IPパケットフィルタ
IPv4/IPv6通信に適用可能なパケットフィルタリング機能です。送受信パケットの持つ各種情報に基づくマッチ条件と処理方法を指定するフィルタルールに従ってパケットを処理します。
項目 | 値 |
---|---|
IPv4パケットフィルタの設定上限 | 512 |
IPv6パケットフィルタの設定上限 | 256 |
機能 | IPv4 | IPv6 | 備考 |
---|---|---|---|
IPパケットフィルタ | ○ | ○ |
機能 | 状態 | 備考 |
---|---|---|
IPパケットフィルタ | 無効 | 全てのパケットをパス |
フィルタルールのマッチ条件
任意のパラメータの組み合わせでパケットのマッチ条件を指定でき、条件にすべてマッチすると、指定の処理内容に従い処理します。
- インタフェース
- 通信の方向
- プロトコル
- 送受信ポート番号
- 送受信アドレス
- 送受信ホスト名
- ICMP Type
- IP Header Option (IPv4)
- Extension Header (IPv6)
ヒント:
IPパケットフィルタは、マッチ条件とする論理インタフェースが送受信するIPパケットのみ評価できます。
- GEインタフェースを条件とするIPパケットフィルタは、VLANフレームやPPPoEフレームを評価できません。それらはVLANインタフェースやPPPoEインタフェースを条件とするIPパケットフィルタを設定することで、各論理インタフェースが送受信するIPパケットを評価できます。
- IPsecやIP-IPなどのIP-VPNプロトコルでカプセル化されたパケットは、そのVPNパケットを送受信する論理インタフェース上ではVPNプロトコル自体をIPパケットフィルタで評価できます。
- VPN通信の内容をIPパケットフィルタで評価するには、VPNを終端する論理インタフェース(IPsecインタフェースやIP-IPトンネルインタフェース)を条件とするIPパケットフィルタを設定する必要があります。本装置がVPNを終端しないVPNパケットの内容をIPパケットフィルタで評価することはできません。
パケットの処理内容
- パス(pass)
- ルールにマッチしたパケットについて、フィルタ処理を通過させます。
- ブロック(block)
- ルールにマッチしたパケットを破棄します。
注:
- フィルタルールにマッチしない場合のデフォルト処理はパスです。暗黙のブロックルールはありません。
ホスト名による条件指定
コンフィグに指定されたホスト名(FQDN)について、DNSを利用してIPアドレスを解決し、フィルタ適用条件とします。
- 設定が反映されると名前解決を行いDNSレコードを保持します。また、DNSレコードのTTLに従ってリロードします。
- DNSレコードが複数のIPアドレスを含む場合は、キーと同じアドレスファミリー(IPv4またはIPv6)のものが全て適用条件となります。
- 名前解決のたびに異なるIPアドレスが得られるFQDNに対しては有効に働きません。本装置の名前解決結果とクライアント端末での結果が異なる可能性があります。
- "filter."で始まるキーに対し、合計64個までのユニークなFQDNを設定できます。
- ワイルドカード形式での指定はできません。
名前解決に失敗した場合の動作
名前解決が失敗した場合は所定時間の経過後に再試行します。成功するまでの間は当該FQDNが設定されたフィルタルールは機能しません。
条件 | 試行間隔 |
---|---|
DNS応答がNXDOMAIN、NODATA、REFUSEDのいずれかであり、TTLが含まれる場合 | TTLに従う |
DNS応答にTTLが存在しない場合 | 300秒 |
DNS応答に含まれるTTLが異常な値(負の数)だった場合 | 900秒 |
DNS応答がSERVFAILまたは得られなかった場合 | 300秒 |
ホスト監視連動
ターゲットホストの死活状況を監視し、応答状況とフィルタルールの有効性を連動させることができます。
- 監視ダウンと判定するとフィルタルールを無効化します。
- 監視アップと判定するとフィルタルールを有効化します。
- 監視パケットの送信元IPアドレスに監視パケットを送出するインタフェースのIPアドレスを使用します。
項目 | 値 |
---|---|
監視対象 | IPv4アドレス |
監視パケット | ICMPエコーリクエスト |
監視タイムアウト | 1秒 |
