[index] CentreCOM AR450S コマンドリファレンス 2.9
カテゴリー:IPv6 / IPv6フィルター
ADD IPV6 FILTER=filter-id SOURCE=ip6add{/plen| SPLEN=plen} {ACTION={INCLUDE|EXCLUDE}|PRIORITY=P0..P7} [SPORT={port-name|[port]:[port]|ANY}] [DESTINATION=ip6add{/plen| DPLEN=plen}] [DPORT={port-name|[port]:[port]|ANY}] [ICMPCODE={icmp-code-name|icmp-code-id|ANY}] [ICMPTYPE={icmp-type-name|icmp-type-id|ANY}] [LOG={4..1950|DUMP|HEADER|NONE}] [OPTIONS={YES|NO}] [PROTOCOL={protocol|ANY|ICMP|OSPF|TCP|UDP}] [SESSION={ANY|ESTABLISHED|START}] [SIZE={size|ANY}] [ENTRY=entry-id]
filter-id: フィルター番号(0〜299)
ip6add: IPv6アドレス
plen: プレフィックス長(0〜128ビット)
port-name: サービス名
port: TCP/UDPポート番号(0〜65535)
icmp-code-name: ICMPコード名
icmp-code-id: ICMPコード番号(0〜65535)
icmp-type-name: ICMPメッセージ名
icmp-type-id: ICMPメッセージ番号(0〜65535)
protocol: IPv6プロトコル番号(0〜65535)
size: データグラム長
entry-id: エントリー番号(1〜)
IPv6フィルターにフィルタールールを追加する。
IPv6フィルターには、受信パケットを許可・破棄するトラフィックフィルター(ACTIONパラメーターで動作を指定)と、送信パケットに優先度を与え、出力順序に影響を与えるプライオリティーフィルター(PRIORITYパラメーターで動作を指定)の2種類がある。
各IPv6インターフェースには、トラフィックフィルターとプライオリティーフィルターをそれぞれ1つずつ適用できる。同じフィルターを複数のインターフェースに適用することも可能。これらのフィルターは、インターフェースに適用して初めて効果を発揮する。トラフィックフィルターは受信インターフェースに、プライオリティーフィルターは送信インターフェースに適用する。インターフェースへの適用は、ADD IP INTERFACEコマンド、SET IP INTERFACEコマンドで行う。
トラフィックフィルターとプライオリティーフィルターは、動作指定が異なるだけでパケットを選別するパラメーターは共通。
| パラメーター |
FILTER: フィルター番号。0〜99はトラフィックフィルター、200〜299はプライオリティーフィルター用。100〜199は欠番で使用できない。
SOURCE: 始点IPv6アドレス。別途、先頭何ビットを比較対象とするか(プレフィックス長)を指定すること。プレフィックス長は、アドレスの後にスラッシュ区切りで指定するか(例:3ffe:1234::/48)、SPLENパラメーターで指定する。必須パラメーター。
SPLEN: 始点IPv6アドレスに対するプレフィックス長。SOURCEパラメーターでプレフィックス長を指定した場合は不要。
ACTION: トラフィックフィルター(フィルター番号0〜99)の動作を指定する。INCLUDEはマッチしたパケットを通過させる。EXCLUDEはマッチしたパケットを破棄する。PRIORITYとは同時に指定できない。
PRIORITY: プライオリティーフィルター(フィルター番号200〜299)において、マッチしたパケットを出力するときの優先度をP0(最高)〜P7(最低)で指定する。ACTIONとは同時に指定できない。
SPORT: 始点TCP/UDPポートあるいは定義済みのサービス名。ポート指定時はPROTOCOLにTCPかUDPを指定する必要がある。low:highの形式でlow〜highの範囲指定も可能。「low:」はlow〜65535の意味、「:high」は0〜highの意味になる。デフォルトはANY
DESTINATION: 終点IPv6アドレス。先頭何ビットを比較対象とするかを示すためにプレフィックス長を指定することもできる。プレフィックス長は、アドレスの後にスラッシュ区切りで指定するか、DPLENパラメーターで指定する。省略時はすべての終点アドレスにマッチする。
DPLEN: 終点IPv6アドレスに対するプレフィックス長。終点アドレスの先頭何ビットをDESTINATIONと比較すべきかを示す。省略時は128ビット(ホストアドレス)。
