7.1.20 フィルタリングによるセキュリティの設定

[書式]


[設定値及び初期値]


[説明]

ip filter コマンドによるパケットのフィルタを組み合わせて、インタフェースで送受信するパケットの種類を制限する


方向を指定する書式では、それぞれの方向に対して適用するフィルタ列をフィルタ番号で指定する。指定された番号のフィルタが順番に適用され、パケットにマッチするフィルタが見つかればそのフィルタにより通過/ 破棄が決定する。それ以降のフィルタは調べられない。すべてのフィルタにマッチしないパケットは破棄される。
フィルタセットの名前を指定する書式では、指定されたフィルタセットが適用される。フィルタを調べる順序などは方向を指定する書式の方法に準ずる。定義されていないフィルタセットの名前が指定された場合には、フィルタは設定されていないものとして動作する。

[ノート]

フィルタリストを走査して、一致すると通過、破棄が決定する。

# ip filter 1 pass 192.168.0.0/24 *
# ip filter 2 reject 192.168.0.1
# ip lan1 secure filter in 1 2


この設定では、始点 IP アドレスが 192.168.0.1 であるパケットは、最初のフィルタ 1 で通過が決定してしまうため、フィルタ 2 での検査は行われない。そのため、フィルタ 2 は何も意味を持たない。
フィルタリストを操作した結果、どのフィルタにも一致しないパケットは破棄される。


LOOPBACK インタフェースと NULL インタフェースでは動的フィルタは使用できない。
NULL インタフェースでdirection に 'in' は指定できない。