filter.ipv6

ipv6パケットフィルタを設定する

IPv6パケットフィルタ

キー バリュー
filter.ipv6.[]...
IPv6パケットフィルタのルール
設定上限
256個
filter.ipv6.[].label
フィルタを識別するためのラベル文字列
<String>
文字数
1-32
  • 設定するとログやステータス参照時の視認性が向上します。動作への影響はありません。
filter.ipv6.[].action
条件に一致したパケットの処理方法
制約事項:
省略不可
pass
パスする(通過させる)
block
ブロックする(破棄する)
filter.ipv6.[].interface
インタフェースの条件
制約事項:
省略不可
any
全てのインタフェース
<Interface>
インタフェース名
  • bridge[]|bridge*
  • ge[]|ge*
  • ipsec[]|ipsec*
  • ppp[]|ppp*
  • pppac[]|pppac*
  • pppoe[]|pppoe*
  • rac[]|rac*
  • tunnel[]|tunnel*
  • vlan[]|vlan*
  • wlan[0-7]|wlan*
filter.ipv6.[].direction
入出力方向の条件
制約事項:
省略不可
in
入力
out
出力
inout
入力または出力
redirect
入力インタフェースと出力インタフェースが同一
filter.ipv6.[].source.address
送信元アドレスの条件
<IPv6address>
特定のIPv6アドレス
<IPv6address/Prefixlen>
ネットワーク内のIPv6アドレス
<Interface>
特定のインタフェースが持つIPv6アドレス
  • bridge[]
  • ge[]
  • ipsec[]
  • ppp[]
  • pppac[]
  • pppoe[]
  • rac[]
  • tunnel[]
  • vlan[]
  • wlan[]
self
本装置のインタフェースが持ついずれかのIPv6アドレス
デフォルト値
::0/0 (any)
  • プレフィックス長を含む指定は、ホスト部をオール0として扱います。たとえば"fe80::1/64"という指定は"fe80::0/64"とします。
filter.ipv6.[].source.hostname
送信元ホスト名(FQDN)の条件
制約事項:
...source.address と併用不可
<String>
文字数
1-255
  • "filter."で始まるキーに対し、合計64個までのユニークなFQDNを設定できます。
filter.ipv6.[].destination.address
送信先アドレスの条件
<IPv6address>
特定のIPv6アドレス
<IPv6address/Prefixlen>
ネットワーク内のIPv6アドレス
<Interface>
特定のインタフェースが持つIPv6アドレス
  • bridge[]
  • ge[]
  • ipsec[]
  • ppp[]
  • pppac[]
  • pppoe[]
  • rac[]
  • tunnel[]
  • vlan[]
  • wlan[]
self
本装置のインタフェースが持ついずれかのIPv6アドレス
デフォルト値
::0/0 (any)
  • ネットワークアドレスを指定した場合はホスト部をオール0として扱います。たとえば"fe80::1/64"という指定は"fe80::0/64"とします。
filter.ipv6.[].destination.hostname
送信先ホスト名(FQDN)の条件
制約事項:
...destination.address と併用不可
<String>
文字数
1-255
  • "filter."で始まるキーに対し、合計64個までのユニークなFQDNを設定できます。
filter.ipv6.[].protocol
プロトコルの条件
<Number>
プロトコル番号
範囲
0-255
<Keyword>
プロトコル名
候補
ip | tcp | udp | ipv6-icmp | igmp | ah | esp
tcpudp
TCPとUDP
tcp-synonly
TCPの接続要求パケット
tcp-established
TCPのセッション確立済みパケット
any
任意のプロトコル
デフォルト値
any
filter.ipv6.[].source.port
送信元ポート番号の条件
制約事項:
...protocolに tcp, udp, tcpudp, tcp-synonly, tcp-established のいずれかの指定が必須
<Number>
ポート番号
範囲
0-65535
<Range>
ポート番号の範囲
  • 範囲の始点と終点のポート番号を"-"で連結して指定します。
デフォルト値
0-65535 (any)
filter.ipv6.[].destination.port
送信先ポート番号の条件
制約事項:
...protocol に tcp, udp, tcpudp, tcp-synonly, tcp-established のいずれかの指定が必須
<Number>
ポート番号
範囲
0-65535
<Range>
ポート番号の範囲
  • 範囲の始点と終点のポート番号を"-"で連結して指定します。
デフォルト値
0-65535 (any)
filter.ipv6.[].icmp-type
ICMPタイプの条件
制約事項:
...protocol に icmp-v6 の指定が必須
<Number>
ICMPタイプの番号
範囲
0-255
any
全てのICMPタイプ
デフォルト値
any
filter.ipv6.[].exthdr
Extension Headerの条件
<Number>
Extension Headerの番号
範囲
0-255
none
Extension Headerの有無を条件としない
any
任意のExtension Header
  • Extension Headerを含まないパケットはマッチしません
デフォルト値
none
filter.ipv6.[].state
動的フィルタの適用
enable
有効化
disable
無効化
デフォルト値
disable
filter.ipv6.[].state.ttl
動的フィルタのTTLの初期値
<Time>
TTLの初期値
範囲 単位
5-999999
デフォルト値
180
注:
一部の通信は設定値によらずTTLの初期値が固定となります。
filter.ipv6.[].logging
ログの記録
on
記録する
off
記録しない
state-only
動的フィルタステートの生成と消滅のみ記録する
デフォルト値
on

フロートリンク用のフィルタ条件

フロートリンクを利用してVPNを設定する際に、フィルタの条件としてIPアドレスの代わりにフロートリンクのノードIDを指定できます。

ノードIDを指定すると、フロートリンクによってVPN対向装置のアドレス変動に自動追従できます。

キー バリュー
filter.ipv6.[].source.floatlink.address
送信元アドレスの条件として、フロートリンクのノードIDに関連付けられたIPアドレスを使用する
制約事項:
...source.address と併用不可
<String>
文字数 使用できない文字
1-255 空白
  • 自身またはフロートリンク対向の...my-node-idと同じ文字列を指定します。
filter.ipv6.[].destination.floatlink.address
送信先アドレスの条件として、フロートリンクのノードIDに関連付けられたIPアドレスを使用する
制約事項:
...destination.address と併用不可
<String>
文字数 使用できない文字
1-255 空白
  • 自身またはフロートリンク対向の...my-node-idと同じ文字列を指定します。
filter.ipv6.[].floatlink.key
フロートリンクで使用するグループキー
制約事項:
省略不可
<String>
文字数 使用できない文字
12-128 空白
filter.ipv6.[].floatlink.name-service
フロートリンクのネームサーバのURL
制約事項:
省略不可
<URL>
URL文字列
注:
URLはIIJ MPCサービスのコントロールパネルに記載されます
注:
フィルタ機能は、自身のノードIDをフロートリンクのネームサーバへ登録する機能を持ちません。VPN設定により登録されるノードIDとグループキーを指定してください。

Note

  • 全く同一の条件となる複数のエントリが設定可能ですが、インデックス番号が最小のエントリ以外から反映されたルールは使用されません
  • 動的フィルタのフィルタステートの生成条件としてexthdrを指定できますが、生成されたフィルタステートはexthdrをルールに引き継ぎません。
    • 特定のexthdrのパケットにのみマッチするパスルールの動的フィルタ設定によって生成されたフィルタステートは、特定のexthdrに一致しないパケットもマッチするパスルールとなるため注意が必要です。