IPパケットフィルタ
IPv4/IPv6通信に適用可能なパケットフィルタリング機能を提供します。
| 機能 | IPv4 | IPv6 |
|---|---|---|
| IPパケットフィルタ | 対応 | 対応 |
機能概要
IPパケットフィルタでは、ユーザが定義した、送受信及び転送するパケットの持つ各種情報に基づくマッチ条件と処理方法を指定するフィルタルールに従いパケットを処理します。
フィルタルールのマッチ条件
任意のパラメータの組み合わせでパケットのマッチ条件を指定でき、条件にすべてマッチすると、指定の処理内容に従い処理します。
- [必須]インタフェース(interface)
- パケットを送受信しようとしているインタフェース
- [必須]通信の方向(direction)
- 送信(out)、受信(in)、送受信いずれか(in/out)、折り返し(redirect)
- プロトコル(protocol)
- パケットのプロトコル。範囲指定可能
- 送受信ポート番号(srcport,dstport)
- TCP/UDPのポート番号。範囲指定可能
- 送受信アドレス(src,dst)
- 送信元及び送信先のIPアドレス。範囲指定可能。
- アプリケーション(application)
- パケットのペイロードから判断可能なアプリケーションの種類
- ICMP Type(icmp-type)
- ICMPのTypeフィールド
- IP Option(ipopts)
- IPv4パケットのIP Option
- Extention Header(exthdr)
- IPv6パケットのExtention Header
パケットの処理内容
- パス(pass)
- ルールにマッチしたパケットについて、フィルタ処理をパスさせます。
- ブロック(block)
- ルールにマッチしたパケットをブロックします。
- 転送(forward)
- ルールにマッチしたパケットについてフィルタ処理を指定した送信先へ転送します。(IPv4/IPv6ポリシールーティング)
注: フィルタルールにマッチしない場合のデフォルト処理はパスです。暗黙のブロックルールはありません。ネットワークへの接続前に適切なフィルタを設定してください。
ログ出力の制御
フィルタルールごとに、パケットがマッチした際のログへの出力の有無を制御可能です。
ログメッセージには、フィルタルールに設定されたラベル文字列を含みます。
注: 1つのログ出力に要するシステムリソースは非常に小さなものですが、多量のトラフィックが想定される環境においてマッチする頻度の高いルールのログ出力が有効な状態で運用すると、処理パフォーマンスに影響する可能性があります。
フィルタルールの適用優先順位
フィルタには評価順位があり、最初にマッチした1つのフィルタのルールに従い処理します。
処理順位は、コンフィグ記述上の上から順に評価します。動的フィルタにより生成される一時フィルタや、filter自動切替による状態変化等を含めた内部的な 状態は、ステータス参照コマンド(show status filter/filter6)で参照できます。
ブリッジとの併用
ブリッジ機能が有効である場合でも、IPv4またはIPv6のフィルタを適用可能です。(有効/無効を制御可能)
フィルタルールの設定反映
フィルタルールの追加・変更・削除操作はアトミックに反映します。適用処理過程で一時的にフィルタ処理が全体的に無効になることはありません。