Powered by Zoomin Software. For more details please contactZoomin

Flowmon User Guide

Table of Contents

フィルタ

Save PDF
Save selected topicSave selected topic and subtopicsSave all topics
Share
Share to emailCopy topic URL
Print
  • Last Updated: May 5, 2026
  • 10 minute read
    • Flowmon Products
    • Flowmon
    • Documentation

モニタリングポートの設定では、複数のフィルタタイプを使用することができます。 標準のプローブアプライアンスはフローエクスポートターゲットのフィルタのみをサポートしていますが、Packet Investigatorのような追加モジュールは独自のフィルタを使用します。 各フィルタタイプには、それぞれ独自の構文と意味があります。以下で、フローエクスポートターゲットのフィルタについて説明します。 他のフィルタタイプに関する詳細については、関連するモジュールのマニュアルを参照してください。

モニタリングポートのフィルタ画面
モニタリングポートのフィルタ画面

フローエクスポートターゲットのフィルタ

フローエクスポートターゲットのフィルタは、モニタリングポートによって生成された、エクスポートされるフローレコードのうち、どのフローレコードを個別に設定したターゲットに転送するかを制御します。

フィルタを作成するには、[新しいフィルタ]をクリックします。 [名前][タイプ][フィルタ]、およびオプションの[説明]を入力した後、モニタリングポートターゲットにフィルタを加えることができます。 [使用状況]には、フィルタを使用しているターゲットの数が表示され、フィルタの詳細表示にはターゲットが一覧表示されます。 鉛筆アイコンをクリックして、フィルタを編集するか、ゴミ箱アイコンをクリックして、フィルタを削除します。 フィルタは、それを使用しているターゲットが存在しない場合にのみ削除することができます。すべてのフィルタの使用情報を更新するには、[再読み込み]をクリックします。

構文

フローエクスポートターゲットのフィルタは、シンプルなファイアウォールルールに似た順序付けられたルールセットです。各ルールは、L2–L4属性(IPアドレス、ポート、プロトコル、およびVLAN)に基づいて、フローレコードに一致する(受け入れる)か、拒否するかのいずれかです。 評価結果により、一致するフローレコードをターゲットにエクスポートするかどうかを決定します。

ファストフィルタ標準フィルタの2種類のフィルタを定義できます。ファストフィルタは、サブネット、IPアドレス、または間隔(外国からのトラフィックなど)の非常に長いリストに使用されます。このフィルタは、数千個のルールを効率的に処理します。標準フィルタは、少数のより複雑で詳細なルールを処理できます。これら2種類のフィルタは組み合わせることができます。

フィルタにはコメントを使用できます。コメントはハッシュタグ(#)で区切ります。#から行末までがコメントとなります。キーワードnotを使用すれば、ルール全体を逆にできます(個々の部分は逆にできません)。

モニタリングポートのフィルタは、ファイアウォールと同じ方法で評価されます。ファストフィルタおよび標準フィルタのルールは降順で処理され、重複はできません。最初はファストフィルタブロック、その後に標準フィルタブロックが処理される必要があります(どちらのブロックもオプションです)。パケットはファストフィルタを通過すると、標準フィルタに移動します。最初の一致ルールにより、評価が停止します。キーワードnotで始まるルールは、ファイアウォールルールREJECTと同じ方法で評価されます。notのないルールはルールACCEPTとして評価されます。一致するルールのないパケットは処理されません。ファイアウォールロジックでは、デフォルトルール(REJECT ALL)がリストの最後に適用されます。この振る舞いを変更するには、標準フィルタの最後にキーワードanyを追加します(これは、ファストフィルタには使用できません)。このキーワードが存在する場合、どのルールにも一致しないすべてのパケットが処理されます。ファイアウォールロジックでは、デフォルトルール(ACCEPT ALL)がリストの最後に適用されます。フィルタ全体の結果が、高速フィルタと標準フィルタの結果の論理ANDの結果として評価されます。フィルタが空であるか、モニタリングポートにフィルタが設定されていない場合、フィルタは実行されず、すべてのパケットが処理されます。

高速フィルタに負ロジックを適用する場合は、「global fast not」と宣言することによって、フィルタ全体にグローバルに適用できます。

フィルタ構文

フィルタのタイプ 構文
Fast fast [src|dst] addr <ip>/<mask> | <ip_start>-<ip_end> | <ip>
Standard [not] [ipproto ipv4|ipv6] [[src|dst] addr <ip>/<mask>|<ip_start>-<ip_end>|<ip>] [proto tcp|udp|icmp|<number>] [[src|dst] port <num>|<start>-<end>] [vlan <number>|<start-end>]

