 same message repeated 1 times LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:23 > 192.168.0.2:1129 ～～～～～　telnetの通信終了　～～～～～ LAN1 Passed at IN(100) filter: TCP 192.168.0.2:1130 > 192.168.0.1:80 LAN1 Passed at OUT(100) filter: TCP 192.168.0.1:80 > 192.168.0.2:1130

NetBIOSフィルタの(破棄)動作を観測する設定とログ

ip filter 1 reject * * * netbios_ns-netbios_ssn * ip filter 2 reject * * * * netbios_ns-netbios_ssn ip filter 100 pass * * * * * ip lan address 192.168.0.1/24 ip lan secure filter in 1 2 100 syslog notice on

LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 same message repeated 2 times LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 same message repeated 19 times LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138 same message repeated 10 times LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:137 > 192.168.0.255:137 same message repeated 7 times LAN1 Rejected at IN(1) filter: UDP 192.168.0.2:138 > 192.168.0.255:138

[ RTA50iのWWW設定のIPパケット・フィルタの設定イメージ ]

TEXTイメージ

----------------------------------------------------------------------- [番号] [フィルタ ] [始点IPアドレス ] [終点IPアドレス ] [プロトコル] [始点ポート ] [終点ポート ] ----------------------------------------------------------------------- [ 1] [reject-log] [* ] [* ] [udp,tcp ] [netbios_ns-netbios_ssn ] [* ] ----------------------------------------------------------------------- [ 2] [reject-log] [* ] [* ] [udp,tcp ] [* ] [netbios_ns-netbios_ssn ] ----------------------------------------------------------------------- [ 100] [pass-nolog] [* ] [* ] [* ] [* ] [* ] -----------------------------------------------------------------------

フィルタリングのセット (RTA50i & Rev.3.03.25以前の端末型設定)

HTMLイメージ

番号 LAN
IN OUT

1

2

100

TEXTイメージ

+------+-------------+ | | | | 番号 | LAN | | +------+------+ | | IN | OUT | +------+------+------+ | 1 | ■ | □ | +------+------+------+ | 2 | ■ | □ | +------+------+------+ | 100 | ■ | □ | +------+------+------+

フィルタ関係のコマンド (RTA50i & Rev.3.03.25以前の端末型設定)

ip filter 1 reject-log * * udp,tcp netbios_ns-netbios_ssn *
ip filter 2 reject-log * * udp,tcp * netbios_ns-netbios_ssn
ip filter 100 pass-nolog * * * * *
ip lan secure filter in 1 2 100

フィルタ定義の設定 (端末型でプロバイダ情報が3個設定されている状態)

HTMLイメージ

番号フィルタ始点IPアドレス終点IPアドレス

プロトコル始点ポート終点ポート

1 reject-log * *
udp,tcp netbios_ns-netbios_ssn *

2 reject-log * *
udp,tcp * netbios_ns-netbios_ssn

3 restrict * *
tcpfin * www,ftpdata-21,nntp

4 restrict * *
tcprst * www,ftpdata-21,nntp

100 pass-nolog * *
* * *

TEXTイメージ

----------------------------------------------------------------------- [番号] [フィルタ ] [始点IPアドレス ] [終点IPアドレス ] [プロトコル] [始点ポート ] [終点ポート ] ----------------------------------------------------------------------- [ 1] [reject-log] [* ] [* ] [udp,tcp ] [netbios_ns-netbios_ssn ] [* ] ----------------------------------------------------------------------- [ 2] [reject-log] [* ] [* ] [udp,tcp ] [* ] [netbios_ns-netbios_ssn ] ----------------------------------------------------------------------- [ 3] [restrict ] [* ] [* ] [tcpfin ] [* ] [www,ftpdata-21,nntp ] ----------------------------------------------------------------------- [ 4] [restrict ] [* ] [* ] [tcprst ] [* ] [www,ftpdata-21,nntp ] ----------------------------------------------------------------------- [ 100] [pass-nolog] [* ] [* ] [* ] [* ] [* ] -----------------------------------------------------------------------

フィルタリングのセット (端末型でプロバイダ情報が3個設定されている状態)

HTMLイメージ

番号 LAN YAMAHA (Hamamatsu)
pp1 YAMAHA (Tokyo)
pp2 YAMAHA (Osaka)
pp3
IN OUT IN OUT IN OUT IN OUT

1

2

3

4

100

TEXTイメージ

+------+-------------+-------------+-------------+-------------+ | | | プロバイダ1 | プロバイダ2 | プロバイダ3 | | 番号 | LAN | PP1 | PP2 | PP3 | | +------+------+------+------+------+------+------+------+ | | IN | OUT | IN | OUT | IN | OUT | IN | OUT | +------+------+------+------+------+------+------+------+------+ | 1 | ■ | □ | □ | □ | □ | □ | □ | □ | +------+------+------+------+------+------+------+------+------+ | 2 | ■ | □ | □ | □ | □ | □ | □ | □ | +------+------+------+------+------+------+------+------+------+ | 3 | □ | □ | □ | ■ | □ | ■ | □ | ■ | +------+------+------+------+------+------+------+------+------+ | 4 | □ | □ | □ | ■ | □ | ■ | □ | ■ | +------+------+------+------+------+------+------+------+------+ | 100 | ■ | □ | □ | ■ | □ | ■ | □ | ■ | +------+------+------+------+------+------+------+------+------+

フィルタ関係のコマンド (端末型でプロバイダ情報が3個設定されている状態)

ip filter 1 reject-log * * udp,tcp netbios_ns-netbios_ssn *
ip filter 2 reject-log * * udp,tcp * netbios_ns-netbios_ssn
ip filter 3 restrict * * tcpfin * www,ftp,nntp
ip filter 4 restrict * * tcprst * www,ftp,nntp
ip filter 100 pass-nolog * * * * *
ip lan secure filter in 1 2 100
pp select 1
ip pp secure filter out 3 4 100
pp select 2
ip pp secure filter out 3 4 100
pp select 3
ip pp secure filter out 3 4 100

[ 関連情報 ]

RFC791 (IPv4)
RFC792 (ICMPv4)

[ 関連FAQ、設定例 ]

[ 関連リリースノート ]

[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]

I/F	フィルタ番号	プロトコル	始点		終点
			IPアドレス	ポート番号	IPアドレス	ポート番号
`PP[XXX], OUT方向`	`default`	`TCP`	`YYY.YYY.YYY.YYY`	`1024`	`ZZZ.ZZZ.ZZZ.ZZZ`	`21`