[index] CentreCOM 8724XL/8748XL コマンドリファレンス 2.7

ADD IPV6 FILTER

カテゴリー:IPv6 / IPv6フィルター
備考:フィーチャーライセンス AT-FL-13 が必要


ADD IPV6 FILTER=filter-id SOURCE=ip6add/plen ACTION={INCLUDE|EXCLUDE} [SPORT={port-name|[port]:[port]|ANY}] [DESTINATION=ip6add/plen] [DPORT={port-name|[port]:[port]|ANY}] [ICMPCODE={icmp-code-name|icmp-code-id|ANY}] [ICMPTYPE={icmp-type-name|icmp-type-id|ANY}] [LOG={4..1950|DUMP|HEADER|NONE}] [OPTIONS={YES|NO}] [PROTOCOL={protocol|ANY|ICMP|OSPF|TCP|UDP}] [SESSION={ANY|ESTABLISHED|START}] [SIZE={size|ANY}] [ENTRY=entry-id]

filter-id: フィルター番号(0〜99)
ip6add: IPv6アドレス
plen: プレフィックス長(0〜128ビット)
port-name: サービス名
port: TCP/UDPポート番号(0〜65535)
icmp-code-name: ICMPコード名
icmp-code-id: ICMPコード番号(0〜65535)
icmp-type-name: ICMPメッセージ名
icmp-type-id: ICMPメッセージ番号(0〜65535)
protocol: IPv6プロトコル番号(0〜65535)
size: データグラム長(0〜65535バイト)
entry-id: エントリー番号(1〜)


IPv6フィルターにフィルタールールを追加する。

IPv6フィルターは、受信インターフェースにおいてパケットを許可・破棄する機能。

各IPv6インターフェースには、フィルターを1つだけ適用できる。同じフィルターを複数のインターフェースに適用することも可能。IPv6フィルターは、インターフェースに適用して初めて効果を発揮する。インターフェースへの適用は、ADD IP INTERFACEコマンド、SET IP INTERFACEコマンドで行う。



パラメーター

FILTER: フィルター番号(0〜99)。100〜299も入力できるが使用できないので注意。

SOURCE: 始点IPv6アドレス。アドレス/プレフィックス長の形式で指定する。必須パラメーター。

ACTION: マッチしたパケットに対する処理。INCLUDEはパケットを通過させる。EXCLUDEはパケットを破棄する。

SPORT: 始点TCP/UDPポートあるいは定義済みのサービス名。ポート指定時はPROTOCOLにTCPかUDPを指定する必要がある。low:highの形式でlow〜highの範囲指定も可能。「low:」はlow〜65535の意味、「:high」は0〜highの意味になる。デフォルトはANY

DESTINATION: 終点IPv6アドレス。アドレス/プレフィックス長の形式で指定する。省略時はすべての終点アドレスにマッチする

DPORT: 終点TCP/UDPポートあるいは定義済みのサービス名。ポート指定時はPROTOCOLにTCPかUDPを指定する必要がある。low:highの形式でlow〜highの範囲指定も可能。「low:」はlow〜65535の意味、「:high」は0〜highの意味になる。デフォルトはANY

ICMPCODE: ICMPv6コード番号または定義済みのコード名。ANYはすべてのコードを示す。PROTOCOL=ICMPの場合のみ有効。ICMPTYPEを指定した場合は必須。

ICMPTYPE: ICMPv6メッセージ番号または定義済みのメッセージ名。PROTOCOL=ICMPの場合のみ有効。ICMPCODEも指定すること。

LOG: フィルタールールにマッチしたパケットの情報をログに記録するかどうか。記録する場合はどの情報を記録するかも指定する。デフォルトのNONEは、ログに記録しないことを意味する。4〜1950の数値を指定した場合は、フィルター番号、ルール番号、IPヘッダー情報(IPアドレス、プロトコル、ポート番号、サイズ)が「IPFIL/PASS」(INCLUDEアクションの場合)または「IPFIL/FAIL」(EXCLUDEアクションの場合)タイプのメッセージとして記録される。これに加え、「IPFIL/DUMP」タイプのメッセージとして、TCP、UDP、ICMPの場合、データ部分の先頭4〜1600バイトが、その他プロトコルの場合はIPデータの先頭4〜1600バイトが記録される。DUMPはLOG=40と同じ動作となる。HEADERを指定した場合は、フィルター番号、ルール番号、IPヘッダー情報のみが記録される。

OPTIONS: オプションヘッダー(Hop-by-Hop Options HeaderまたはDestination Options Header)が含まれているかどうか。YESを指定した場合は、オプションヘッダーを含むパケットだけにマッチする。デフォルトはNO。

PROTOCOL: IPv6プロトコル番号(IPv4と同じ)または定義済みのプロトコル名を指定する。DPORT、SPORTを指定するときは、TCP、UDP、ANYのいずれかを指定する必要がある。また、ICMPCODE、ICMPTYPE指定時は、ICMPを指定する。

SESSION: TCPのセッション制御情報。ANYはすべてのTCPパケット、STARTは接続開始パケット(SYN=1、ACK=0)、ESTABLISHEDは接続済みパケット(ACK=1)を意味する。

