IPパケットフィルタの処理フローイメージ

パケットは、通過しようとするインタフェースごとに、IPパケットフィルタの評価を受けます。 ここでは、パケットがフィルタによりどのように処理されるのかを説明します。

全体的なフィルタ処理フロー

入力インタフェースと出力インタフェースの両方にIPパケットフィルタが設定されている場合、 パケットは下図のようにフィルタの評価を2回受けます。

1: Webサーバへ転送するHTTPパケットのフィルタ処理イメージ

IPsecインタフェースやIP-IPインタフェースのような仮想インタフェースを使用する構成でのIPパケットフィルタは、 暗号化やカプセル化の状態に合わせたルールを設定する必要があります。

2: IPsecインタフェースを使用するVPN対向からWebサーバへ転送するHTTPパケットの処理イメージ
  • LANインタフェースで受信した段階では暗号化された状態(IPプロトコル50番( ESP))を想定してフィルタを設定します。
  • IPsecインタフェースに設定するフィルタルールは、復号後のパケット(TCP 80番ポート(HTTP))を想定して設定します。

インタフェース毎のフィルタ処理フロー

各インタフェースでのフィルタの評価は、優先順位に従って順にフィルタルールにマッチングし、 最初にマッチしたルールによってそのインタフェースでの処理内容が決定します。

3: フィルタ処理のフローチャート

動的フィルタによる一時ルールの挿入について

パケットが動的フィルタにマッチすると、生成された一時的なパスフィルタルールが評価順位の最上位に挿入されます。

コンフィグの記述とフィルタのステータス

フィルタの優先順位は、コンフィグに基づいて生成される内部的なフィルタルールによるため、 その並び(優先順位)はコンフィグと同等の状態になりますが、 動的フィルタの状態も含めた現在の状態を確認するには、”show status filter”コマンドでステータスを参照する必要があります。