filter6

IPv6パケットフィルタを設定する。

実行権限
admin
対象機種
SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL/BPV4

filter6 add

IPv6パケットフィルタの設定を追加する。

設定上限
機種 上限
SEIL/B1 512
SEIL/X1 1024
SEIL/X2 2048
SEIL/x86 Fuji 2048
SEIL/BPV4 2048
filter6 add <name>
  action { block | pass }
  interface <interface>
  direction { in | out | in/out | redirect}
  [protocol { any | ipv6-icmp | igmp | tcp | tcp-established | tcp-synonly | tcpudp | udp | ah | esp | <num> }]
  [icmp-type { any | <num> }]
  [src { <IPv6address>[/<prefixlen>] | <interface> | self }]
  [srcport <port_range>]
  [dst { <IPv6address>[/<prefixlen>] | <interface> | self }]
  [dstport <port_range>]
  [exthdr { none | any | <num> }]
  [state { disable | enable [state-ttl { normal | <ttl> }]}]
  [logging { on | off | state-only }]
  [label <label>]
  [top | bottom | above <base_name> | below <base_name>]
  [enable | disable]

filter6 add <name>
  action forward { <IPv6address> | <ppp> | <pppoe> | <tunnel> | <ipsec> | discard }
  [protocol { any | ipv6-icmp | igmp | tcp | tcp-established | tcp-synonly | tcpudp | udp | ah | esp | <num> }]
  [icmp-type { any | <num> }]
  [src { <IPv6address>[/<prefixlen>] | <interface> | self }]
  [srcport <port_range>]
  [dst { <IPv6address>[/<prefixlen>] | <interface> | self }]
  [dstport <port_range>]
  [exthdr { none | any | <num> }]
  [logging { on | off | state-only }]
  [label <label>]
  [top | bottom | above <base_name> | below <bass_name>]
  [enable | disable]
<name>
フィルタの設定名
文字列長 文字種 予約語
1-16 [a-zA-Z0-9_] all
interface
フィルタを適用するインタフェース
<interface>
インタフェース名を指定する
注: lan0を指定した場合、LAN0の4ポートすべてに適用される
direction
インタフェースへの入出力方向
in
インタフェースへの入力パケット
out
インタフェースからの出力パケット
in/out
インタフェースの入力またはインタフェースからの出力パケット
redirect
入力と同一のインタフェースから出力(リダイレクト)されるパケット
action
条件にマッチした場合に実行する処理
block
ブロックする
pass
パスする
forward
IPv6ポリシールーティングにより転送する
注: ブリッジフィルタ機能が有効であっても、ブリッジ転送されるパケットにはポリシールーティングは適用されません。
<IPv6address>
転送先IPアドレス
<ppp> <pppoe> <tunnel> <ipsec>
送信インタフェース
discard
破棄する(discardインタフェースへ転送する)
protocol
プロトコルの条件
既定値
any
any
任意のプロトコル
tcp
TCPパケット
tcp-synonly
TCP接続要求パケット
  • "action block"が指定されている必要があります
tcp-established
TCPの確立したセッションのパケット
  • "action pass"が指定されている必要があります
udp
UDPパケット
tcpudp
TCP及びUDPパケット
ipv6-icmp
ICMPv6パケット
igmp
IGMPパケット
ah
AHパケット
esp
ESPパケット
<num>
プロトコル番号を指定する
設定範囲
0-255
icmp-type
ICMPタイプの条件
既定値
any
  • "protocol ipv6-icmp" が指定されている必要があります。
any
任意のタイプ
<num>
ICMPタイプを指定する
設定範囲
0-255
src
送信元IPアドレスの条件
既定値
::/0(任意のアドレス)
<IPv6address>, <prefixlen>
アドレスとプレフィックス長で指定する
<interface>
指定インタフェースに付与されているIPv6アドレスを使用する
self
SEILに付与されているすべてのIPv6アドレスを使用する
  • 明示的にマルチキャストアドレスを指定した場合を除き、マルチキャストアドレスは対象外になります
srcport
送信元ポートの条件
既定値
0-65535
<port_range>
ポート番号を指定する
設定範囲 備考
0-65535 範囲指定可能
dst
送信先IPアドレスの条件
既定値
::/0(任意のアドレス)
<IPv6address>, <prefixlen>
アドレスとプレフィックス長で指定する
<interface>
指定インタフェースに付与されているすべてのIPv6アドレスを使用する
self
SEILに付与されているすべてのIPv6アドレス(マルチキャストアドレスを除く)を使用する
dstport
送信先ポートの条件
既定値
0-65535
<port_range>
ポート番号を指定する
設定範囲 備考
0-65535 範囲指定可能
exthdr
Extention Headerの条件
既定値
none
none
条件としない
any
任意のExtention Header
  • Extention Headerが含まれないパケットにはマッチしません
<num>
Extention Headerを指定する
設定範囲
0-255
state

