Suporte a filtro de firewall na interface de loopback
Uma interface de loopback é um gateway para todo o tráfego de controle que entra na Mecanismo de Roteamento do roteador. Para monitorar esse tráfego de controle, é necessário configurar um filtro de firewall na interface de loopback (lo0).
Os filtros de firewall de loopback só são aplicados a pacotes enviados ao Mecanismo de Roteamento para posterior processamento. Os filtros da família inet e do inet6 são suportados, e você pode aplicar um filtro de firewall nas direções de entrada e saída na interface lo0. No entanto, interface-specific só há suporte para instâncias do filtro de firewall.
Para condições de combinação padrão de filtro de firewall, consulte Condições de combinação para tráfego IPv4 (roteadores da série ACX).
O filtro de firewall no lo0 lida com os seguintes pacotes de exceção na direção de entrada:
Pacotes de exceção de TTL
Pacotes multicast com 224.0.0.x como endereço IP de destino
Pacotes de broadcast
pacotes de opção IP
Embora as ações de polícia possam ser conectadas a filtros de loopback na direção de entrada, o comportamento exato depende das configurações da fila RX da CPU. Por exemplo, o limite de taxa na direção de entrada (por meio da configuração do policer) ocorre após qualquer limitante de taxa de CPU.
A seguir, uma configuração de amostra para a conexão de um firewall à interface de loopback:
[edit interfaces]
lo0 {
unit 0 {
family <inet | inet6> {
filter {
input f1;
}
}
}
}
family <inet | inet6>{
filter f1 {
interface-specific; >> Mandatory Field.
term t1 {
from {
protocol ospf;
}
then {
count c1;
discard;
}
}
term t2 {
then {
count c2;
accept;
}
}
}
}