filter
IPv4パケットフィルタを設定する。
- 実行権限
- admin
- 対象機種
- SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL BPV4
filter add
IPv4パケットフィルタの設定を追加する。
- 設定上限
-
機種 上限 SEIL/B1 512 SEIL/X1 1024 SEIL/X2 2048 SEIL/x86 Fuji 2048 SEIL BPV4 2048
filter add <name>
interface <interface>
direction { in | out | in/out | redirect}
action { block | pass | forward { <IPv4address> | <ppp> | <pppoe> | <tunnel> | <ipsec> | discard }}
[protocol { any | icmp | igmp | tcp | tcp-established | tcp-synonly | tcpudp | udp | ah | esp | <num> }]
[icmp-type { any | <num> }]
[application { any | winny }]
[src { <IPv4address>[/<prefixlen>] | <IPv4address_range> | <interface> | self }]
[srcport <port_range>]
[dst { <IPv4address>[/<prefixlen>] | <IPv4address_range> | <interface> | self }]
[dstport <port_range>]
[ipopts { none | any | <num> }]
[state { disable | enable [state-ttl { normal | <ttl> }]}]
[keepalive { <IPv4address> | none }]
[logging { on | off | state-only }]
[label <label>]
[top | bottom | above <base_name> | below <base_name>]
[enable | disable]- <name>
- フィルタの設定名
文字列長 文字種 予約語 1-16[a-zA-Z0-9_]all
- interface
- フィルタを適用するインタフェース
- <interface>
- インタフェース名を指定する
注: lan0を指定した場合、LAN0の4ポートすべてに適用される
- direction
- インタフェースへの入出力方向
- in
- インタフェースへの入力パケット
- out
- インタフェースからの出力パケット
- in/out
- インタフェースの入力またはインタフェースからの出力パケット
- redirect
- 入力と同一のインタフェースから出力(リダイレクト)されるパケット
- action
- 条件にマッチした場合に実行する処理
- block
- ブロックする
- pass
- パスする
- forward
- IPv4ポリシールーティングにより転送する
注:ブリッジフィルタ機能が有効であっても、ブリッジ転送されるパケットにはポリシールーティングは適用されません。
- <IPv4address>
- 転送先IPアドレス
- <ppp><pppoe><tunnel><ipsec>
- 送信インタフェース
- discard
- 破棄する(discardインタフェースへ転送する)
- protocol
- プロトコルの条件
既定値 any - any
- 任意のプロトコル
- tcp
- TCPパケット
- tcp-synonly
- TCP接続要求パケット
- "action block"が指定されている必要があります
- tcp-established
- TCPの確立したセッションのパケット
- "action pass"が指定されている必要があります
- udp
- UDPパケット
- tcpudp
- TCP及びUDPパケット
- icmp
- ICMPv4パケット
- igmp
- IGMPパケット
- ah
- AHパケット
- esp
- ESPパケット
- <num>
- プロトコル番号を指定する
設定範囲 0-255
- icmp-type
- ICMPタイプの条件
既定値 any - "protocol icmp" が指定されている必要があります。
- any
- 任意のタイプ
- <num>
- ICMPタイプを指定する
設定範囲 0-255
- application
- アプリケーション固有プロトコルの条件
既定値 any - any
- 任意のプロトコル
- winny
- Winnyプロトコル(Winny v2.0 b7.1 及び Winny custom6 に対応)
- "action forward"(IPv4ポリシールーティング機能)との併用はできません
- src
- 送信元IPアドレスの条件
既定値 0.0.0.0/0(任意のアドレス)- <IPv4address>, <prefixlen>
- アドレスとプレフィックス長で指定する([例]192.168.0.0/24)
- <IPv4address_range>
- アドレスの範囲で指定する([例]192.168.0.11-192.168.0.99)
- <interface>
- 指定インタフェースに付与されているすべてのIPv4アドレスを使用する
- self
- SEILに付与されているすべてのIPv4アドレスを使用する
- 明示的にマルチキャストアドレスを指定した場合を除き、マルチキャストアドレスは対象外になります
- srcport
- 送信元ポートの条件
既定値 0-65535 - <port_range>
- ポート番号を指定する
設定範囲 備考 0-65535 範囲指定可能
- dst
- 送信先IPアドレスの条件
既定値 0.0.0.0/0(任意のアドレス) - <IPv4address>, <prefixlen>
- アドレスとプレフィックス長で指定する([例]192.168.0.0/24)
- <IPv4address_range>
- アドレスの範囲で指定する([例]192.168.0.11-192.168.0.99)
- <interface>
- 指定インタフェースに付与されているすべてのIPv4アドレスを使用する
- self
- SEILに付与されているすべてのIPv4アドレス(マルチキャストアドレスを除く)を使用する
- dstport
- 送信先ポートの条件
既定値 0-65535 - <port_range>
- ポート番号を指定する
設定範囲 備考 0-65535 範囲指定可能
- ipopts
- IP Optionの条件
既定値 none - none
- 条件としない
- any
- 任意のIP Option
- IP Optionが含まれないパケットにはマッチしません
- <num>
- IP Optionを指定する
設定範囲 0-255
- state
-
動的フィルタ機能の制御
- "action pass"の場合のみ動作します。
既定値 disable - enable
- 有効にする
- disable
- 無効にする
- state-ttl
- 動的フィルタの有効時間
既定値 normal - normal
- 標準値を使用する
標準値 パケットの種類により異なる - <ttl>
- 有効時間を指定する
設定範囲 単位 5-999999 秒
