filter6
IPv6パケットフィルタを設定する。
- 実行権限
- admin
- 対象機種
- SEIL/B1, SEIL/X1, SEIL/X2, SEIL/x86 Fuji, SEIL BPV4
注: フィルタルールにマッチしない場合のデフォルト処理はパスです。暗黙のブロックルールはありません。ネットワークへの接続前に適切なフィルタを設定してください。
filter6 add
IPv6パケットフィルタの設定を追加する。
- 設定上限
-
機種 上限 SEIL/B1 512 SEIL/X1 1024 SEIL/X2 2048 SEIL/x86 Fuji 2048 SEIL BPV4 2048
filter6 add <name>
action { block | pass }
interface <interface>
direction { in | out | in/out | redirect}
[protocol { any | ipv6-icmp | igmp | tcp | tcp-established | tcp-synonly | tcpudp | udp | ah | esp | <num> }]
[icmp-type { any | <num> }]
[src { <IPv6address>[/<prefixlen>] | <interface> | self }]
[srcport <port_range>]
[dst { <IPv6address>[/<prefixlen>] | <interface> | self }]
[dstport <port_range>]
[exthdr { none | any | <num> }]
[state { disable | enable [state-ttl { normal | <ttl> }]}]
[logging { on | off | state-only }]
[label <label>]
[top | bottom | above <base_name> | below <base_name>]
[enable | disable]
filter6 add <name>
action forward { <IPv6address> | <ppp> | <pppoe> | <tunnel> | <ipsec> | discard }
[protocol { any | ipv6-icmp | igmp | tcp | tcp-established | tcp-synonly | tcpudp | udp | ah | esp | <num> }]
[icmp-type { any | <num> }]
[src { <IPv6address>[/<prefixlen>] | <interface> | self }]
[srcport <port_range>]
[dst { <IPv6address>[/<prefixlen>] | <interface> | self }]
[dstport <port_range>]
[exthdr { none | any | <num> }]
[logging { on | off | state-only }]
[label <label>]
[top | bottom | above <base_name> | below <bass_name>]
[enable | disable]- <name>
- フィルタの設定名
文字列長 文字種 予約語 1-16[a-zA-Z0-9_]all
- interface
- フィルタを適用するインタフェース
- <interface>
- インタフェース名を指定する
注: lan0を指定した場合、LAN0の4ポートすべてに適用される
- direction
- インタフェースへの入出力方向
- in
- インタフェースへの入力パケット
- out
- インタフェースからの出力パケット
- in/out
- インタフェースの入力またはインタフェースからの出力パケット
- redirect
- 入力と同一のインタフェースから出力(リダイレクト)されるパケット
- action
- 条件にマッチした場合に実行する処理
- block
- ブロックする
- pass
- パスする
- forward
- IPv6ポリシールーティングにより転送する
注:ブリッジフィルタ機能が有効であっても、ブリッジ転送されるパケットにはポリシールーティングは適用されません。
- <IPv6address>
- 転送先IPアドレス
- <ppp><pppoe><tunnel><ipsec>
- 送信インタフェース
- discard
- 破棄する(discardインタフェースへ転送する)
- protocol
- プロトコルの条件
既定値 any - any
- 任意のプロトコル
- tcp
- TCPパケット
- tcp-synonly
- TCP接続要求パケット
- "action block"が指定されている必要があります
- tcp-established
- TCPの確立したセッションのパケット
- "action pass"が指定されている必要があります
- udp
- UDPパケット
- tcpudp
- TCP及びUDPパケット
- ipv6-icmp
- ICMPv6パケット
- igmp
- IGMPパケット
- ah
- AHパケット
- esp
- ESPパケット
- <num>
- プロトコル番号を指定する
設定範囲 0-255
- icmp-type
- ICMPタイプの条件
既定値 any - "protocol ipv6-icmp" が指定されている必要があります。
- any
- 任意のタイプ
- <num>
- ICMPタイプを指定する
設定範囲 0-255
- src
- 送信元IPアドレスの条件
既定値 ::/0(任意のアドレス) - <IPv6address>, <prefixlen>
- アドレスとプレフィックス長で指定する
- <interface>
- 指定インタフェースに付与されているIPv6アドレスを使用する
- self
- SEILに付与されているすべてのIPv6アドレスを使用する
- 明示的にマルチキャストアドレスを指定した場合を除き、マルチキャストアドレスは対象外になります
- srcport
- 送信元ポートの条件
既定値 0-65535 - <port_range>
- ポート番号を指定する
設定範囲 備考 0-65535 範囲指定可能
- dst
- 送信先IPアドレスの条件
既定値 ::/0(任意のアドレス) - <IPv6address>, <prefixlen>
- アドレスとプレフィックス長で指定する
- <interface>
- 指定インタフェースに付与されているすべてのIPv6アドレスを使用する
- self
