filter.ipv4

IPv4パケットフィルタを設定する

IPv4パケットフィルタ

キー バリュー
filter.ipv4.[]...
IPv4パケットフィルタのルール
設定上限
512個
filter.ipv4.[].label
フィルタを識別するためのラベル文字列
<String>
文字数
1-32
  • 設定するとログやステータス参照時の視認性が向上します。動作への影響はありません。
filter.ipv4.[].action
条件に一致したパケットの処理方法
制約事項:
省略不可
pass
パスする(通過させる)
block
ブロックする(破棄する)
filter.ipv4.[].interface
インタフェースの条件
制約事項:
省略不可
any
すべてのインタフェース
<Interface>
インタフェース名
  • bridge[]|bridge*
  • ge[]|ge*
  • ipsec[]|ipsec*
  • ppp[]|ppp*
  • pppac[]|pppac*
  • pppoe[]|pppoe*
  • rac[]|rac*
  • tunnel[]|tunnel*
  • vlan[]|vlan*
  • wlan[0-7]|wlan*
filter.ipv4.[].direction
入出力方向の条件
制約事項:
省略不可
in
入力
out
出力
inout
入力または出力
redirect
入力インタフェースと出力インタフェースが同一
filter.ipv4.[].source.address
送信元アドレスの条件
<IPv4address>
特定のIPv4アドレス
<IPv4address/Prefixlen>
ネットワーク内のIPv4アドレス
<IPv4address Range>
任意の範囲内のIPv4アドレス
<Interface>
特定のインタフェースが持つIPv4アドレス
  • bridge[]
  • ge[]
  • ipsec[]
  • ppp[]
  • pppac[]
  • pppoe[]
  • rac[]
  • tunnel[]
  • vlan[]
  • wlan[]
self
本装置のインタフェースが持ついずれかのIPv4アドレス
デフォルト値
0.0.0.0/0 (any)
  • プレフィックス長を含む指定は、ホスト部をオール0として扱います。たとえば"192.168.1.1/24"は"192.168.1.0/24"、"192.168.2.70/26"は"192.168.2.64/26"として扱います。
filter.ipv4.[].source.hostname
送信元ホスト名(FQDN)の条件
制約事項:
...source.address と併用不可
<String>
文字数
1-255
  • "filter."で始まるキーに対し、合計64個までのユニークなFQDNを設定できます。
filter.ipv4.[].destination.address
送信先アドレスの条件
<IPv4address>
特定のIPv4アドレス
<IPv4address/Prefixlen>
ネットワーク内のIPv4アドレス
<IPv4address Range>
任意の範囲内のIPv4アドレス
<Interface>
特定のインタフェースが持つIPv4アドレス
  • bridge[]
  • ge[]
  • ipsec[]
  • ppp[]
  • pppac[]
  • pppoe[]
  • rac[]
  • tunnel[]
  • vlan[]
  • wlan[]
self
本装置のインタフェースが持ついずれかのIPv4アドレス
デフォルト値
0.0.0.0/0 (any)
  • プレフィックス長を含む指定は、ホスト部をオール0として扱います。たとえば"192.168.1.1/24"は"192.168.1.0/24"、"192.168.2.70/26"は"192.168.2.64/26"として扱います。
filter.ipv4.[].destination.hostname
送信先ホスト名(FQDN)の条件
制約事項:
...destination.address と併用不可
<String>
文字数
1-255
  • "filter."で始まるキーに対し、合計64個までのユニークなFQDNを設定できます。
filter.ipv4.[].protocol
プロトコルの条件
<Number>
プロトコル番号
範囲
0-255
<Keyword>
プロトコル名
候補
ip | tcp | udp | icmp | igmp | ah | esp
tcpudp
TCPとUDP
tcp-synonly
TCPの接続要求パケット
tcp-established
TCPのセッション確立済みパケット
any
任意のプロトコル
デフォルト値
any
filter.ipv4.[].source.port
送信元ポート番号の条件
制約事項:
...protocol に tcp, udp, tcpudp, tcp-synonly, tcp-established のいずれかの指定が必須
<Number>
ポート番号
範囲
0-65535
<Range>
ポート番号の範囲
  • 範囲の始点と終点のポート番号を"-"で連結して指定します。
デフォルト値
0-65535 (any)
filter.ipv4.[].destination.port
送信先ポート番号の条件
制約事項:
...protocol に tcp, udp, tcpudp, tcp-synonly, tcp-established のいずれかの指定が必須
<Number>
ポート番号
範囲
0-65535
<Range>
ポート番号の範囲
  • 範囲の始点と終点のポート番号を"-"で連結して指定します。
デフォルト値
0-65535 (any)
filter.ipv4.[].icmp-type
ICMPタイプの条件
制約事項:
...protocol に icmp の指定が必須
<Number>
ICMPタイプの番号
範囲
0-255
any
すべてのICMPタイプ
デフォルト値
any
filter.ipv4.[].ipopts
IP Header Optionの条件
<Number>
IP Header Optionの番号
範囲
0-255
none
IP Header Optionの有無を条件としない
any
任意のIP Header Option
  • IP Header Optionを含まないパケットはマッチしません
デフォルト値
none
filter.ipv4.[].state
動的フィルタの適用
enable
有効化
disable
無効化
デフォルト値
disable
filter.ipv4.[].state.ttl
動的フィルタのTTLの初期値
<Time>
TTLの初期値
範囲 単位
5-999999
デフォルト値
180
注:
一部の通信は設定値によらずTTLの初期値が固定となります。
filter.ipv4.[].logging
ログの記録
on
記録する
off
記録しない
state-only
動的フィルタステートの生成と消滅のみ記録する
デフォルト値
on
filter.ipv4.[].keepalive
ホスト監視連動フィルタの監視対象
<IPv4address>
IPv4アドレス