ダウン判定 | 連続3回の監視タイムアウト |
アップ判定 | 1回のリプライ受信 |
リプライ受信後の監視パケット送信間隔 | 30秒 |
監視タイムアウト後のパケット送信間隔 | 5秒 |
初期状態 | 監視アップ(フィルタ有効) |
注:
フィルタ設定において、複数の監視設定に同一の監視対象が設定されている場合は監視パケットの送信を集約します。
ログ出力の制御
フィルタルールごとに、パケットがマッチした際のログへの出力の有無を制御可能です。
ログメッセージには、フィルタルールに設定されたラベル文字列を含みます。
注:
一つのログ出力に要するシステムリソースは非常に小さなものですが、多量のトラフィックが想定される環境においてマッチする頻度の高いルールのログ出力が有効な状態で運用すると、処理パフォーマンスに影響する可能性があります。
フィルタルールの適用優先順位
フィルタには評価順位があり、最初にマッチした一つのフィルタのルールに従い処理します。
処理順位は、コンフィグ記述上のインデックス番号の若い順(昇順)に評価します。動的フィルタにより生成される一時フィルタを含めた内部的な 状態は、ステータス参照コマンドで参照できます。
フィルタルールの設定反映
コンフィグの再読込の際にフィルタルールの変更があった場合でも、適用処理過程で一時的にフィルタ処理が全体的に無効になることはありません。
パケット処理の適用順
IPパケットは次の順番で通信制御機能のマッチングが行われます。
- NAT/NAPT(受信インタフェースのルール)
- IPパケットフィルタおよびポリシールーティング(受信インタフェースの入力方向のルール)
- 経路表に基づくルーティング
- ポリシールーティング(送信インタフェースの出力方向のルール)
- IPパケットフィルタ(送信インタフェースの出力方向のルール)
- NAT/NAPT(送信インタフェースのルール)
注:
- パケット受信時は、IPパケットフィルタとポリシールーティングは常に両方評価され、ポリシールーティングにマッチした場合はIPパケットフィルタの評価結果によらず受信されます。
- 入力方向のポリシールーティングにマッチした場合は、入力方向のIPパケットフィルタのブロック対象であってもブロックされず、転送先ゲートウェイを指定した上でルーティング処理に進みます。
- パケット送信時は、ポリシールーティングの評価後にIPパケットフィルタが評価されます。
- 入出力いずれかのポリシールーティングにマッチしたパケットであっても、出力方向のIPパケットフィルタのブロック対象ならば破棄されます。
- 受信時にIPパケットフィルタにマッチしたパケットも、送信時にIPパケットフィルタが評価されます。
- 経路表に基づくルーティング対象でないパケットは、ポリシールーティングにマッチしたパケットであっても破棄されます。
- デフォルト経路やdiscard経路を含むいずれかの経路に一致するならば、ポリシールーティングで指定するゲートウェイに転送可能です。
- NAT/NAPT評価後の宛先アドレスに基づいて経路表が参照されます(ポリシールーティングはパケットのヘッダを書き換えません)。
- 入力方向のポリシールーティングにマッチしたパケットは、出力方向のポリシールーティングの評価はスキップされます。
- 入出力いずれかのポリシールーティングにマッチしたパケットの、送信インタフェースにおけるIPパケットフィルタおよびNAT/NAPTの評価は、ポリシールーティングで指定されたゲートウェイインタフェースのルールに基づきます。
- 本装置自身が送信元となるパケットは、受信インタフェースでの処理が省かれます。
ブリッジフィルタ
IP転送の対象外となるブリッジに所属するインタフェース間のIPv4/IPv6通信に適用可能なパケットフィルタリング機能です。
項目 | 値 |
---|---|
IPv4ブリッジフィルタの設定上限 | 2048 |
IPv6ブリッジフィルタの設定上限 | 2048 |
機能 | 状態 | 備考 |
---|---|---|
ブリッジフィルタ | 無効 | 全てのパケットをパス |
機能概要
ブリッジフィルタは次のパケットには適用されません。
- 本装置のIPアドレスが送信元・送信先となるパケット
- 経路制御によるIP転送の対象となるパケット(ブリッジ内とブリッジ外とで送受信するパケット)
- 内蔵スイッチのポート間で転送されるパケット(ge1p0 と ge1p1 間など)