5.1.9 IP パケットのフィルターの設定

[書式]

• ip filter filter_num pass_reject src_addr[/mask] [dest_addr[/mask] [protocol [src_port_list [dest_port_list]]]]
• no ip filter filter_num [pass_reject]

[設定値及び初期値]

• filter_num
  
  • [設定値] : 静的フィルター番号 (1..21474836)
  • [初期値] : -
• pass_reject
  

  • [設定値] :

    設定値	説明
    pass	一致すれば通す ( ログに記録しない )
    pass-log	一致すれば通す ( ログに記録する )
    pass-nolog	一致すれば通す ( ログに記録しない )
    reject	一致すれば破棄する ( ログに記録する )
    reject-log	一致すれば破棄する ( ログに記録する )
    reject-nolog	一致すれば破棄する ( ログに記録しない )
    restrict	回線が接続されていれば通し、切断されていれば破棄する ( ログに記録しない )
    restrict-log	回線が接続されていれば通し、切断されていれば破棄する ( ログに記録する )
    restrict-nolog	回線が接続されていれば通し、切断されていれば破棄する ( ログに記録しない )

  • [初期値] : -
• src_addr : IP パケットの始点アドレス
  
  • [設定値] :
    
    • IPアドレス
      
      • A.B.C.D (A～D: 0～255もしくは*)
        
        • 上記表記でA～Dを*とすると、該当する8ビット分についてはすべての値に対応する
      • 間に - を挟んだ 2 つの上項目、- を前につけた上項目、- を後ろにつけた上項目、これらは範囲を指定する。
      • , を区切りとして複数設定することができる。FQDN と混合することも可能
    • FQDN
      
      • 任意の文字列 (半角 255 文字以内。/ ： は使用できない。, は区切り文字として使われるため、使用できない)
      • * から始まる FQDN は * より後ろの文字列を後方一致条件として判断する 例えば *.example.co.jp は www.example.co.jp 、mail.example.co.jp などと一致する
      • , を区切りとして複数設定することができる。IP アドレスと混合することも可能
    • * (すべてのIPアドレスに対応)
  • [初期値] : -
• dest_addr : IP パケットの終点アドレス
  
  • [設定値] :
    
    • src_addr と同じ形式
    • 省略した場合は一個の * と同じ
  • [初期値] : -
• mask : IP アドレスのビットマスク (src_addr および dest_addr がネットワークアドレスの場合のみ指定可 )
  
  • [設定値] :
    
    • A.B.C.D (A～D: 0～255)
    • 0x に続く十六進数
    • マスクビット数
    • 省略時は 0xffffffff と同じ
  • [初期値] : -
• protocol : フィルタリングするパケットの種類
  
  • [設定値] :
    
    • プロトコルを表す十進数 (0..255)
    • プロトコルを表すニーモニック

      ニーモニック	十進数	説明
      icmp	1	ICMP パケット
      tcp	6	TCP パケット
      udp	17	UDP パケット
      ipv6	41	IPv6 パケット
      gre	47	GRE パケット
      esp	50	ESP パケット
      ah	51	AH パケット
      icmp6	58	ICMP6 パケット

    • 上項目のカンマで区切った並び
    • 特殊指定

      icmp-error	TYPE が 3、4、5、11、12、31、32 のいずれかである ICMP パケット
      icmp-info	TYPE が 0、8～10、13～18、30、33～36 のいずれかである ICMP パケット
      tcpsyn	SYN フラグの立っている tcp パケット
      tcpfin	FIN フラグの立っている tcp パケット
      tcprst	RST フラグの立っている tcp パケット
      established	ACK フラグの立っている tcp パケット内から外への接続は許可するが、外から内への接続は拒否する機能
      tcpflag=value/mask	TCP フラグの値と mask の値の論理積 (AND) が、value に一致、または不一致である TCP パケット value と mask は 0x に続く十六進数で 0x0000～0xffff
      tcpflag!=value/mask
      *	すべてのプロトコル