SIZE: データグラムサイズ。payload length <= sizeのときにマッチする。デフォルトはANY。

ENTRY: エントリー番号。省略時は現在最後尾のエントリーの後に追加される(最後尾のエントリー番号を「n」とすると、新規エントリーは「n+1」になる)。「n+1」より大きなエントリー番号を指定した場合は、指定した番号で追加される。既存エントリーと同じ番号を指定した場合は、既存エントリーの位置に新規エントリーが挿入され、既存エントリー以降は番号が1つずつ後ろにずれる。



表 1:定義済みのサービス名一覧
サービス名
該当サービス/アプリケーション(ポート/プロトコル)
BOOTPC BOOTPクライアント(68/udp)
BOOTPS BOOTPサーバー(67/udp)
DOMAIN DNSサーバー(53/tcp、53/udp)
FINGER Finger(79/tcp)
FTP FTPコントロールセッション(21/tcp)
FTPDATA FTPデータセッション(20/tcp)
GOPHER Gopher(70/tcp)
HOSTNAME NIC Host Name Server(101/tcp、101/udp)
IPX IPX(213/tcp、213/udp)
KERBEROS Kerberos(88/udp)
LOGIN Login(49/udp)
MSGICP MSG ICP(29/tcp、29/udp)
NAMESERVER Host Name Server(42/udp)
NEWS NewS(144/tcp)
NNTP NNTPサーバー(119/tcp)
NTP NTPサーバー(123/tcp)
RTELNET Remote Telnet(107/tcp、107/udp)
SFTP Simple FTP(115/tcp、115/udp)
SMTP SMTPサーバー(25/tcp)
SNMP SNMP(161/udp)
SNMPTRAP SNMPトラップ(162/udp)
SYSTAT Active Users(11/tcp)
TELNET Telnet(23/tcp)
TFTP TFTP(69/udp)
TIME Time(37/tcp、37/udp)
UUCP uucpd(540/tcp)
UUCPRLOGIN uucp-rlogin(541/tcp、541/udp)
XNSTIME XNS Time Protocol(52/tcp、52/udp)

表 2:定義済みのICMPv6メッセージタイプ名一覧
メッセージタイプ名
タイプ番号
サブコード
説明
DESTUNREACH 1 あり 宛先到達不可能(Destination Unreachable)
PKTTOOBIG 2 あり パケットサイズ過大(Packet Too Big)
TIMEEXCEEDED 3 あり 時間超過(Time Exceeded)
PARAMPROB 4 あり パラメーター異常(Parameter Problem)
ECHORQ 128 なし エコー要求(Echo Request)
ECHORP 129 なし エコー応答(Echo Reply)
MLQUERY 130 なし マルチキャストリスナークエリー(Multicast Listener Query)
MLREP 131 なし マルチキャストリスナーレポート(Multicast Listener Report)
MLDONE 132 なし マルチキャストリスナーDone(Multicast Listener Done)
RTSOLICIT 133 なし ルーター要請(Router Solicitation)
RTADVERT 134 なし ルーター通知(Router Advertisement)
NBRSOLICIT 135 なし 近隣要請(Neighbour Solicitation)
NBRADVERT 136 なし 近隣通知(Neighbour Advertisement)
REDIRECT 137 なし リダイレクト(Redirect)
RTRENUMBER 138 なし ルーターリナンバー(Router Renumbering)
ANY     すべて

表 3:定義済みのICMPv6コード名一覧
コード名
コード番号
説明
ANY   すべて
DESTUNREACH(Type=1)
NOROUTETODEST 0 宛先への経路が存在しない(No Route To Destination)
COMMSPROHIBITED 1 通信拒否(Communication Prohibited)
SCOPEMISMATCH 2 スコープ不一致(Scope Mismatch)
ADDRUNREACHABLE 3 アドレス到達不能(Address Unreachable)
PORTUNREACHABLE 4 ポート到達不能(Port Unreachable)
TIMEEXCEEDED(Type=3)
HOPLIMITEXCD 0 ホップ数超過(Hoplimit Exceeded)
REASMBTIMEEXC 1 再構成時間超過(Reassembly Time Exceeded)
PARAMPROB(Type=4)
ERRONEOUSHEADER 0 ヘッダーエラー(Erroneous Header Field)
URCNXTHEADER 1 次ヘッダーエラー(Unrecognized Next Header)
URCOPTION 2 オプションエラー(Unrecognized Option)



VLAN orange側(プレフィックス3ffe:b80:3c:10::/64)から外部へのTelnetを禁止する。
ADD IPV6 FILTER=0 SO=3ffe:b80:3c:10::/64 PROTO=TCP DPORT=TELNET AC=EXCLUDE
ADD IPV6 FILTER=0 SO=::/0 AC=INCLUDE
SET IPV6 INT=vlan-orange FILTER=0



関連コマンド

ADD IPV6 INTERFACE
DELETE IPV6 FILTER
SET IPV6 FILTER
SET IPV6 INTERFACE
SHOW IPV6 FILTER



参考

RFC2460, Internet Protocol, Version 6 (IPv6) Specification
RFC2461, Neighbor Discovery for IP Version 6 (IPv6)
RFC2462, IPv6 Stateless Address Autoconfiguration
RFC2463, Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification
RFC2710, Multicast Listener Discovery (MLD) for IPv6
RFC2711, IPv6 Router Alert Option
RFC2894, Router Renumbering for IPv6


(C) 2002 - 2006 アライドテレシスホールディングス株式会社

PN: J613-M6920-01 Rev.G