Japan

サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ FAQ

MAC/IPフィルタリングに関するFAQ

FAQ一覧に戻る

Q.1-1 設定できるフィルタリングの条件を教えてください。
Q.1-2 TCPパケットのフィルタ設定で「established指定」が可能ですが、どのような意味の設定ですか?
Q.1-3 NAT/NAPTとIPパケットフィルタの処理順序を教えてください。
Q.1-4 フィルタで廃棄したパケットを確認したい場合、どのように設定すれば良いですか?
Q.1-5 ip filterコマンドはパラメータに「シーケンス番号」がありますが、どのように使うのですか?
Q.1-6 フィルタの条件(アクセスリスト)に合致しなかったパケットは廃棄されるのですか?
Q.1-7 特定の条件に一致するパケットのみログ出力させることはできますか?

Q.1-1 設定できるフィルタリングの条件を教えてください。

IPパケットフィルタリングの指定条件は、静的フィルタと動的フィルタで異なります。

静的フィルタ/動的フィルタの設定例は「設定事例集」を参照してください。

フィルタ種類
指定条件
静的フィルタ IPv4/IPv6送信元アドレス、マスク長(プレフィックス)
IPv4/IPv6宛先アドレス、マスク長(プレフィックス)
プロトコル番号
ICMPメッセージタイプ
送信元ポート番号(TCP、UDP)
宛先ポート番号(TCP、UDP)
TCPヘッダ制御フラグ
TOS/TRAFFIC-CLASSフィールド
(PRECEDENCE/DSCP/TOS)
ICMP/ICMPv6メッセージ
フラグメントの2番目以降のパケット
動的フィルタ
(ステートフル
インスペクション方式)		 サービス名指定(HTTP、FTP、TFTP、DNS、TELNET)
アクセスリストによる指定

MACフレームフィルタリングの指定条件は以下の通りです。

指定条件
MAC送信元アドレス(ワイルドカード指定)
MAC宛先アドレス(ワイルドカード指定)
EthernetヘッダのTypeフィールド指定
VLANタグのCOSフィールド指定
VLANタグのCFIフィールド指定
宛先ポート番号(TCP、UDP)
VLANタグのVLAN-ID指定
任意の位置(オフセット指定)
VLANタグのTPID指定(オフセット指定を使用します)

Q.1-2 TCPパケットのフィルタ設定で「established指定」が可能ですが、どのような意味の設定ですか?

establishedは、ACKフラグかRSTフラグがONのTCPパケットを指定するときに使用します。

このパラメータは、「内から外へのTCP通信(HTTP、FTP、TELNET等)は許可するが、外から内へのTCP通信は拒否したい」場合に使用します。

【設定例】

TCPパケット(establish指定)を許可するアクセスリストを作成します。

ip access-list tcp permit tcp established src any dest any

インタフェースで、受信方向にフィルタを設定します。

  • interface GigaEthernet0.0
  • ip filter tcp 1 in

Q.1-3 NAT/NAPTとIPパケットフィルタの処理順序を教えてください。

送信と受信で処理順序が異なります。

方向 処理順序
送信 フィルタ ⇒ NAT/NAPT(内→外)
受信 NAT/NAPT(外→内) ⇒ フィルタ

Q.1-4 フィルタで廃棄したパケットを確認したい場合、どのように設定すれば良いですか?