標準フィルタのルール要素

ルール 構文
IP address filter [src|dst] addr <ip>/<mask> | <start>-<end> | <ip>
Port filter [src|dst] port <num> | <start>-<end>
VLAN filter vlan <number> | <start-end>
L4 protocol filter proto tcp|udp|icmp|<number>
L3 protocol filter ipproto ipv4 | ipv6

標準フィルタの例

# Various examples
src addr 192.168.1.1-192.168.1.255 proto tcp dst port 80
addr 192.168.2.0/24 proto udp port 1-1024
dst addr 192.168.3.1
not port 80
not dst addr 192.168.3.1 dst port 80 proto icmp
src addr 2001:718::/32 dst port 42
addr 0.0.0.0/0 ipproto ipv4
addr 147.251.0.0/16
dst addr 192.168.0.0-192.168.3.42
not ipproto ipv4
src addr 192.168.3.100-192.168.3.110 proto tcp vlan 64

# Blocks packets from 192.168.3.0/24 net to 192.168.6.0/24 net
not src addr 192.168.3.0/24 dst addr 192.168.6.0/24

# Process packets from IP 1.2.3.4 except port 80
not addr 1.2.3.4 port 80
addr 1.2.3.4

# Exclude internal communication (for subnet 172.16.0.0/12) and allow communication with the internet for a specific subnet (172.16.1.0/24)
not src addr 172.16.0.0/12 dst addr 172.16.0.0/12
addr 172.16.1.0/24

高速フィルタの例

# Allow all from networks below
fast addr 192.168.3.0/24
fast addr 192.168.255.0/24
fast addr 192.168.253.0/24
fast addr 192.168.251.0/24
fast addr 192.168.249.0/24
fast addr 192.168.247.0/24
fast addr 192.168.245.0/24
fast addr 192.168.243.0/24
fast addr 192.168.241.0/24
fast addr 192.168.239.0/24
fast addr 192.168.237.0/24
fast addr 192.168.235.0/24
fast addr 192.168.233.0/24
# And process all packets except HTTP
not proto tcp port 80
any

負のフィルタの例

# Allow all traffic except networks below
global fast not
fast addr 192.168.3.0/24
fast addr 192.168.4.0/24

IDSプローブのフィルタ

IDSプローブのフィルタを使用すると、IDSプローブモジュールによって処理されるトラフィックを指定できます。トラフィックは、IPアドレス、ネットワーク、およびVLANに基づいてフィルタリングできます。各ルールは別々の行に記載する必要があります。さらにルールを追加する場合は、ルール間に論理和orが挿入されます(パケットを通過させて処理するには、少なくとも1つのルールを満たす必要があります)。

構文

IDSプローブのフィルタでは、以下のキーワードを使用することができます:

  • ip <ip> — 特定のIPアドレスに一致します。
  • net <ip>/<mask> — CIDR表記でIPネットワークに一致します。
  • vlan <number> — 特定のVLANに一致します。
  • vlan <start-end> — VLANの範囲に一致します。

複数のフィルタ行を組み合わせて、より複雑なフィルタリングルールを定義することができます。

ipキーワードを使用すると、パケットヘッダーに存在する必要のある送信元または宛先IPアドレスを指定できます。たとえば、ip 1.1.1.1の場合、送信元または宛先IPアドレスとして1.1.1.1を持つフローのみが処理されます。IPv4とIPv6のどちらのアドレスもサポートしています。

netキーワードを使用すると、アドレス範囲全体を指定できます。このフィルタの値は、CIDR表記で有効なIPv4またはIPv6アドレス範囲でなければなりません。前の例と同様に、IP範囲は送信元IPアドレスと宛先IPアドレスのどちらにも適用されます。

vlanキーワードを使用すると、パケットヘッダーに存在すべき送信元または宛先VLAN ID (またはIDの範囲)を指定できます。このフィルタの値は、0~4095の範囲内の正数である必要があります。範囲表記が使用される場合、開始は終了より小さく設定する必要があります。VLANのフィルタは、複数のVLANタグがある場合、外側のVLANタグに適用されます。

# Match a single IP address
ip 192.168.1.10

# Match a network
net 10.0.0.0/8

# Match a specific VLAN
vlan 100

# Match a range of VLANs
vlan 200-210

# Combine filters to match multiple criteria
ip 192.168.1.10
net 172.16.0.0/12
vlan 300-305
TitleResults for “How to create a CRG?”Also Available inAlert