filter.bridge.ipv4

IPv4ブリッジフィルタを設定する

キー バリュー
filter.bridge.ipv4.[]...
IPv4ブリッジフィルタのルール
設定上限
2048個
filter.bridge.ipv4.[].label
フィルタを識別するためのラベル文字列
<String>
文字数
1-32
  • 設定するとログやステータス参照時の視認性が向上します。動作への影響はありません。
filter.bridge.ipv4.[].action
条件に一致したパケットの処理方法
制約事項: 省略不可
pass
パスする(通過させる)
block
ブロックする(破棄する)
filter.bridge.ipv4.[].interface
インタフェースの条件
制約事項: 省略不可
注: ブリッジに所属していないインタフェースには適用されません。
any
全てのインタフェース
<Interface>
インタフェース名
  • ge[]|ge*
  • l2tp[]|l2tp*
  • vlan[]|vlan*
filter.bridge.ipv4.[].direction
入出力方向の条件
制約事項: 省略不可
in
入力
out
出力
inout
入力または出力
filter.bridge.ipv4.[].source.address
送信元アドレスの条件
<IPv4address>
特定のIPv4アドレス
<IPv4address/Prefixlen>
ネットワーク内のIPv4アドレス
<IPv4address Range>
任意の範囲内のIPv4アドレス
<Interface>
特定のインタフェースが持つIPv4アドレス
  • bridge[]
  • ge[]
  • gre[]
  • ipsec[]
  • ppp[]
  • pppac[]
  • pppoe[]
  • tunnel[]
  • vlan[]
self
本装置のインタフェースが持ついずれかのIPv4アドレス
デフォルト値
0.0.0.0/0 (any)
  • ネットワークアドレスを指定した場合はホスト部をオール0として扱います。たとえば"192.168.1.1/24"という指定は"192.168.1.0/24"とします。
注:<Interface>およびselfは本装置のアドレスを指すことから、これらを指定したルールはブリッジフィルタの評価適用外となります。一般的な用途においては指定を避けてください。
filter.bridge.ipv4.[].source.hostname
送信元ホスト名(FQDN)の条件
制約事項: source.address と同時に設定できない
<String>
文字数
1-255
  • "filter."で始まるキーに対し、合計64個までのユニークなFQDNを設定できます。
filter.bridge.ipv4.[].destination.address
送信先アドレスの条件
<IPv4address>
特定のIPv4アドレス
<IPv4address/Prefixlen>
ネットワーク内のIPv4アドレス
<IPv4address Range>
任意の範囲内のIPv4アドレス
<Interface>
特定のインタフェースが持つIPv4アドレス
  • bridge[]
  • ge[]
  • gre[]
  • ipsec[]
  • ppp[]
  • pppac[]
  • pppoe[]
  • tunnel[]
  • vlan[]
self
本装置のインタフェースが持ついずれかのIPv4アドレス
デフォルト値
0.0.0.0/0 (any)
  • ネットワークアドレスを指定した場合はホスト部をオール0として扱います。たとえば"192.168.1.1/24"という指定は"192.168.1.0/24"とします。
注:<Interface>およびselfは本装置のアドレスを指すことから、これらを指定したルールはブリッジフィルタの評価適用外となります。一般的な用途においては指定を避けてください。
filter.bridge.ipv4.[].destination.hostname
送信先ホスト名(FQDN)の条件
制約事項: destination.address と同時に設定できない
<String>
文字数
1-255
  • "filter."で始まるキーに対し、合計64個までのユニークなFQDNを設定できます。
filter.bridge.ipv4.[].protocol
プロトコルの条件
<Number>
プロトコル番号
範囲
0-255
<Keyword>
プロトコル名
候補
ip | tcp | udp | icmp | igmp | ah | esp
tcpudp
TCPとUDP
tcp-synonly
TCPの接続要求パケット
tcp-established
TCPのセッション確立済みパケット
any
任意のプロトコル
デフォルト値
any
filter.bridge.ipv4.[].source.port
送信元ポート番号の条件
制約事項: protocol に tcp, udp, tcpudp, tcp-synonly, tcp-established のいずれかの指定が必須
<Number>
ポート番号
範囲
0-65535
<Range>
ポート番号の範囲
  • 範囲の始点と終点のポート番号を"-"で連結して指定します。
デフォルト値
0-65535 (any)
filter.bridge.ipv4.[].destination.port
送信先ポート番号の条件
制約事項: protocol に tcp, udp, tcpudp, tcp-synonly, tcp-established のいずれかの指定が必須
<Number>
ポート番号
範囲
0-65535
<Range>
ポート番号の範囲
  • 範囲の始点と終点のポート番号を"-"で連結して指定します。
デフォルト値
0-65535 (any)
filter.bridge.ipv4.[].icmp-type
ICMPタイプの条件
制約事項: protocol に icmp の指定が必須
<Number>
ICMPタイプの番号
範囲
0-255
any
全てのICMPタイプ
デフォルト値
any
filter.bridge.ipv4.[].ipopts
IP Header Optionの条件
<Number>
IP Header Optionの番号
範囲
0-255
none
IP Header Optionの有無を条件としない
any
任意のIP Header Option
  • IP Header Optionを含まないパケットはマッチしません
デフォルト値
none
filter.bridge.ipv4.[].state
動的フィルタの適用
enable
有効化
disable
無効化
デフォルト値
disable
filter.bridge.ipv4.[].state.ttl
動的フィルタのTTLの初期値
<Time>
TTLの初期値
範囲 単位
5-999999
デフォルト値
180
注: 一部の通信は設定値によらずTTLの初期値が固定となります。
filter.bridge.ipv4.[].logging
ログの記録
on
記録する
off
記録しない
state-only
動的フィルタステートの生成と消滅のみ記録する
デフォルト値
on
filter.bridge.ipv4.[].keepalive
ホスト監視連動フィルタの監視対象
<IPv4address>
IPv4アドレス

Note

  • 全く同一の条件となる複数のエントリが設定可能ですが、インデックス番号が最小のエントリ以外から反映されたルールは使用されません
  • 動的フィルタのフィルタステートの生成条件としてipoptsを指定できますが、生成されたフィルタステートはipoptsをルールに引き継ぎません。
    • 特定のipoptsのパケットにのみマッチするパスルールの動的フィルタ設定によって生成されたフィルタステートは、特定のipoptsに一致しないパケットもマッチするパスルールとなるため注意が必要です。
  • DHCPパケット(UDPの67番および68番ポート)はIPパケットフィルタでパスまたはブロックできません(DHCPサーバ機能はIPパケットフィルタの影響を受けない処理フローでパケットを送受信します)。