ーIPフィルター

エッジ装置はオーバレイネットワークごとのIPフィルターにより、IPアドレス、宛先ポート番号を制御することができます。ここでは、IPフィルターの機能について説明します。

ー概要

エッジ装置の通信を制御する機能を提供します。この機能を使うと、特定の宛先だけに通信させることや、特定の宛先ポート番号への通信を破棄させることができます。
なお、インターネットブレイクアウト機能におけるIPフィルター ( ブレイクアウト )とは機能が異なります。

ーIPフィルターの動作

項目			内容
IPフィルター名			新たに作成するIPフィルターの名称を入力
IPフィルタールール	動作	deny	フィルター動作　拒否
		accept	フィルター動作　許可
	送信元セグメント		送信元のネットワークアドレスを入力 “0.0.0.0/0”を指定した場合は全てを意味します
	宛先セグメント		宛先のネットワークアドレスを入力 “0.0.0.0/0”を指定した場合は全てを意味します
	通信方向	out	LAN ⇒　WAN　向けの通信を意味します
	プロトコル又はポート番号		フィルター対象のプロトコルを指定　ALLまたはCUSTOM_UDP、CUSTOM_TCPを選択してください。
	宛先ポート指定	開始ポート番号	ポート番号の指定　範囲指定可能であり開始の番号デフォルト値：　1
		終了ポート番号	ポート番号の指定　範囲指定可能であり終了の番号デフォルト値：　65535
	ステータス	有効	フィルター自体の有効化
		無効	フィルター自体の無効化

IPフィルターは、LANポートに付与した“ネットワーク”単位に設定できます。
IPフィルタールールには送信元および宛先のネットワークセグメント、複数の宛先のポート番号を条件として指定することができます。
IPフィルタールールには順序があり、No1, No2 …と番号順に条件を照会し、最初に一致した条件に指定された動作がおこなわれます。
CUSTOM_TCP / UDP を利用する場合、必ずPort rangeを指定してください。デフォルトでは1～65535となっています。
いずれのIPフィルタールールにも合致しなかった場合には「すべて許可」が動作します。
いずれのフィルタールールにも合致しなかった場合に「すべて拒否」したい場合には、最後のルールに「全て拒否する」ための設定が必要です。
1つのIPフィルターに対してルールの作成上限は50個まで、1つのルールに対してプロトコルの作成上限は10個までとなります。

＜「全て拒否する」ための設定＞

項目	入力値
動作	deny
送信元セグメント	0.0.0.0/0
宛先セグメント	0.0.0.0/0
通信方向	out
プロトコル名	ALL
開始ポート番号	1
終了ポート番号	65535
ステータス	有効

ーLAN機能やその他機能との併用

セグメンテーション

セグメンテーションを利用する際には、複数の「ネットワーク」に別々のポリシーを持つIPフィルターを設定することができます。

留意事項

LAN1とLAN2などに同じ“ネットワーク”を割り当て、IPフィルターを適用することはサービス仕様上許可しておりません。ご留意ください。
エッジ装置のLANポートは、IPフィルタの設定に関わらず対向拠点からのPing疎通が可能です。
なお、送信元の拠点にて別のIPフィルタが適用されている場合には、その制御に準じます。

デフォルト拠点

IPフィルターを利用する際に、対向先のエッジ装置にデフォルトルート ( 0.0.0.0/0 ) を設定している場合、0.0.0.0/0に対するIPフィルターの機能が反映されません。
その場合、0.0.0.0/0を直接的に指定せず、複数のセグメントに分割して設定することにより、フィルタ機能で0.0.0.0/0を反映することが可能です。

＜具体的な設定内容＞

128.0.0.0/1
64.0.0.0/2
32.0.0.0/3
16.0.0.0/4
8.0.0.0/5
4.0.0.0/6
2.0.0.0/7
1.0.0.0/8

※0.128.0.0/9, 0.64.0.0/10...0.0.0.2/31, 0.0.0.1/32　まではRFC3330 "Special-Use IPv4 Addresses" に規定された予約済みアドレスの範囲であるため、設定不要です。

LAN側OSPF設定により、お客さまルーターからエッジ装置に対して0.0.0.0/0の経路を広報される場合も、同様に複数のセグメントに分割して設定する必要があります。

このセクションの記事

提供機能（オーバーレイタイプ）：IPフィルター

ーIPフィルター

ー概要