DPORT: 終点TCP/UDPポートあるいは定義済みのサービス名。ポート指定時はPROTOCOLにTCPかUDPを指定する必要がある。low:highの形式でlow〜highの範囲指定も可能。「low:」はlow〜65535の意味、「:high」は0〜highの意味になる。デフォルトはANY
ICMPCODE: ICMPv6コード番号または定義済みのコード名。ANYはすべてのコードを示す。PROTOCOL=ICMPの場合のみ有効。ICMPTYPEを指定した場合は必須。
ICMPTYPE: ICMPv6メッセージ番号または定義済みのメッセージ名。PROTOCOL=ICMPの場合のみ有効。ICMPCODEも指定すること。
LOG: フィルタールールにマッチしたパケットの情報をログに記録するかどうか、する場合はどの情報を記録するかを指定する。デフォルトのNONEは、ログに記録しないことを意味する。4〜1950の数値を指定した場合は、フィルター番号、ルール番号、IPヘッダー情報(IPアドレス、プロトコル、ポート番号、サイズ)が「IPFIL/PASS」(INCLUDEアクションの場合)または「IPFIL/FAIL」(EXCLUDEアクションの場合)タイプのメッセージとして記録される。これに加え、「IPFIL/DUMP」タイプのメッセージとして、TCP、UDP、ICMPの場合、データ部分の先頭4〜1600バイトが、その他プロトコルの場合はIPデータの先頭4〜1600バイトが記録される。DUMPはLOG=40と同じ動作となる。HEADERを指定した場合は、フィルター番号、ルール番号、IPヘッダー情報のみが記録される。
OPTIONS: 拡張ヘッダーによるオプションが含まれているかどうか。デフォルトはNO。
PROTOCOL: IPv6プロトコル番号(IPv4と同じ)または定義済みのプロトコル名を指定する。DPORT、SPORTを指定するときは、TCP、UDP、ANYのいずれかを指定する必要がある。また、ICMPCODE、ICMPTYPE指定時は、ICMPを指定する。
SESSION: TCPのセッション制御情報。ANYはすべてのTCPパケット、STARTは接続開始パケット(SYN=1、ACK=0)、ESTABLISHEDは接続済みパケット(ACK=1)を意味する。
SIZE: データグラムサイズ。payload length <= sizeのときにマッチする。デフォルトはANY。
ENTRY: エントリー番号。省略時は現在最後尾のエントリーの後に追加される(最後尾のエントリー番号を「n」とすると、新規エントリーは「n+1」になる)。「n+1」より大きなエントリー番号を指定した場合は、指定した番号で追加される。既存エントリーと同じ番号を指定した場合は、既存エントリーの位置に新規エントリーが挿入され、既存エントリー以降は番号が1つずつ後ろにずれる。
| BOOTPC | BOOTPクライアント(68/udp) |
| BOOTPS | BOOTPサーバー(67/udp) |
| DOMAIN | DNSサーバー(53/tcp、53/udp) |
| FINGER | Finger(79/tcp) |
| FTP | FTPコントロールセッション(21/tcp) |
| FTPDATA | FTPデータセッション(20/tcp) |
| GOPHER | Gopher(70/tcp) |
| HOSTNAME | NIC Host Name Server(101/tcp、101/udp) |
| IPX | IPX(213/tcp、213/udp) |
| KERBEROS | Kerberos(88/udp) |
| LOGIN | Login(49/udp) |
| MSGICP | MSG ICP(29/tcp、29/udp) |
| NAMESERVER | Host Name Server(42/udp) |
| NEWS | NewS(144/tcp) |
| NNTP | NNTPサーバー(119/tcp) |
| NTP | NTPサーバー(123/tcp) |
| RTELNET | Remote Telnet(107/tcp、107/udp) |
| SFTP | Simple FTP(115/tcp、115/udp) |
| SMTP | SMTPサーバー(25/tcp) |
| SNMP | SNMP(161/udp) |
| SNMPTRAP | SNMPトラップ(162/udp) |
| SYSTAT | Active Users(11/tcp) |
| TELNET | Telnet(23/tcp) |
| TFTP | TFTP(69/udp) |
| TIME | Time(37/tcp、37/udp) |
| UUCP | uucpd(540/tcp) |
| UUCPRLOGIN | uucp-rlogin(541/tcp、541/udp) |
| XNSTIME | XNS Time Protocol(52/tcp、52/udp) |
