A01444

PPPoE, PPP, Tunnel, IPsec インタフェースに /32以外の長さのネットワークを割り当てるまたはUnnumbered設定によってLAN側のIPv4アドレスを借り受けた場合に、それらのネットワークアドレス宛のIPv4パケットおよびブロードキャストアドレス宛のTCPをSEIL自身が受信してしまう問題があります。

問題となるネットワークアドレスおよびブロードキャストアドレスは、以下のものが含まれます。括弧内は一例として 172.16.1.1/24 を利用した場合のアドレスです。

• classful ネットワークアドレス (172.16.0.0/24)
• subnetted ネットワークアドレス (172.16.1.0/24)
• subnet directed ブロードキャストアドレス (172.16.1.255/24)
• all-subnets directed ブロードキャストアドレス (172.16.255.255/24)

各Point-to-Pointインタフェース毎に各種ネットワークアドレスおよびブロードキャストアドレスに対するIPパケットフィルタを設定しSEIL自身が受信しないようにしてください。これらは filter コマンドの self の対象とならないため明示的に指定する必要があります。

ネットワークアドレスおよびブロードキャストアドレスはUnnumberedインタフェースの場合、unnumbered on で指定したインタフェースまたはlan0インタフェースのアドレスを元にして設定してください。

filter add class_net_deny interface <インタフェース名> direction in action block dst <classful ネットワークアドレス>
filter add sub_net_deny interface <インタフェース名> direction in action block dst <subnetted ネットワークアドレス>
filter add sub_bc_deny interface <インタフェース名> direction in action block dst <subnet directed ネットワークアドレス>
filter add allsub_bc_deny interface <インタフェース名> direction in action block dst <all-subnets directed ネットワークアドレス>

Point-to-Pointインタフェースでは各種ネットワークアドレスおよび directed ブロードキャストアドレス宛のIPv4パケットは自身宛として処理しないよう仕様変更しました。

• limited ブロードキャスト (255.255.255.255) は引き続き自身宛として処理されます。