フロートリンク用のフィルタ条件

フロートリンクを利用してVPNを設定する際に、フィルタの条件としてIPアドレスの代わりにフロートリンクのノードIDを指定できます。

ノードIDを指定すると、フロートリンクによってVPN対向装置のアドレス変動に自動追従できます。

キー バリュー
filter.ipv4.[].source.floatlink.address
送信元アドレスの条件として、フロートリンクのノードIDに関連付けられたIPアドレスを使用する
制約事項:
...source.address と併用不可
<String>
文字数 使用できない文字
1-255 空白
  • 自身またはフロートリンク対向の...my-node-idと同じ文字列を指定します。
filter.ipv4.[].destination.floatlink.address
送信先アドレスの条件として、フロートリンクのノードIDに関連付けられたIPアドレスを使用する
制約事項:
...destination.address と併用不可
<String>
文字数 使用できない文字
1-255 空白
  • 自身またはフロートリンク対向の...my-node-idと同じ文字列を指定します。
filter.ipv4.[].floatlink.key
フロートリンクで使用するグループキー
制約事項:
省略不可
<String>
文字数 使用できない文字
12-128 空白
filter.ipv4.[].floatlink.name-service
フロートリンクのネームサーバのURL
制約事項:
省略不可
<URL>
URL文字列
注:
URLはIIJ MPCサービスのコントロールパネルに記載されます
注:
フィルタ機能は、自身のノードIDをフロートリンクのネームサーバへ登録する機能を持ちません。VPN設定により登録されるノードIDとグループキーを指定してください。

Note

  • 全く同一の条件となる複数のエントリが設定可能ですが、インデックス番号が最小のエントリ以外から反映されたルールは使用されません
  • 動的フィルタのフィルタステートの生成条件としてipoptsを指定できますが、生成されたフィルタステートはipoptsをルールに引き継ぎません。
    • 特定のipoptsのパケットにのみマッチするパスルールの動的フィルタ設定によって生成されたフィルタステートは、特定のipoptsに一致しないパケットもマッチするパスルールとなるため注意が必要です。
  • DHCPパケット(UDPの67番および68番ポート)はIPパケットフィルタでパスまたはブロックできません(DHCPサーバ機能はIPパケットフィルタの影響を受けない処理フローでパケットを送受信します)。