| DESTUNREACH | 1 | あり | 宛先到達不可能(Destination Unreachable) |
| PKTTOOBIG | 2 | あり | パケットサイズ過大(Packet Too Big) |
| TIMEEXCEEDED | 3 | あり | 時間超過(Time Exceeded) |
| PARAMPROB | 4 | あり | パラメーター異常(Parameter Problem) |
| ECHORQ | 128 | なし | エコー要求(Echo Request) |
| ECHORP | 129 | なし | エコー応答(Echo Reply) |
| MLQUERY | 130 | なし | マルチキャストリスナークエリー(Multicast Listener Query) |
| MLREP | 131 | なし | マルチキャストリスナーレポート(Multicast Listener Report) |
| MLDONE | 132 | なし | マルチキャストリスナーDone(Multicast Listener Done) |
| RTSOLICIT | 133 | なし | ルーター要請(Router Solicitation) |
| RTADVERT | 134 | なし | ルーター通知(Router Advertisement) |
| NBRSOLICIT | 135 | なし | 近隣要請(Neighbour Solicitation) |
| NBRADVERT | 136 | なし | 近隣通知(Neighbour Advertisement) |
| REDIRECT | 137 | なし | リダイレクト(Redirect) |
| RTRENUMBER | 138 | なし | ルーターリナンバー(Router Renumbering) |
| ANY | すべて |
| ANY | すべて | |
| NOROUTETODEST | 0 | 宛先への経路が存在しない(No Route To Destination) |
| COMMSPROHIBITED | 1 | 通信拒否(Communication Prohibited) |
| SCOPEMISMATCH | 2 | スコープ不一致(Scope Mismatch) |
| ADDRUNREACHABLE | 3 | アドレス到達不能(Address Unreachable) |
| PORTUNREACHABLE | 4 | ポート到達不能(Port Unreachable) |
| HOPLIMITEXCD | 0 | ホップ数超過(Hoplimit Exceeded) |
| REASMBTIMEEXC | 1 | 再構成時間超過(Reassembly Time Exceeded) |
| ERRONEOUSHEADER | 0 | ヘッダーエラー(Erronious Header Field) |
| URCNXTHEADER | 1 | 次ヘッダーエラー(Unrecognized Next Header) |
| URCOPTION | 2 | オプションエラー(Unrecognized Option) |
| 例 |
■ LAN(vlan1)側(プレフィックス3ffe:b80:3c:10::/64)から外部へのTelnetを禁止する。
ADD IPV6 FILTER=0 SO=3ffe:b80:3c:10::/64 PROTO=TCP DPORT=TELNET AC=EXCLUDE
ADD IPV6 FILTER=0 SO=::/0 AC=INCLUDE
SET IPV6 INT=vlan1 FILTER=0
| 備考・注意事項 |
送信パケットに対するポリシーフィルター(フィルター番号100〜199番)はない。
| 関連コマンド |
ADD IPV6 INTERFACE
DELETE IPV6 FILTER
SET IPV6 FILTER
SET IPV6 INTERFACE
SHOW IPV6 FILTER
| 参考 |
RFC2460, Internet Protocol, Version 6 (IPv6) Specification
RFC2461, Neighbor Discovery for IP Version 6 (IPv6)
RFC2462, IPv6 Stateless Address Autoconfiguration
RFC2463, Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification
RFC2710, Multicast Listener Discovery (MLD) for IPv6
RFC2711, IPv6 Router Alert Option
RFC2894, Router Renumbering for IPv6
(C) 2003 - 2009 アライドテレシスホールディングス株式会社
PN: J613-M3069-03 Rev.L