Suporte para filtro de firewall na interface de loopback
Uma interface de loopback é um gateway para todo o tráfego de controle que entra no mecanismo de roteamento do roteador. Se quiser monitorar esse tráfego de controle, você deve configurar um filtro de firewall na interface de loopback (lo0).
Os filtros de firewall de loopback só são aplicados a pacotes enviados ao Mecanismo de Roteamento para processamento posterior. Os filtros da família inet e inet6 são suportados, e você pode aplicar um filtro de firewall nas direções de entrada e saída na interface lo0. No entanto, apenas interface-specific instâncias do filtro de firewall são suportadas.
Para condições de correspondência de filtro de firewall padrão, consulte condições de correspondência para tráfego IPv4 (roteadores da Série ACX).
O filtro de firewall no lo0 lida com os seguintes pacotes de exceção na direção de ingresso:
Pacotes de exceção TTL
Pacotes multicast com 224.0.0.x como endereço IP de destino
Pacotes de broadcast
Pacotes de opção IP
Embora as ações do policiador possam ser anexadas a filtros de loopback na direção de entrada, o comportamento exato depende das configurações da fila de RX da CPU. Por exemplo, a limitação da taxa na direção de entrada (por meio da configuração do policiamento) ocorre após quaisquer limitadores de taxa de CPU.
A seguir, uma configuração de amostra para anexar um firewall à interface de loopback:
[edit interfaces]
lo0 {
unit 0 {
family <inet | inet6> {
filter {
input f1;
}
}
}
}
family <inet | inet6>{
filter f1 {
interface-specific; >> Mandatory Field.
term t1 {
from {
protocol ospf;
}
then {
count c1;
discard;
}
}
term t2 {
then {
count c2;
accept;
}
}
}
}