[index] CentreCOM 8724XL/8748XL コマンドリファレンス 2.7

SET IP FILTER

カテゴリー：IP / ソフトウェアIPフィルター

SET IP FILTER=filter-id ENTRY=entry-id {ACTION={INCLUDE|EXCLUDE}|POLICY=0..15} [SOURCE=ipadd] [SMASK=ipadd] [SPORT={port-name|[port]:[port]}] [DESTINATION=ipadd [DMASK=ipadd]] [DPORT={port-name|[port]:[port]}] [ICMPCODE={icmp-code-name|icmp-code-id}] [ICMPTYPE={icmp-type-name|icmp-type-id}] [LOG={4..1600|DUMP|HEADER|NONE}] [OPTIONS={YES|NO}] [PROTOCOL={protocol|ANY|ICMP|OSPF|TCP|UDP}] [SESSION={ANY|ESTABLISHED|START}] [SIZE=size]

filter-id: フィルター番号（0～399）
entry-id: エントリー番号（1～）
icmp-code-name: ICMPコード名
icmp-code-id: ICMPコード番号（0～65535）
icmp-type-name: ICMPメッセージ名
icmp-type-id: ICMPメッセージ番号（0～65535）
ipadd: IPアドレスまたはネットマスク
port-name: サービス名
port: TCP/UDPポート番号（0～65535）
protocol: IPプロトコル番号（0～255）
size: データグラム長

IPフィルターエントリー（ルール）の設定を変更する。

パラメーター

FILTER: フィルター番号。0～99はトラフィックフィルター、100～199はポリシーフィルター、300～399はプレフィックスフィルター。200～299は使用不可。

ENTRY: エントリー番号。この番号は可変なので、必ずSHOW IP FILTERコマンドで確認してから指定すること（Ent.フィールド）。

ACTION: トラフィックフィルター（フィルター番号0～99）、プレフィックスフィルター（フィルター番号300～399）の動作を指定する。INCLUDEはマッチしたパケット、プレフィックスを通過させる。EXCLUDEはマッチしたパケット、プレフィックスを破棄する。POLICY、PRIORITYとは同時に指定できない

POLICY: ポリシーフィルター（フィルター番号100～199）において、マッチしたパケットに割り当てる経路選択ポリシー（サービスタイプ）を指定する。経路選択ポリシーの範囲は0～7だが、POLICYパラメーターには0～15の範囲を指定することができる。0～7を指定した場合は、指定値がそのまま経路選択ポリシー値となる。8～15を指定した場合は、経路選択ポリシーとして「POLICY - 8」を割り当て、さらに、パケットのTOSビット（D、T、R）を「POLICY - 8」に書き換える。詳細はADD IP FILTERコマンドの表を参照。経路表を検索するときは、本フィルターによって割り当てられた経路選択ポリシー値と経路エントリーのサービスタイプがつきあわされ、一致する経路が最優先で使用される。ACTIONとは同時に指定できない。

SOURCE: 始点IPアドレスまたはネットワークプレフィックス。0.0.0.0はすべてのアドレスを意味する。

SMASK: SOURCEに対応するマスク値。トラフィックフィルターの場合は、SOURCEと組み合わせてホストアドレス/ネットワークアドレスの区別を指定する。SOURCEで指定したIPアドレスがネットワークアドレスなら適切な長さのネットマスクを、ホストアドレスなら255.255.255.255を指定する。また、プレフィックスフィルターの場合は、SOURCEパラメーターの指定値とプレフィックスを比較するときに、どの部分（ビット）を比較するかを指定する（経路エントリーの「プレフィックス長」と比較するのではないことに注意）。なお、SOURCEに0.0.0.0（ANY）を指定した場合は0.0.0.0を指定する（省略可）。

SPORT: 始点TCP/UDPポートあるいは定義済みのサービス名。本パラメーター指定時はPROTOCOLパラメーターにTCPかUDPを指定する必要がある。low:highの形式でlow～highの範囲指定も可能。「low:」はlow～65535の意味、「:high」は0～highの意味になる。デフォルトはANY（すべてのポート）。

DESTINATION: 終点IPアドレス。デフォルトは0.0.0.0（すべて）

DMASK: 終点IPアドレスに対応するマスク値。DESTINATIONと組み合わせてホストアドレスまたはネットワークアドレスを指定する。省略時は255.255.255.255（ホストマスク）とみなされる。

DPORT: 終点TCP/UDPポートあるいは定義済みのサービス名。本パラメーター指定時はPROTOCOLパラメーターにTCPかUDPを指定する必要がある。low:highの形式でlow～highの範囲指定も可能。「low:」はlow～65535の意味、「:high」は0～highの意味になる。デフォルトはANY（すべてのポート）。

ICMPCODE: ICMPコード番号または定義済みのコード名。PROCOTOL=ICMPの場合のみ有効

ICMPTYPE: ICMPメッセージ番号または定義済みのメッセージ名。PROCOTOL=ICMPの場合のみ有効

LOG: このエントリーにマッチしたパケットの情報をログに記録するかどうか、記録する場合はどの情報を記録するかを指定する。NONEはログに記録しないことを意味する。4～1600の数値を指定した場合は、フィルター番号、エントリー番号、IPヘッダー情報（IPアドレス、プロトコル、ポート番号、サイズ）が「IPFIL/PASS」（INCLUDEアクションの場合）または「IPFIL/FAIL」（EXCLUDEアクションの場合）タイプのメッセージとして記録される。これに加え、TCP、UDP、ICMPの場合はデータ部分の先頭4～1600バイトが、その他プロトコルの場合はIPデータの先頭4～1600バイトが、「IPFIL/DUMP」タイプのメッセージとして記録される。DUMPはLOG=32と同じ動作となる。HEADERを指定した場合は、フィルター番号、エントリー番号、IPヘッダー情報のみが記録される。デフォルトはNONE（記録しない）。

OPTIONS: パケットがIPオプション付きかどうか。

PROTOCOL: IPプロトコル番号または定義済みのプロトコル名。DPORT、SPORTを指定するときは、PROTOCOLにTCPかUDPを指定する必要がある。また、ICMPCODE、ICMPTYPE指定時はICMPを指定する。

SESSION: TCPのセッション制御情報。ANYはすべてのTCPパケット、STARTは接続開始パケット（SYN=1、ACK=0）、ESTABLISHEDは接続済みパケット（ACK=1）を意味する。

SIZE: 再構成後のデータグラムサイズ。パケット（フラグメント）ごとにlength + offset * 8 <= SIZEがチェックされ、真ならマッチし、偽ならマッチしない。lengthとoffsetは、それぞれIPヘッダーのLengthフィールドとFragment Offsetフィールドを示す。

参考

RFC768, User Datagram Protocol
RFC791, INTERNET PROTOCOL
RFC792, INTERNET CONTROL MESSAGE PROTOCOL
RFC793, TRANSMISSION CONTROL PROTOCOL
RFC950, Internet Standard Subnetting Procedure
RFC1771, A Border Gateway Protocol 4 (BGP-4)
RFC1772, Application of the Border Gateway Protocol in the Internet

PN: J613-M6920-01 Rev.G