- logging
- ログの記録
既定値 on - on
- 記録する
- off
- 記録しない
- state-only
- 動的フィルタの生成と消滅のみ記録する
- keepalive
- filter自動切替機能による死活監視
既定値 none - none
- 死活監視しない
- <IPv4address>
- 指定したアドレスを死活監視する
- label
- ラベル文字列
既定値 "" - <label>
- 任意のラベル文字列を指定する
設定範囲 文字種 1-32文字 空文字列("")指定可
- [top | bottom | above | below]
- フィルタの評価順位
既定値 bottom - top
- 先頭
- bottom
- 末尾
- above
- 指定したフィルタの上位
- <base_name>
- 評価順位の設定基準となる設定名
- below
- 指定したフィルタの下位
- <base_name>
- 評価順位の設定基準となる設定名
- [enable | disable]
- フィルタの有効化または無効化
既定値 enable - enable
- 有効にする
- disable
- 無効にする
Note
送信元IPアドレスまたは送信先IPアドレスをネットワークアドレスで指定した場合、ホスト部アドレスはオール0として解釈されます。たとえば"192.168.0.1/24"という指定は"192.168.0.0/24"と解釈されます。
"keepalive <IPv4address>"を指定した場合、監視パケットを30秒間隔で<IPv4address>の指定先に送信し、監視パケットに対する リプライが3回連続でタイムアウトすると、該当のフィルタを無効にします。タイムアウトが発生した場合、次の監視パケットの送信は 5秒後となり、リプライがあると該当のフィルタは有効になります。
DHCPパケット(UDPの67番および68番ポート)はIPパケットフィルタでパスまたはブロックできません(DHCPサーバ機能はIPパケットフィルタの影響を受けない処理フローでパケットを送受信します)。
<IPv4address_range>の範囲指定において、"192.168.0.0-192.168.0.255"のように"192.168.0.0/24"と プレフィックス長の指定で置換え可能な値を指定した場合は、コンフィグは自動的にプレフィックス長表現に置き換えて設定されます。 また、IPアドレスの範囲指定はファームウェアバージョン3.10以降で有効です。 "192.168.0.11-192.168.0.99" のような、プレフィックス長表現に置き換えられない範囲指定が コンフィグに含まれる場合、バージョン3.10未満のファームウェアでは該当のフィルタ設定が無効になりますのでご注意ください。
<IPv4address_range>の範囲指定において、"192.168.0.0-192.168.0.255"のように"192.168.0.0/24"と プレフィックス長の指定で置換え可能な値を指定した場合は、コンフィグは自動的にプレフィックス長表現に置き換えて設定されます。
"direction redirect"はパケットの入力時または出力時に評価され、パケットの入力インタフェースと出力インタフェースが同じ場合に条件として一致します。 パケット入力時の判定で比較対象とされる出力インタフェースは、評価対象のパケットが経路表に従って出力される場合のインタフェースを用います(経路表による出力インタフェースと、各種処理後の最終的な出力インタフェースは異なる場合があります)。
リダイレクトパケットにフィルタを適用("direction redirect")するルールが設定されている場合、fastforward機能は無効になります。
IPv4ポリシールーティング機能を使用する設定行では、動的フィルタを併用できません。
"direction out" 及び " action forward" を指定する場合、"interface <interface>" 条件の指定はできません。
IPv4ポリシールーティング("action forward")を適用するルールが設定されている場合、fastforward機能は無効になります。
ブリッジフィルタ機能が有効であっても、ブリッジ転送されるパケットにはポリシールーティングは適用されません。filter delete
IPv4パケットフィルタの設定を削除する。
filter delete { <name> ... | all }- <name>
- 対象の設定名
- 空白区切りで列挙可能
- all
- すべて
filter modify
IPv4パケットフィルタの設定を変更する。
filter modify <name>
[interface <interface>]
[direction { in | out | in/out | redirect}]
[action { block | pass | forward { <IPv4address> | <interface> }}]
[protocol { any | icmp | igmp | tcp | tcp-established | tcp-synonly | tcpudp | udp | ah | esp | <num> }]
[icmp-type { any | <num> }]
[application { any | winny }]
[src { <IPv4address>[/<prefixlen>] | <IPv4address_range> | <interface> | self }]
[srcport <port_range>]
[dst { <IPv4address>[/<prefixlen>] | <IPv4address_range> | <interface> | self }]
[dstport <port_range>]
[ipopts { none | any | <num> }]
[state { disable | enable [state-ttl { normal | <ttl> }] }]
[keepalive { <IPv4address> | none }]
[logging { on | off | state-only }]
[label <label>]
[enable | disable]- <name>
- 対象の設定名
- パラメータの詳細はfilter addを参照
filter move
IPv4パケットフィルタの評価順位を移動する。
filter move <name>
{ top | bottom | above <base_name> | below <base_name> }- <name>
- 対象の設定名
- top
- 先頭に移動する
- bottom
- 末尾に移動する
- above
- 基準となる設定の上位に移動する
- <base_name>
- 移動先の基準となる設定名
- below
- 基準となる設定の下位に移動する
- <base_name>
- 移動先の設定基準となる設定名
filter enable
IPv4パケットフィルタを有効化する。
filter enable { <name> ... | all }- <name>
- 対象の設定名
- 空白区切りで列挙可能
- all
- すべて
filter disable
IPv4パケットフィルタを無効化する。
filter disable { <name> ... | all }- <name>
- 対象の設定名
- 空白区切りで列挙可能
- all
- すべて
Note
deleteと異なり削除しません。