5.1.9 IP パケットのフィルタの設定

[書式]


[設定値及び初期値]


[説明]

IP パケットのフィルタを設定する。本コマンドで設定されたフィルタは ip filter directed-broadcastip filter dynamicip filter setip forward filterip fragment remove df-bitip interface rip filterip interface secure filter、および ip route コマンドで用いられる。

[ノート]

restrict-log 及び restrict-nolog を使ったフィルタは、回線が接続されている時だけ通せば十分で、そのために回線に発信するまでもないようなパケットに有効である。例えば、時計を合わせるための NTP パケットがこれに該当する。ICMP パケットに対して、ICMP タイプと ICMP コードをフィルタでチェックしたい場合には、protocol には 'icmp' だけを単独で指定する。protocol が 'icmp' 単独である場合にのみ、src_port_list は ICMP タイプ、dest_port_list は ICMP コードと見なされる。protocol に 'icmp' と他のプロトコルを列挙した場合には src_port_listdest_port_list の指定は TCP/UDP のポート番号と見なされ、ICMP パケットとの比較は行われない。また、protocol に 'icmp-error' や 'icmpinfo' を指定した場合には、src_port_listdst_port_list の指定は無視される。protocol に '*' を指定するか、TCP/UDP を含む複数のプロトコルを列挙している場合には、src_port_listdest_port_list の指定は TCP/UDP のポート番号と見なされ、パケットが TCP または UDP である場合のみポート番号がフィルタが比較される。パケットがその他のプロトコル (ICMP を含む) の場合には、src_port_listdest_port_list の指定は存在しないものとしてフィルタと比較される。

src_addr および dest_addr に FQDN を指定することによって、固定 IP アドレスではないサーバーや1つの FQDN に対して複数の固定 IP アドレスを持つサーバーを対象にしたフィルタリングを行うことができる。FQDN を使用する場合、ルーター自身がDNSリカーシブサーバーとして動作し、ルーター配下の端末は、DNSサーバーとして本機を指定する必要がある。

指定した FQDN に一致する通信が発生した場合、設定した FQDN に該当する IP アドレスの情報が保持される。保持される期間は、ip filter fqdn timer コマンドで指定できる。

[設定例]

LAN1 で送受信される IPv4 ICMP ECHO/REPLY を pass-log で記録する
# ip lan1 secure filter in 1 2 100
# ip lan1 secure filter out 1 2 100
# ip filter 1 pass-log * * icmp 8
# ip filter 2 pass-log * * icmp 0
# ip filter 100 pass * *

LAN2 から送信される IPv4 Redirect のうち、"for the Host" だけを通さない
# ip lan2 secure filter out 1 100
# ip filter 1 reject * * icmp 5 1
# ip filter 100 pass * *

[適用モデル]

vRX Amazon EC2 版, vRX VMware ESXi 版