[index] CentreCOM 8724XL/8748XL コマンドリファレンス 2.7
カテゴリー:IPv6 / IPv6フィルター
備考:フィーチャーライセンス AT-FL-13 が必要
ADD IPV6 FILTER=filter-id SOURCE=ip6add/plen ACTION={INCLUDE|EXCLUDE} [SPORT={port-name|[port]:[port]|ANY}] [DESTINATION=ip6add/plen] [DPORT={port-name|[port]:[port]|ANY}] [ICMPCODE={icmp-code-name|icmp-code-id|ANY}] [ICMPTYPE={icmp-type-name|icmp-type-id|ANY}] [LOG={4..1950|DUMP|HEADER|NONE}] [OPTIONS={YES|NO}] [PROTOCOL={protocol|ANY|ICMP|OSPF|TCP|UDP}] [SESSION={ANY|ESTABLISHED|START}] [SIZE={size|ANY}] [ENTRY=entry-id]
filter-id: フィルター番号(0〜99)
ip6add: IPv6アドレス
plen: プレフィックス長(0〜128ビット)
port-name: サービス名
port: TCP/UDPポート番号(0〜65535)
icmp-code-name: ICMPコード名
icmp-code-id: ICMPコード番号(0〜65535)
icmp-type-name: ICMPメッセージ名
icmp-type-id: ICMPメッセージ番号(0〜65535)
protocol: IPv6プロトコル番号(0〜65535)
size: データグラム長(0〜65535バイト)
entry-id: エントリー番号(1〜)
IPv6フィルターにフィルタールールを追加する。
IPv6フィルターは、受信インターフェースにおいてパケットを許可・破棄する機能。
各IPv6インターフェースには、フィルターを1つだけ適用できる。同じフィルターを複数のインターフェースに適用することも可能。IPv6フィルターは、インターフェースに適用して初めて効果を発揮する。インターフェースへの適用は、ADD IP INTERFACEコマンド、SET IP INTERFACEコマンドで行う。
| パラメーター |
FILTER: フィルター番号(0〜99)。100〜299も入力できるが使用できないので注意。
SOURCE: 始点IPv6アドレス。アドレス/プレフィックス長の形式で指定する。必須パラメーター。
ACTION: マッチしたパケットに対する処理。INCLUDEはパケットを通過させる。EXCLUDEはパケットを破棄する。
SPORT: 始点TCP/UDPポートあるいは定義済みのサービス名。ポート指定時はPROTOCOLにTCPかUDPを指定する必要がある。low:highの形式でlow〜highの範囲指定も可能。「low:」はlow〜65535の意味、「:high」は0〜highの意味になる。デフォルトはANY
DESTINATION: 終点IPv6アドレス。アドレス/プレフィックス長の形式で指定する。省略時はすべての終点アドレスにマッチする
DPORT: 終点TCP/UDPポートあるいは定義済みのサービス名。ポート指定時はPROTOCOLにTCPかUDPを指定する必要がある。low:highの形式でlow〜highの範囲指定も可能。「low:」はlow〜65535の意味、「:high」は0〜highの意味になる。デフォルトはANY
ICMPCODE: ICMPv6コード番号または定義済みのコード名。ANYはすべてのコードを示す。PROTOCOL=ICMPの場合のみ有効。ICMPTYPEを指定した場合は必須。
ICMPTYPE: ICMPv6メッセージ番号または定義済みのメッセージ名。PROTOCOL=ICMPの場合のみ有効。ICMPCODEも指定すること。
LOG: フィルタールールにマッチしたパケットの情報をログに記録するかどうか。記録する場合はどの情報を記録するかも指定する。デフォルトのNONEは、ログに記録しないことを意味する。4〜1950の数値を指定した場合は、フィルター番号、ルール番号、IPヘッダー情報(IPアドレス、プロトコル、ポート番号、サイズ)が「IPFIL/PASS」(INCLUDEアクションの場合)または「IPFIL/FAIL」(EXCLUDEアクションの場合)タイプのメッセージとして記録される。これに加え、「IPFIL/DUMP」タイプのメッセージとして、TCP、UDP、ICMPの場合、データ部分の先頭4〜1600バイトが、その他プロトコルの場合はIPデータの先頭4〜1600バイトが記録される。DUMPはLOG=40と同じ動作となる。HEADERを指定した場合は、フィルター番号、ルール番号、IPヘッダー情報のみが記録される。
OPTIONS: オプションヘッダー(Hop-by-Hop Options HeaderまたはDestination Options Header)が含まれているかどうか。YESを指定した場合は、オプションヘッダーを含むパケットだけにマッチする。デフォルトはNO。
PROTOCOL: IPv6プロトコル番号(IPv4と同じ)または定義済みのプロトコル名を指定する。DPORT、SPORTを指定するときは、TCP、UDP、ANYのいずれかを指定する必要がある。また、ICMPCODE、ICMPTYPE指定時は、ICMPを指定する。
SESSION: TCPのセッション制御情報。ANYはすべてのTCPパケット、STARTは接続開始パケット(SYN=1、ACK=0)、ESTABLISHEDは接続済みパケット(ACK=1)を意味する。
SIZE: データグラムサイズ。payload length <= sizeのときにマッチする。デフォルトはANY。
ENTRY: エントリー番号。省略時は現在最後尾のエントリーの後に追加される(最後尾のエントリー番号を「n」とすると、新規エントリーは「n+1」になる)。「n+1」より大きなエントリー番号を指定した場合は、指定した番号で追加される。既存エントリーと同じ番号を指定した場合は、既存エントリーの位置に新規エントリーが挿入され、既存エントリー以降は番号が1つずつ後ろにずれる。
| BOOTPC | BOOTPクライアント(68/udp) |
| BOOTPS | BOOTPサーバー(67/udp) |
| DOMAIN | DNSサーバー(53/tcp、53/udp) |
| FINGER | Finger(79/tcp) |
| FTP | FTPコントロールセッション(21/tcp) |