フィルタの廃棄パケットを確認したい場合は、ロギング機能(フィルタ)を使用します。

logging subsystem flt warn
logging subsystem mflt warn

  • 廃棄パケットだけではなく、通過パケットも確認したい場合は、infoもしくはdebugレベルを指定します。ただし、トラフィック量によってはCPUに大きな負荷が掛かりますので、ご注意ください。

■ログ出力例-タイムスタンプ無し

FLT.008: BLOCK icmp 10.0.0.1 > 10.0.0.254, no match, [IF名] out
FLT.008: BLOCK icmp 10.0.0.1 > 10.0.0.254, no match, [IF名] out
FLT.008: BLOCK icmp 10.0.0.1 > 10.0.0.254, no match, [IF名] out

■ログ出力例-タイムスタンプ有り

2010/11/22 16:36:04  FLT.008: BLOCK icmp 10.0.0.1 > 10.0.0.254, no match, [IF名] out
2010/11/22 16:36:24  FLT.008: BLOCK icmp 10.0.0.1 > 10.0.0.254, no match, [IF名] out
2010/11/22 16:37:33  FLT.008: BLOCK icmp 10.0.0.1 > 10.0.0.254, no match, [IF名] out

Q.1-5 ip filterコマンドはパラメータに「シーケンス番号」がありますが、どのように使うのですか?

1つのインタフェースに複数のアクセスリストを設定した場合、シーケンス番号の小さいものから順に評価されます。

【設定例】

  1. フィルタリング条件毎に複数のアクセスリストを作成。
  2. インタフェースで送信方向にフィルタを複数設定。

  1. ip access-list flt-list1 permit ip src any dest 10.0.1.0/24
    ip access-list flt-list2 permit ip src any dest 10.0.2.0/24
    ip access-list flt-list3 permit ip src any dest 10.0.3.0/24
  2. interface GigaEthernet0.0
    ip filter flt-list1 10 out
    ip filter flt-list2 20 out
    ip filter flt-list3 30 out

この設定例におけるフィルタ検索順序(送信方向)は下表のとおりです。

シーケンス番号 アクセス
リスト名		 条件:一致 条件:不一致
10 flt-list1 送信許可
(宛先:10.0.1.0/24)		 シーケンス2の
フィルタ検索へ
20 flt-list2 送信許可
(宛先:10.0.2.0/24)		 シーケンス3の
フィルタ検索へ
30 flt-list3 送信許可
(宛先:10.0.3.0/24)		 廃棄(暗黙のdeny)

もし、シーケンス10やシーケンス20で設定したアクセスリストに、全てのパケットを通過/廃棄するような条件を明示的に設定した場合、そこでパケットが通過/廃棄されてしまい、次のアクセスリストの検索処理へは移行しませんのでご注意下さい。

Q.1-6 フィルタの条件(アクセスリスト)に合致しなかったパケットは廃棄されるのですか?

フィルタに使用するアクセスリストが1つ、もしくは複数設定した場合の最後のアクセスリストの条件に一致しなかったパケットは、「暗黙のdeny」により廃棄されます。

[例]

ip access-list flt-list permit ip src any dest 10.0.3.0/24

とだけ設定した場合でも、実際には、

ip access-list flt-list permit ip src any dest 10.0.3.0/24
ip access-list flt-list deny ip src any dest any

と設定したことと同じ意味になり、2行目の「暗黙のdeny」により、宛先アドレスが10.0.3.0/24に含まれないパケットは全て廃棄されます。

Q.1-7 特定の条件に一致するパケットのみログ出力させることはできますか?

可能です。

フィルタ設定コマンド(「ip filter」コマンド)のオプションに「suppress-logging」を追加することにより、特定の条件で廃棄したパケットのみログ出力させることが可能です。

【設定例】

最初にロギングの設定を行います。
廃棄ログのみ出力させるために、ロギングレベルは「warn」レベルを指定します。
※「warn」レベルを指定すると、フィルタによる許可のログは出力されません。

logging subsystem flt warn
logging subsystem mflt warn

アクセスリスト「flt-list-logoff」で廃棄したパケットのログ出力を抑止します。

  • interface GigaEthernet0.0
  • ip filter flt-list-logoff 10 in suppress-logging
  • ip filter flt-list-logon 20 in

  • 「suppress-logging」により抑制することが可能なログは「廃棄」のメッセージのみです。「許可」のメッセージの抑制は行いません。

資料請求・お問い合わせ