[index] CentreCOM AR450S コマンドリファレンス 2.9

SET IP FILTER

カテゴリー：IP / IPフィルター

SET IP FILTER=filter-id ENTRY=entry-id [{ACTION={INCLUDE|EXCLUDE}|POLICY=0..15|PRIORITY=P0..P7}] [SOURCE=ipadd] [SMASK=ipadd] [SPORT={port-name|[port]:[port]}] [DESTINATION=ipadd [DMASK=ipadd]] [DPORT={port-name|[port]:[port]}] [ICMPCODE={icmp-code-name|icmp-code-id}] [ICMPTYPE={icmp-type-name|icmp-type-id}] [LOG={4..1600|DUMP|HEADER|NONE}] [OPTIONS={YES|NO}] [PROTOCOL={protocol|ANY|ICMP|OSPF|TCP|UDP}] [SESSION={ANY|ESTABLISHED|START}] [SIZE=size]

filter-id: フィルター番号（0～999）
entry-id: エントリー番号（1～3071）
ipadd: IPアドレスまたはネットマスク
port-name: サービス名
port: TCP/UDPポート番号（0～65535）
icmp-code-name: ICMPコード名
icmp-code-id: ICMPコード番号（0～65535）
icmp-type-name: ICMPメッセージ名
icmp-type-id: ICMPメッセージ番号（0～65535）
protocol: IPプロトコル番号（0～255）
size: データグラム長

IPフィルターエントリー（ルール）の設定を変更する。（フィルターの種類の確認は、SHOW IP FILTERコマンドで行う。）

パラメーター

FILTER: フィルター番号。

ENTRY: エントリー番号。この番号は可変なので、必ずSHOW IP FILTERコマンドで確認してから指定すること（Ent.フィールド）。

ACTION: トラフィックフィルター（フィルター番号0～99）、プレフィックスフィルター（フィルター番号300～399）の動作を指定する。INCLUDEはマッチしたパケット、プレフィックスを通過させる。EXCLUDEはマッチしたパケット、プレフィックスを破棄する。POLICY、PRIORITYとは同時に指定できない

POLICY: ポリシーフィルター（フィルター番号100～199）において、マッチしたパケットに割り当てる経路選択ポリシー（サービスタイプ）を指定する。経路選択ポリシーの範囲は0～7だが、POLICYパラメーターには0～15の範囲を指定することができる。0～7を指定した場合は、指定値がそのまま経路選択ポリシー値となる。8～15を指定した場合は、経路選択ポリシーとして「POLICY - 8」を割り当て、さらに、パケットのTOSビット（D、T、R）を「POLICY - 8」に書き換える。詳細はADD IP FILTERコマンドの表を参照。経路表を検索するときは、本フィルターによって割り当てられた経路選択ポリシー値と経路エントリーのサービスタイプがつきあわされ、一致する経路が最優先で使用される。フィルターにマッチしなかったパケットの経路選択ポリシーは「0」。ACTION、PRIORITYとは同時に指定できない。

PRIORITY: プライオリティーフィルター（フィルター番号200～299）において、マッチしたパケットを出力するときの優先度をP0（最高）～P7（最低）で指定する。フィルターにマッチしなかった通常パケットの優先度は「P5」。ACTION、POLICYとは同時に指定できない。また、Eth/PPPoEインターフェースでこの機能が動作するのは、受信インターフェースの速度の合計より送信インターフェースの速度の合計が小さい場合。（例1）受信インターフェース：100Mbps×1、送信インターフェース：10Mbps×1。（例2）受信インターフェース：100Mbps×2、送信インターフェース：100Mbps×1。

SOURCE: 始点IPアドレスまたはネットワークプレフィックス。0.0.0.0はすべてのアドレスを意味する。

SMASK: SOURCEに対応するマスク値。SOURCEと組み合わせて、ホストアドレス/ネットワークアドレスの区別、または、プレフィックス長（プレフィックスフィルター）を指定する。SOURCEで指定したIPアドレスがネットワークアドレスなら適切な長さのネットマスクを、ホストアドレスなら255.255.255.255を指定する。また、SOURCEに0.0.0.0（ANY）を指定した場合は0.0.0.0を指定する（省略可）。

SPORT: 始点TCP/UDPポートあるいは定義済みのサービス名。本パラメーター指定時はPROTOCOLパラメーターにTCPかUDPを指定する必要がある。low:highの形式でlow～highの範囲指定も可能。「low:」はlow～65535の意味、「:high」は0～highの意味になる。デフォルトはANY（すべてのポート）。

DESTINATION: 終点IPアドレス。デフォルトは0.0.0.0（すべて）

DMASK: 終点IPアドレスに対応するマスク値。DESTINATIONと組み合わせてホストアドレスまたはネットワークアドレスを指定する。省略時は255.255.255.255（ホストマスク）とみなされる。

DPORT: 終点TCP/UDPポートあるいは定義済みのサービス名。本パラメーター指定時はPROTOCOLパラメーターにTCPかUDPを指定する必要がある。low:highの形式でlow～highの範囲指定も可能。「low:」はlow～65535の意味、「:high」は0～highの意味になる。デフォルトはANY（すべてのポート）。

ICMPCODE: ICMPコード番号または定義済みのコード名。PROTOCOL=ICMPの場合のみ有効

ICMPTYPE: ICMPメッセージ番号または定義済みのメッセージ名。PROTOCOL=ICMPの場合のみ有効

LOG: このエントリーにマッチしたパケットの情報をログに記録するかどうか、記録する場合はどの情報を記録するかを指定する。NONEはログに記録しないことを意味する。4～1600の数値を指定した場合は、フィルター番号、エントリー番号、IPヘッダー情報（IPアドレス、プロトコル、ポート番号、サイズ）が「IPFIL/PASS」（INCLUDEアクションの場合）または「IPFIL/FAIL」（EXCLUDEアクションの場合）タイプのメッセージとして記録される。これに加え、TCP、UDP、ICMPの場合はデータ部分の先頭4～1600バイトが、その他プロトコルの場合はIPデータの先頭4～1600バイトが、「IPFIL/DUMP」タイプのメッセージとして記録される。DUMPはLOG=32と同じ動作となる。HEADERを指定した場合は、フィルター番号、エントリー番号、IPヘッダー情報のみが記録される。デフォルトはNONE（記録しない）。

OPTIONS: パケットがIPオプション付きかどうか。

PROTOCOL: IPプロトコル番号または定義済みのプロトコル名。DPORT、SPORTを指定するときは、PROTOCOLにTCPかUDPを指定する必要がある。また、ICMPCODE、ICMPTYPE指定時はICMPを指定する。

SESSION: TCPのセッション制御情報。ANYはすべてのTCPパケット、STARTは接続開始パケット（SYN=1、ACK=0）、ESTABLISHEDは接続済みパケット（ACK=1）を意味する。

SIZE: 再構成後のデータグラムサイズ。パケット（フラグメント）ごとにlength + offset * 8 <= SIZEがチェックされ、真ならマッチし、偽ならマッチしない。lengthとoffsetは、それぞれIPヘッダーのLengthフィールドとFragment Offsetフィールドを示す。

参考

RFC768, User Datagram Protocol
RFC791, INTERNET PROTOCOL
RFC792, INTERNET CONTROL MESSAGE PROTOCOL
RFC793, TRANSMISSION CONTROL PROTOCOL
RFC950, Internet Standard Subnetting Procedure
RFC1771, A Border Gateway Protocol 4 (BGP-4)
RFC1772, Application of the Border Gateway Protocol in the Internet

PN: J613-M3069-03 Rev.L