IPパケットフィルタ

IPv4/IPv6通信に適用可能なパケットフィルタリング機能です。送受信パケットの持つ各種情報に基づくマッチ条件と処理方法を指定するフィルタルールに従ってパケットを処理します。

1. 仕様概要
項目
IPv4パケットフィルタの設定上限 2048
IPv6パケットフィルタの設定上限 2048
2. IPv4/IPv6対応状況
機能 IPv4 IPv6 備考
IPパケットフィルタ
3. デフォルトの動作状態
機能 状態 備考
IPパケットフィルタ 無効 全てのパケットをパス

フィルタルールのマッチ条件

任意のパラメータの組み合わせでパケットのマッチ条件を指定でき、条件にすべてマッチすると、指定の処理内容に従い処理します。

  • インタフェース
  • 通信の方向
  • プロトコル
  • 送受信ポート番号
  • 送受信アドレス
  • 送受信ホスト名
  • ICMP Type
  • IP Header Option (IPv4)
  • Extension Header (IPv6)

パケットの処理内容

パス(pass)
ルールにマッチしたパケットについて、フィルタ処理を通過させます。
ブロック(block)
ルールにマッチしたパケットを破棄します。
注:
  • フィルタルールにマッチしない場合のデフォルト処理はパスです。暗黙のブロックルールはありません。

ホスト名による条件指定

コンフィグに指定されたホスト名(FQDN)について、DNSを利用してIPアドレスを解決し、フィルタ適用条件とします。
  • 設定が反映されると名前解決を行いDNSレコードを保持します。また、DNSレコードのTTLに従ってリロードします。
  • DNSレコードが複数のIPアドレスを含む場合は、キーと同じアドレスファミリー(IPv4またはIPv6)のものが全て適用条件となります。
  • 名前解決のたびに異なるIPアドレスが得られるFQDNに対しては有効に働きません。本装置の名前解決結果とクライアント端末での結果が異なる可能性があります。
  • "filter."で始まるキーに対し、合計64個までのユニークなFQDNを設定できます。
  • ワイルドカード形式での指定はできません。

名前解決に失敗した場合の動作

名前解決が失敗した場合は所定時間の経過後に再試行します。成功するまでの間は当該FQDNが設定されたフィルタルールは機能しません。

4. 名前解決の再試行間隔
条件 試行間隔
DNS応答がNXDOMAIN、NODATA、REFUSEDのいずれかであり、TTLが含まれる場合 TTLに従う
DNS応答にTTLが存在しない場合 300秒
DNS応答に含まれるTTLが異常な値(負の数)だった場合 900秒
DNS応答がSERVFAILまたは得られなかった場合 300秒

ホスト監視連動

ターゲットホストの死活状況を監視し、応答状況とフィルタルールの有効性を連動させることができます。

  • 監視ダウンと判定するとフィルタルールを無効化します。
  • 監視アップと判定するとフィルタルールを有効化します。
  • 監視パケットの送信元IPアドレスに監視パケットを送出するインタフェースのIPアドレスを使用します。
5. 監視仕様
項目
監視対象 IPv4アドレス
監視パケット ICMPエコーリクエスト
監視タイムアウト 1秒
ダウン判定 連続3回の監視タイムアウト
アップ判定 1回のリプライ受信
リプライ受信後の監視パケット送信間隔 30秒
監視タイムアウト後のパケット送信間隔 5秒
初期状態 監視アップ(フィルタ有効)
注:
フィルタ設定において、複数の監視設定に同一の監視対象が設定されている場合は監視パケットの送信を集約します。

ログ出力の制御

フィルタルールごとに、パケットがマッチした際のログへの出力の有無を制御可能です。

ログメッセージには、フィルタルールに設定されたラベル文字列を含みます。

注:
一つのログ出力に要するシステムリソースは非常に小さなものですが、多量のトラフィックが想定される環境においてマッチする頻度の高いルールのログ出力が有効な状態で運用すると、処理パフォーマンスに影響する可能性があります。

フィルタルールの適用優先順位

フィルタには評価順位があり、最初にマッチした一つのフィルタのルールに従い処理します。

処理順位は、コンフィグ記述上のインデックス番号の若い順(昇順)に評価します。動的フィルタにより生成される一時フィルタを含めた内部的な 状態は、ステータス参照コマンドで参照できます。

フィルタルールの設定反映

コンフィグの再読込の際にフィルタルールの変更があった場合でも、適用処理過程で一時的にフィルタ処理が全体的に無効になることはありません。

フィルタ処理順序

入力方向
  1. NAT/NAPT
  2. IPパケットフィルタ
  3. ポリシールーティング
出力方向
  1. ポリシールーティング
  2. IPパケットフィルタ
  3. NAT/NAPT
注:

IPパケットフィルタによってパケットの入出力をブロックする必要がある場合は、条件が重複するポリシールーティングを設定しないでください。

IPパケットフィルタのブロック対象となるパケットであっても、ポリシールーティングのルールにマッチするパケットは、ポリシールーティングによって転送されます。

  • IPパケットフィルタとポリシールーティングの両方にマッチし得るパケットは、両方評価したうえでポリシールーティングによる転送が働きます。
    • 入力されたパケットは、IPパケットフィルタのパスまたはブロック条件にマッチした場合でも、続いてポリシールーティングを評価し、マッチすると受信し転送されます。
    • 出力するパケットは、ポリシールーティングの条件にマッチした場合は、続いてIPパケットフィルタの条件も評価しますが、パス・ブロックの結果によらず転送されます。

ブリッジフィルタ

IP転送の対象外となるブリッジに所属するインタフェース間のIPv4/IPv6通信に適用可能なパケットフィルタリング機能です。

6. 仕様概要
項目
IPv4ブリッジフィルタの設定上限 2048
IPv6ブリッジフィルタの設定上限 2048
7. デフォルトの動作状態
機能 状態 備考
ブリッジフィルタ 無効 全てのパケットをパス

機能概要

ブリッジフィルタは次のパケットには適用されません。
  • 本装置のIPアドレスが送信元・送信先となるパケット
  • 経路制御によるIP転送の対象となるパケット(ブリッジ内とブリッジ外とで送受信するパケット)
  • GE1インタフェースのスイッチポート間で転送されるパケット(ge1p0 と ge1p1 間など)
プリッジに所属するインタフェース間のブリッジ転送パケットのみに適用される点を除き、フィルタリング条件やパス・ブロック動作はIPパケットフィルタに準じます。