- SEILに付与されているすべてのIPv6アドレス(マルチキャストアドレスを除く)を使用する
- dstport
- 送信先ポートの条件
既定値 0-65535 - <port_range>
- ポート番号を指定する
設定範囲 備考 0-65535 範囲指定可能
- exthdr
- Extention Headerの条件
既定値 none - none
- 条件としない
- any
- 任意のExtention Header
- Extention Headerが含まれないパケットにはマッチしません
- <num>
- Extention Headerを指定する
設定範囲 0-255
- state
-
動的フィルタ機能の制御
- "action pass"の場合のみ有効に動作します。
既定値 disable - enable
- 有効にする
- disable
- 無効にする
- state-ttl
- 動的フィルタの有効時間
既定値 normal - normal
- 標準値を使用する
標準値 パケットの種類により異なる - <ttl>
- 有効時間を指定する
設定範囲 単位 5-999999 秒
- logging
- ログの記録
既定値 on - on
- 記録する
- off
- 記録しない
- state-only
- 動的フィルタの生成と消滅のみ記録する
- label
- ラベル文字列
既定値 "" - <label>
- 任意のラベル文字列を指定する
設定範囲 文字種 1 - 32文字 空文字列("")指定可
- [top | bottom | above | below]
- フィルタの評価順位
既定値 bottom - top
- 先頭
- bottom
- 末尾
- above
- 指定したフィルタの上位
- <base_filter_name>
- 評価順位の設定基準となる設定名
- below
- 指定したフィルタの下位
- <base_filter_name>
- 評価順位の設定基準となる設定名
- [enable | disable]
- フィルタの有効化または無効化
既定値 enable - enable
- 有効にする
- disable
- 無効にする
Note
送信元IPアドレスまたは送信先IPアドレスをネットワークアドレスで指定した場合、ホスト部アドレスはオール0として解釈されます。たとえば"fe80::1/64"という指定は"fe80::0/64"と解釈されます。
リダイレクトパケットのフィルタ
"direction redirect"はパケットの入力時または出力時に評価され、パケットの入力インタフェースと出力インタフェースが同じ場合に条件として一致します。 パケット入力時の判定で比較対象とされる出力インタフェースは、評価対象のパケットが経路表に従って出力される場合のインタフェースを用います。 (経路表による出力インタフェースと、各種処理後の最終的な出力インタフェースは異なる場合があります)
IPv6ポリシールーティング
IPv6ポリシールーティングを適用するフィルタルール(action forward)は、パケットの入出力方向やインタフェースによらずマッチします。
IPv6ポリシールーティング機能を使用する設定行では、動的フィルタを併用できません。
ブリッジフィルタ機能が有効であっても、ブリッジ転送されるパケットにはポリシールーティングは適用されません。
注: IPv6ポリシールーティングにより転送されるパケットは、IPsecセキュリティポリシーの対象となりません。
Extention Headerについて
下記のプロトコルはIPv6においてExtention Header扱いとなり、プロトコルチェインによって Extention Headerに続く最後のプロトコルが、フィルタの条件に マッチします。
- ipv6 hop-by-hop option(0)
- ipv6 routing header(43)
- ipv6 fragment header(44)
- authentication header(51)
- ipv6 destination options(60)
Extention Header扱いのプロトコルをフィルタの条件に指定するには、exthdrパラメータを使用してください。
filter6 delete
IPv6パケットフィルタの設定を削除する。
filter6 delete { <name> ... | all }- <name>
- 対象の設定名
- 空白区切りで列挙可能
- all
- すべて
filter6 modify
IPv6パケットフィルタの設定を変更する。
filter6 modify <name> [action <action>] [interface <interface>]
[direction <direct_mode>] [protocol <protocol>] [icmp-type <icmp_type>]
[src { <src_IPaddress/prefixlen> | <src_interface> | self }]
[srcport <src_port_range>]
[dst { <dst_IPaddress/prefixlen> | <dst_interface> | self }]
[dstport <dst_port_range>]
[exthdr { none | any | <num> }]
[state { disable | enable [state-ttl <ttl>] }]
[logging <log_mode>] [enable | disable]
[label <label>]- <name>
- 対象の設定名
- パラメータの詳細はfilter6 addを参照
filter6 move
IPv6パケットフィルタの評価順位を移動する。
filter6 move <name>
{ top | bottom | above <base_name> | below <base_name> }- <name>
- 対象の設定名
- top
- 先頭に移動する
- bottom
- 末尾に移動する
- above
- 基準となる設定の上位に移動する
- <base_name>
- 移動先の基準となる設定名
- below
- 基準となる設定の下位に移動する
- <base_name>
- 移動先の基準となる設定名
filter6 enable
IPv6パケットフィルタを有効化する。
filter6 enable { <name> ... | all }- <name>
- 対象の設定名
- 空白区切りで列挙可能
- all
- すべて
filter6 disable
IPv6パケットフィルタを無効化する。
filter6 disable { <name> ... | all }- <name>
- 対象の設定名
- 空白区切りで列挙可能
- all
- すべて
Note
deleteと異なり削除しません。