動的フィルタ機能の制御

  • "action pass"の場合のみ有効に動作します。
既定値
disable
enable
有効にする
disable
無効にする
state-ttl
動的フィルタの有効時間
既定値
normal
normal
標準値を使用する
標準値
パケットの種類により異なる
<ttl>
有効時間を指定する
設定範囲 単位
5-999999
logging
ログの記録
既定値
on
on
記録する
off
記録しない
state-only
動的フィルタの生成と消滅のみ記録する
label
ラベル文字列
既定値
""
<label>
任意のラベル文字列を指定する
設定範囲 文字種
1 - 32文字 空文字列("")指定可
[top | bottom | above | below]
フィルタの評価順位
既定値
bottom
top
先頭
bottom
末尾
above
指定したフィルタの上位
<base_filter_name>
評価順位の設定基準となる設定名
below
指定したフィルタの下位
<base_filter_name>
評価順位の設定基準となる設定名
[enable | disable]
フィルタの有効化または無効化
既定値
enable
enable
有効にする
disable
無効にする

Note

送信元IPアドレスまたは送信先IPアドレスをネットワークアドレスで指定した場合、ホスト部アドレスはオール0として解釈されます。たとえば"fe80::1/64"という指定は"fe80::0/64"と解釈されます。

リダイレクトパケットのフィルタ

"direction redirect"はパケットの入力時または出力時に評価され、パケットの入力インタフェースと出力インタフェースが同じ場合に条件として一致します。 パケット入力時の判定で比較対象とされる出力インタフェースは、評価対象のパケットが経路表に従って出力される場合のインタフェースを用います。 (経路表による出力インタフェースと、各種処理後の最終的な出力インタフェースは異なる場合があります)

IPv6ポリシールーティング

IPv6ポリシールーティングを適用するフィルタルール(action forward)は、パケットの入出力方向やインタフェースによらずマッチします。

IPv6ポリシールーティング機能を使用する設定行では、動的フィルタを併用できません。

ブリッジフィルタ機能が有効であっても、ブリッジ転送されるパケットにはポリシールーティングは適用されません。

注: IPv6ポリシールーティングにより転送されるパケットは、IPsecセキュリティポリシーの対象となりません。

Extention Headerについて

下記のプロトコルはIPv6においてExtention Header扱いとなり、プロトコルチェインによって Extention Headerに続く最後のプロトコルが、フィルタの条件に マッチします。
  • ipv6 hop-by-hop option(0)
  • ipv6 routing header(43)
  • ipv6 fragment header(44)
  • authentication header(51)
  • ipv6 destination options(60)

Extention Header扱いのプロトコルをフィルタの条件に指定するには、exthdrパラメータを使用してください。

filter6 delete

IPv6パケットフィルタの設定を削除する。

filter6 delete { <name> ... | all }
<name>
対象の設定名
  • 空白区切りで列挙可能
all
すべて

filter6 modify

IPv6パケットフィルタの設定を変更する。

filter6 modify <name> [action <action>] [interface <interface>]
  [direction <direct_mode>] [protocol <protocol>] [icmp-type <icmp_type>]
  [src { <src_IPaddress/prefixlen> | <src_interface> | self }]
  [srcport <src_port_range>]
  [dst { <dst_IPaddress/prefixlen> | <dst_interface> | self }]
  [dstport <dst_port_range>]
  [exthdr { none | any | <num> }]
  [state { disable | enable [state-ttl <ttl>] }]
  [logging <log_mode>] [enable | disable]
  [label <label>]
<name>
対象の設定名

filter6 move

IPv6パケットフィルタの評価順位を移動する。

filter6 move <name>
 { top | bottom | above <base_name> | below <base_name> }
<name>
対象の設定名
top
先頭に移動する
bottom
末尾に移動する
above
基準となる設定の上位に移動する
<base_name>
移動先の基準となる設定名
below
基準となる設定の下位に移動する
<base_name>
移動先の基準となる設定名

filter6 enable

IPv6パケットフィルタを有効化する。

filter6 enable { <name> ... | all }
<name>
対象の設定名
  • 空白区切りで列挙可能
all
すべて

filter6 disable

IPv6パケットフィルタを無効化する。

filter6 disable { <name> ... | all }
<name>
対象の設定名
  • 空白区切りで列挙可能
all
すべて

Note

deleteと異なり削除しません。