[設定値] :
設定値 | 説明 |
---|---|
in | 受信したパケットのフィルタリング |
out | 送信するパケットのフィルタリング |
ip filter コマンドによるパケットのフィルタを組み合わせて、インタフェースで送受信するパケットの種類を制限する
方向を指定する書式では、それぞれの方向に対して適用するフィルタ列をフィルタ番号で指定する。指定された番号のフィルタが順番に適用され、パケットにマッチするフィルタが見つかればそのフィルタにより通過/ 破棄が決定する。それ以降のフィルタは調べられない。すべてのフィルタにマッチしないパケットは破棄される。
フィルタセットの名前を指定する書式では、指定されたフィルタセットが適用される。フィルタを調べる順序などは方向を指定する書式の方法に準ずる。定義されていないフィルタセットの名前が指定された場合には、フィルタは設定されていないものとして動作する。
フィルタリストを走査して、一致すると通過、破棄が決定する。
# ip filter 1 pass 192.168.0.0/24 * # ip filter 2 reject 192.168.0.1 # ip lan1 secure filter in 1 2
この設定では、始点 IP アドレスが 192.168.0.1 であるパケットは、最初のフィルタ 1 で通過が決定してしまうため、フィルタ 2 での検査は行われない。そのため、フィルタ 2 は何も意味を持たない。
フィルタリストを操作した結果、どのフィルタにも一致しないパケットは破棄される。
PP Anonymous で認証に RADIUS を利用する場合で、RADIUS サーバーから送られた Access-Response にアトリビュート 'Filter-Id' がついていた場合には、その値に指定されたフィルタセットを適用し、ip pp secure filter コマンドの設定は無視される。
ただしアトリビュート "Filter-Id" が存在しない場合には、ip pp secure filter コマンドの設定がフィルタとして利用される。
LOOPBACK インタフェースと NULL インタフェースでは動的フィルタは使用できない。
NULL インタフェースで direction に 'in' は指定できない。
ブリッジインタフェースは vRX VMware ESXi 版で指定可能。