提供機能（オーバーレイタイプ）：IPフィルター

提供機能一覧（オーバーレイタイプ）

コントロールパネル

• コントロールパネル（オーバーレイタイプ）：IPフィルター

チュートリアル

• IPフィルター：ブラックリスト形式（特定の宛先IPアドレス、宛先ポート番号を拒否）
• IPフィルター：ホワイトリスト形式（特定の宛先IPアドレスのみを許可）

概要

エッジ装置の通信を制御する機能を提供します。この機能を使うと、特定の宛先だけに通信させることや、特定の宛先ポート番号への通信を破棄させることができます。
なお、インターネットブレイクアウト機能におけるIPフィルター ( ブレイクアウト )とは機能が異なります。

IPフィルターの動作

• IPフィルターは、LANポートに付与した“ネットワーク”単位に設定できます。
• IPフィルタールールには送信元および宛先のネットワークセグメント、複数の宛先のポート番号を条件として指定することができます。
• IPフィルタールールには順序があり、No1, No2 …と番号順に条件を照会し、最初に一致した条件に指定された動作がおこなわれます。
• CUSTOM_TCP / UDP を利用する場合、必ずPort rangeを指定してください。デフォルトでは1～65535となっています。
• いずれのIPフィルタールールにも合致しなかった場合には「すべて許可」が動作します。
• いずれのフィルタールールにも合致しなかった場合に「すべて拒否」したい場合には、最後のルールに「全て拒否する」ための設定が必要です。
• 1つのIPフィルターに対してルールの作成上限は50個まで、1つのルールに対してプロトコルの作成上限は10個までとなります。

＜「全て拒否する」ための設定＞

LAN機能やその他機能との併用

インターネットブレイクアウト

インターネットブレイクアウトを利用する際には、拠点間の通信に対する制御は本ページ記載の「IPフィルター」にて、ブレイクアウトする通信への制御は、「インターネットブレイクアウトのIPフィルター（ブレイクアウト）」にて設定ください。

提供機能（オーバーレイタイプ）：インターネットブレイクアウト

使い分けが必要なお客様通信例

• 一部または全てのインターネット通信をブレイクアウトする設定の拠点の「特定のパソコンだけ」はインターネットに通信させたくない
• 全てのインターネット通信をローカルブレイクアウトするものの、特定の宛先ポートのみインターネットへの通信を許可したい

セグメンテーション

セグメンテーションを利用する際には、複数の「ネットワーク」に別々のポリシーを持つIPフィルターを設定することができます。

留意事項

• LAN1とLAN2などに同じ“ネットワーク”を割り当て、IPフィルターを適用することはサービス仕様上許可しておりません。ご留意ください。
• エッジ装置のLANポートは、IPフィルタの設定に関わらず対向拠点からのPing疎通が可能です。
  なお、送信元の拠点にて別のIPフィルタが適用されている場合には、その制御に準じます。 

デフォルト拠点

対象のファームウエアをご利用の場合、デフォルトルートとIPフィルターの併用時に以下の制限がございます。

対象ファームウェア：2.6.6+1c0261f.2399

IPフィルターを利用する際に、対向先のエッジ装置にデフォルトルート ( 0.0.0.0/0 ) を設定している場合、0.0.0.0/0に対するIPフィルターの機能が反映されません。
その場合、0.0.0.0/0を直接的に指定せず、複数のセグメントに分割して設定することにより、フィルタ機能で0.0.0.0/0を反映することが可能です。

＜具体的な設定内容＞

128.0.0.0/1
64.0.0.0/2
32.0.0.0/3
16.0.0.0/4
8.0.0.0/5
4.0.0.0/6
2.0.0.0/7
1.0.0.0/8

※0.128.0.0/9, 0.64.0.0/10...0.0.0.2/31, 0.0.0.1/32　まではRFC3330 "Special-Use IPv4 Addresses" に規定された予約済みアドレスの範囲であるため、設定不要です。

LAN側OSPF設定により、お客さまルーターからエッジ装置に対して0.0.0.0/0の経路を広報される場合も、同様に複数のセグメントに分割して設定する必要があります。