A.K.I. Home
コンピュータ / RTX1000 / 動的フィルタ
動的フィルタというのは、たとえばこんな感じ。
ip filter 3 reject * * udp,tcp * * ip filter 20 pass * * tcpflag=0x0002/0x0fff * ftp,21,22,www,smtp,pop3,domain ip filter 21 pass * * udp * ntp,domain ip filter dynamic 100 * * filter 20 ip filter dynamic 101 * * filter 21 ip pp secure filter in 20 21 3 dynamic 100 101
TCPのパケットのうちSYNフラグだけが立っているパケットだけを静的フィルタで通し、そこから始まるセッションは動的フィルタで通します。
ただ、この例は簡単に書くためにまとめて書いてしまってますが、動的フィルタの機能をフルに使うなら一部分けてあげたほうがよさそうです。
ip filter 12 pass * * tcpflag=0x0002/0x0fff * www ip filter dynamic 202 * * www
あと、メディアプレイヤーのように、TCPで外にリクエストを投げて、UDPでストリームのデータが返ってくるような動きにもついていけるようです。
ip filter 10 pass * * tcp * 6000 ip filter 11 pass * * udp * 7000 ip filter 12 pass * * udp * 8000 ip filter dynamic 1 * 172.16.0.1 filter 10 in 12 out 11
トリガーは、172.16.0.1の6000番ポート宛ての任意のTCP
順方向のコネクションは、7000番ポート宛ての任意のUDP
逆方向のコネクションは、8000番ポート宛ての任意のUDP
(YAMAHAのページからコピペ)
で、やってみました。
ip filter 16 pass * * tcpflag=0x0002/0x0fff * 554,1755 ip filter 30 pass * * tcp * 554,1755 ip filter 31 pass * * udp * 5005,1755 ip filter 32 pass * * udp * 1024-5000,5004 ip filter dynamic 300 * * filter 30 in 32 out 31
こんな感じ。で、out側に16とdynamic 300を適用すればOKです。
そして。動的フィルタを使う場合NATの設定は最初のパケットを通してあげるだけでOKです。FTPサーバなんかがこのルータだとさっくり通るのもこの機能のおかげですね。外からの接続に関しては以下のようになります。
・トリガーのコネクションについては、静的IPマスカレードを設定して通す。
・トリガー以外で、NATの内側から外側へ向かうコネクションについては、NATの処理によってテーブルが追加される。
・トリガー以外で、NATの外側から内側へ向かうコネクションについては、動的フィルタの処理によってテーブルが追加される。
(YAMAHAのページからコピペ)