    • 省略時は * と同じ。
  • [初期値] : -
• src_port_list : protocol に、TCP(tcp/tcpsyn/tcpfin/tcprst/established/tcpflag)、UDP(udp) のいずれかが含まれる場合は、TCP/UDP のソースポート番号。protocol が ICMP(icmp) 単独の場合には、ICMP タイプ。
  
  • [設定値] :
    
    • ポート番号、タイプを表す十進数
    • ポート番号を表すニーモニック ( 一部 )

      ニーモニック	ポート番号
      ftp	20,21
      ftpdata	20
      telnet	23
      smtp	25
      domain	53
      gopher	70
      finger	79
      www	80
      pop3	110
      sunrpc	111
      ident	113
      ntp	123
      nntp	119
      snmp	161
      syslog	514
      printer	515
      talk	517
      route	520
      uucp	540
      submission	587

    • 間に - を挟んだ 2 つの上項目、- を前につけた上項目、- を後ろにつけた上項目、これらは範囲を指定する。
    • 上項目のカンマで区切った並び (10 個以内 )
    • * ( すべてのポート、タイプ )
    • 省略時は * と同じ。
  • [初期値] : -
• dest_port_list
  
  • [設定値] : protocol に、TCP(tcp/tcpsyn/tcpfin/tcprst/established/tcpflag)、UDP(udp) のいずれかが含まれる場合は、TCP/UDP のデスティネーションポート番号。protocol が ICMP(icmp) 単独の場合には、ICMP コード
  • [初期値] : -

[説明]

IP パケットのフィルターを設定する。本コマンドで設定されたフィルターは ip filter directed-broadcast、ip filter dynamic、ip filter set、ip forward filter、ip fragment remove df-bit、ip interface rip filter、ip interface secure filter、および ip route コマンドで用いられる。

[ノート]

restrict-log 及び restrict-nolog を使ったフィルターは、回線が接続されている時だけ通せば十分で、そのために回線に発信するまでもないようなパケットに有効である。例えば、時計を合わせるための NTP パケットがこれに該当する。ICMP パケットに対して、ICMP タイプと ICMP コードをフィルターでチェックしたい場合には、protocol には 'icmp' だけを単独で指定する。protocol が 'icmp' 単独である場合にのみ、src_port_list は ICMP タイプ、dest_port_list は ICMP コードと見なされる。protocol に 'icmp' と他のプロトコルを列挙した場合には src_port_list と dest_port_list の指定は TCP/UDP のポート番号と見なされ、ICMP パケットとの比較は行われない。また、protocol に 'icmp-error' や 'icmpinfo' を指定した場合には、src_port_list と dst_port_list の指定は無視される。protocol に '*' を指定するか、TCP/UDP を含む複数のプロトコルを列挙している場合には、src_port_list と dest_port_list の指定は TCP/UDP のポート番号と見なされ、パケットが TCP または UDP である場合のみポート番号がフィルターが比較される。パケットがその他のプロトコル (ICMP を含む) の場合には、src_port_list と dest_port_list の指定は存在しないものとしてフィルターと比較される。

src_addr および dest_addr に FQDN を指定することによって、固定 IP アドレスではないサーバーや1つの FQDN に対して複数の固定 IP アドレスを持つサーバーを対象にしたフィルタリングを行うことができる。FQDN を使用する場合、ルーター自身がDNSリカーシブサーバーとして動作し、ルーター配下の端末は、DNSサーバーとして本機を指定する必要がある。

指定した FQDN に一致する通信が発生した場合、設定した FQDN に該当する IP アドレスの情報が保持される。保持される期間は、ip filter fqdn timer コマンドで指定できる。

[設定例]

LAN1 で送受信される IPv4 ICMP ECHO/REPLY を pass-log で記録する
# ip lan1 secure filter in 1 2 100
# ip lan1 secure filter out 1 2 100
# ip filter 1 pass-log * * icmp 8
# ip filter 2 pass-log * * icmp 0
# ip filter 100 pass * *

LAN2 から送信される IPv4 Redirect のうち、"for the Host" だけを通さない
# ip lan2 secure filter out 1 100
# ip filter 1 reject * * icmp 5 1
# ip filter 100 pass * *

[適用モデル]