IPパケットフィルタ
IPv4/IPv6通信に適用可能なパケットフィルタリング機能です。送受信パケットの持つ各種情報に基づくマッチ条件と処理方法を指定するフィルタルールに従ってパケットを処理します。
項目 | 値 |
---|---|
IPv4パケットフィルタの設定上限 | 2048 |
IPv6パケットフィルタの設定上限 | 2048 |
機能 | IPv4 | IPv6 | 備考 |
---|---|---|---|
IPパケットフィルタ | ○ | ○ |
機能 | 状態 | 備考 |
---|---|---|
IPパケットフィルタ | 無効 | 全てのパケットをパス |
フィルタルールのマッチ条件
任意のパラメータの組み合わせでパケットのマッチ条件を指定でき、条件にすべてマッチすると、指定の処理内容に従い処理します。
- インタフェース
- 通信の方向
- プロトコル
- 送受信ポート番号
- 送受信アドレス
- 送受信ホスト名
- ICMP Type
- IP Header Option (IPv4)
- Extension Header (IPv6)
パケットの処理内容
- パス(pass)
- ルールにマッチしたパケットについて、フィルタ処理を通過させます。
- ブロック(block)
- ルールにマッチしたパケットを破棄します。
- フィルタルールにマッチしない場合のデフォルト処理はパスです。暗黙のブロックルールはありません。
ホスト名による条件指定
- 設定が反映されると名前解決を行いDNSレコードを保持します。また、DNSレコードのTTLに従ってリロードします。
- DNSレコードが複数のIPアドレスを含む場合は、キーと同じアドレスファミリー(IPv4またはIPv6)のものが全て適用条件となります。
- 名前解決のたびに異なるIPアドレスが得られるFQDNに対しては有効に働きません。本装置の名前解決結果とクライアント端末での結果が異なる可能性があります。
- "filter."で始まるキーに対し、合計64個までのユニークなFQDNを設定できます。
- ワイルドカード形式での指定はできません。
名前解決に失敗した場合の動作
名前解決が失敗した場合は所定時間の経過後に再試行します。成功するまでの間は当該FQDNが設定されたフィルタルールは機能しません。
条件 | 試行間隔 |
---|---|
DNS応答がNXDOMAIN、NODATA、REFUSEDのいずれかであり、TTLが含まれる場合 | TTLに従う |
DNS応答にTTLが存在しない場合 | 300秒 |
DNS応答に含まれるTTLが異常な値(負の数)だった場合 | 900秒 |
DNS応答がSERVFAILまたは得られなかった場合 | 300秒 |
ホスト監視連動
ターゲットホストの死活状況を監視し、応答状況とフィルタルールの有効性を連動させることができます。
- 監視ダウンと判定するとフィルタルールを無効化します。
- 監視アップと判定するとフィルタルールを有効化します。
- 監視パケットの送信元IPアドレスに監視パケットを送出するインタフェースのIPアドレスを使用します。
項目 | 値 |
---|---|
監視対象 | IPv4アドレス |
監視パケット | ICMPエコーリクエスト |
監視タイムアウト | 1秒 |
ダウン判定 | 連続3回の監視タイムアウト |
アップ判定 | 1回のリプライ受信 |
リプライ受信後の監視パケット送信間隔 | 30秒 |
監視タイムアウト後のパケット送信間隔 | 5秒 |
初期状態 | 監視アップ(フィルタ有効) |
ログ出力の制御
フィルタルールごとに、パケットがマッチした際のログへの出力の有無を制御可能です。
ログメッセージには、フィルタルールに設定されたラベル文字列を含みます。
フィルタルールの適用優先順位
フィルタには評価順位があり、最初にマッチした一つのフィルタのルールに従い処理します。
処理順位は、コンフィグ記述上のインデックス番号の若い順(昇順)に評価します。動的フィルタにより生成される一時フィルタを含めた内部的な 状態は、ステータス参照コマンドで参照できます。
フィルタルールの設定反映
コンフィグの再読込の際にフィルタルールの変更があった場合でも、適用処理過程で一時的にフィルタ処理が全体的に無効になることはありません。
フィルタ処理順序
- 入力方向
-
- NAT/NAPT
- IPパケットフィルタ
- ポリシールーティング
- 出力方向
-
- ポリシールーティング
- IPパケットフィルタ
- NAT/NAPT
IPパケットフィルタによってパケットの入出力をブロックする必要がある場合は、条件が重複するポリシールーティングを設定しないでください。
IPパケットフィルタのブロック対象となるパケットであっても、ポリシールーティングのルールにマッチするパケットは、ポリシールーティングによって転送されます。
- IPパケットフィルタとポリシールーティングの両方にマッチし得るパケットは、両方評価したうえでポリシールーティングによる転送が働きます。
- 入力されたパケットは、IPパケットフィルタのパスまたはブロック条件にマッチした場合でも、続いてポリシールーティングを評価し、マッチすると受信し転送されます。
- 出力するパケットは、ポリシールーティングの条件にマッチした場合は、続いてIPパケットフィルタの条件も評価しますが、パス・ブロックの結果によらず転送されます。
ブリッジフィルタ
IP転送の対象外となるブリッジに所属するインタフェース間のIPv4/IPv6通信に適用可能なパケットフィルタリング機能です。
項目 | 値 |
---|---|
IPv4ブリッジフィルタの設定上限 | 2048 |
IPv6ブリッジフィルタの設定上限 | 2048 |
機能 | 状態 | 備考 |
---|---|---|
ブリッジフィルタ | 無効 | 全てのパケットをパス |
機能概要
- 本装置のIPアドレスが送信元・送信先となるパケット
- 経路制御によるIP転送の対象となるパケット(ブリッジ内とブリッジ外とで送受信するパケット)
- GE1インタフェースのスイッチポート間で転送されるパケット(ge1p0 と ge1p1 間など)