| FTPDATA | FTPデータセッション(20/tcp) |
| GOPHER | Gopher(70/tcp) |
| HOSTNAME | NIC Host Name Server(101/tcp、101/udp) |
| IPX | IPX(213/tcp、213/udp) |
| KERBEROS | Kerberos(88/udp) |
| LOGIN | Login(49/udp) |
| MSGICP | MSG ICP(29/tcp、29/udp) |
| NAMESERVER | Host Name Server(42/udp) |
| NEWS | NewS(144/tcp) |
| NNTP | NNTPサーバー(119/tcp) |
| NTP | NTPサーバー(123/tcp) |
| RTELNET | Remote Telnet(107/tcp、107/udp) |
| SFTP | Simple FTP(115/tcp、115/udp) |
| SMTP | SMTPサーバー(25/tcp) |
| SNMP | SNMP(161/udp) |
| SNMPTRAP | SNMPトラップ(162/udp) |
| SYSTAT | Active Users(11/tcp) |
| TELNET | Telnet(23/tcp) |
| TFTP | TFTP(69/udp) |
| TIME | Time(37/tcp、37/udp) |
| UUCP | uucpd(540/tcp) |
| UUCPRLOGIN | uucp-rlogin(541/tcp、541/udp) |
| XNSTIME | XNS Time Protocol(52/tcp、52/udp) |
| DESTUNREACH | 1 | あり | 宛先到達不可能(Destination Unreachable) |
| PKTTOOBIG | 2 | あり | パケットサイズ過大(Packet Too Big) |
| TIMEEXCEEDED | 3 | あり | 時間超過(Time Exceeded) |
| PARAMPROB | 4 | あり | パラメーター異常(Parameter Problem) |
| ECHORQ | 128 | なし | エコー要求(Echo Request) |
| ECHORP | 129 | なし | エコー応答(Echo Reply) |
| MLQUERY | 130 | なし | マルチキャストリスナークエリー(Multicast Listener Query) |
| MLREP | 131 | なし | マルチキャストリスナーレポート(Multicast Listener Report) |
| MLDONE | 132 | なし | マルチキャストリスナーDone(Multicast Listener Done) |
| RTSOLICIT | 133 | なし | ルーター要請(Router Solicitation) |
| RTADVERT | 134 | なし | ルーター通知(Router Advertisement) |
| NBRSOLICIT | 135 | なし | 近隣要請(Neighbour Solicitation) |
| NBRADVERT | 136 | なし | 近隣通知(Neighbour Advertisement) |
| REDIRECT | 137 | なし | リダイレクト(Redirect) |
| RTRENUMBER | 138 | なし | ルーターリナンバー(Router Renumbering) |
| ANY | すべて |
| ANY | すべて | |
| NOROUTETODEST | 0 | 宛先への経路が存在しない(No Route To Destination) |
| COMMSPROHIBITED | 1 | 通信拒否(Communication Prohibited) |
| SCOPEMISMATCH | 2 | スコープ不一致(Scope Mismatch) |
| ADDRUNREACHABLE | 3 | アドレス到達不能(Address Unreachable) |
| PORTUNREACHABLE | 4 | ポート到達不能(Port Unreachable) |
| HOPLIMITEXCD | 0 | ホップ数超過(Hoplimit Exceeded) |
| REASMBTIMEEXC | 1 | 再構成時間超過(Reassembly Time Exceeded) |
| ERRONEOUSHEADER | 0 | ヘッダーエラー(Erroneous Header Field) |
| URCNXTHEADER | 1 | 次ヘッダーエラー(Unrecognized Next Header) |
| URCOPTION | 2 | オプションエラー(Unrecognized Option) |
| 例 |
■ VLAN orange側(プレフィックス3ffe:b80:3c:10::/64)から外部へのTelnetを禁止する。
ADD IPV6 FILTER=0 SO=3ffe:b80:3c:10::/64 PROTO=TCP DPORT=TELNET AC=EXCLUDE
ADD IPV6 FILTER=0 SO=::/0 AC=INCLUDE
SET IPV6 INT=vlan-orange FILTER=0
| 関連コマンド |
ADD IPV6 INTERFACE
DELETE IPV6 FILTER
SET IPV6 FILTER
SET IPV6 INTERFACE
SHOW IPV6 FILTER
| 参考 |
RFC2460, Internet Protocol, Version 6 (IPv6) Specification
RFC2461, Neighbor Discovery for IP Version 6 (IPv6)
RFC2462, IPv6 Stateless Address Autoconfiguration
RFC2463, Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification
RFC2710, Multicast Listener Discovery (MLD) for IPv6
RFC2711, IPv6 Router Alert Option
RFC2894, Router Renumbering for IPv6
(C) 2002 - 2006 アライドテレシスホールディングス株式会社
PN: J613-M6920-01 Rev.G