8.1 フィルター定義の設定

[書式]

• ip inbound filter id action src_address[/mask] [dst_address[/mask] [protocol [src_port [dst_port]]]]
• ipv6 inbound filter id action src_address[/mask] [dst_address[/mask] [protocol6 [src_port [dst_port6]]]]
• no ip inbound filter id [action [src_address[/mask] [dst_address[/mask] [protocol [src_port [dst_port]]]]]]
• no ipv6 inbound filter id [action [src_address[/mask] [dst_address[/mask] [protocol6 [src_port [dst_port6]]]]]]

[設定値及び初期値]

• id
  
  • [設定値] : フィルターの識別子 (1..65535)
  • [初期値] : -
• action : 動作
  

  • [設定値] :

    設定値	説明
    pass-log	通過させてログを記録する
    pass-nolog	透過させてログを記録しない
    reject-log	遮断してログを記録する
    reject-nolog	遮断してログを記録しない

  • [初期値] : -
• src_address : 始点アドレス
  
  • [設定値] :
    
    • IP アドレス
    • *( すべての IP アドレス )
    • 間に - を挟んだ 2 つの上項目、- を前につけた上項目、- を後ろにつけた上項目。これらは範囲を指定する。
  • [初期値] : -
• dst_address : 終点アドレス
  
  • [設定値] :
    
    • src_address と同じ形式
    • 省略時は 1 個の * と同じ。
  • [初期値] : -
• mask : IP アドレスのビットマスク (src_address および dst_address がネットワークアドレスの場合のみ指定可 )
  
  • [設定値] :
    
    • XXX.XXX.XXX.XXX(XXX は十進数、IPv4 の場合のみ有効 )
    • 0x に続く十六進数 (IPv4 の場合のみ有効 )
    • マスクビット数
    • 省略時は最大長のマスク
  • [初期値] : -
• protocol : プロトコル
  
  • [設定値] :
    
    • プロトコルを表す十進数 (0..255)
    • プロトコルを表すニーモニック

      ニーモニック	10 進数	説明
      icmp	1	ICMP パケット
      icmp-error	-	特定の TYPE コードの ICMP パケット
      icmp-info	-	特定の TYPE コードの ICMP パケット
      icmp-nd	-	特定の TYPE コードの ICMP パケット
      tcp	6	TCP パケット
      tcpsyn	-	SYN フラグの立っている TCP パケット
      tcpfin	-	FIN フラグの立っている TCP パケット
      tcprst	-	RST フラグの立っている TCP パケット
      established	-	ACK フラグの立っている TCP パケット内から外への接続は許可するが、外から内への接続は拒否する機能
      udp	17	UDP パケット
      ipv6	41	IPv6 パケット
      gre	47	GRE パケット
      esp	50	ESP パケット
      ah	51	AH パケット
      icmp6	58	ICMP6 パケット

    • 上項目のカンマで区切った並び (5 個以内 )
    • tcpflag=flag_value/flag_mask または tcpflag!=flag_value/flag_mask

      flag_value	0x に続く十六進数、0x0000..0xffff
      flag_mask	0x に続く十六進数、0x0000..0xffff

    • *( すべてのプロトコル )
    • 省略時は * と同じ
  • [初期値] : -
• src_port : ソースポート番号
  
  • [設定値] :
    
    • ポート番号を表す十進数
    • ポート番号を表すニーモニック ( 一部 )

      ニーモニック	ポート番号
      ftp	20,21
      ftpdata	20
      telnet	23
      smtp	25
      domain	53
      gopher	70
      finger	79
      www	80
      pop3	110
      sunrpc	111
      ident	113
      ntp	123
      nntp	119
      snmp	161
      syslog	514
      printer	515
      talk	517
      route	520
      uucp	540
      submission	587

    • 間に - を挟んだ 2 つの上項目、- を前につけた上項目、- を後ろにつけた上項目。これらは範囲を指定する。
    • 上項目のカンマで区切った並び (10 個以内 )
    • *( すべてのポート )
    • 省略時は * と同じ。
  • [初期値] : -
• dst_port : デスティネーションポート番号
  
  • [設定値] :
    
    • 書式は src_port と同じ。
  • [初期値] : -

[説明]

インターフェースの入り口で破棄または通過を決定したいパケットの条件を定義する。
このコマンドの設定は、ip/ipv6 interface inbound filter list コマンドで参照される。

[ノート]

protocol に '*' を指定するか、TCP/UDP を含む複数のプロトコルを列挙している場合には、src_port と dst_port の指定は TCP/UDP のポート番号と見なされ、パケットが TCP または UDP である場合のみポート番号がフィルタと比較される。パケットがその他のプロトコル (ICMP を含む) の場合には、src_port と dst_port の指定は存在しないものとしてフィルタと比較される。

Rev.11.03.04以降で src_port または dst_port に submission を指定可能。