ポリシールーティング

IPパケットフィルタの機構によりマッチしたパケットを、任意の送信先へ転送するポリシールーティング機能を提供します。

SEILにおいて、ポリシールーティングはIPパケットフィルタを拡張する形で実装しています。

ポリシールーティングの動作

受信したパケットを他のホストに転送するとき、NextHop(送出先ホスト)やゲートウェイ(送出インタフェース)は、通常はパケットの送信先フィールドを、SEILの経路表に照合するルーティング処理により決定します。

図: 経路制御によるパケットの送出制御

ポリシールーティングを使用すると、送信先フィールドのみではなく、プロトコルや送信元アドレスといった条件をIPパケットフィルタの要領で指定することにより、任意のNextHopにパケットを送出することができます。

図: ポリシールーティングによるパケットの送出制御

留意事項

  • IPパケットフィルタの処理に組み込まれているため、ポリシールーティング("action forward")を指定したフィルタルールよりも優先度の高いパス("action pass")またはブロック("action block")ルールにマッチすると、 その時点で処理が決定します(passまたはblockが適用され、forwardは適用されない)。
  • NAT/NAPTのようにパケットの送信元/送信先フィールド等を書き換えるものではありません。
  • 送出方向のフィルタルール("direction out")でポリシールーティングを設定する場合、フィルタ適用インタフェースはany扱いとなります。
    • パケットの送信先が経路表に存在しないパケットは、ポリシールーティングでの送信先制御もできません。
    • デフォルト経路("route add default")が設定されている場合には問題となりません。
注:
ポリシールーティングとuRPF併用時の注意
ポリシールーティングは経路表の状態に依存しないパケット転送を行います。このため、受信装置側の経路とuRPFの適用状況によりブロックされる可能性があります。