Condições de correspondência do filtro de firewall para tráfego IPv4

Combine com o campo de endereço de origem ou destino IPv4, a menos que a opção esteja incluída.except Se a opção estiver incluída, não corresponda ao campo de endereço de origem ou destino IPv4.

O modificador não é suportado em plataformas EX2300 e EX3400.except

(Roteadores da Série M, exceto M120 e M320) Combine com o valor do índice de parâmetro de segurança (SPI) do cabeçalho de autenticação IPsec (AH).

(Roteadores da Série M, exceto M120 e M320) Não corresponda ao valor IPsec AH SPI.

Especifique de quais grupos herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los em ordem de prioridade de herança. Os dados de configuração do primeiro grupo têm prioridade sobre os dados em grupos subsequentes.

Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.

Combine com o campo de endereço de destino IPv4, a menos que a opção esteja incluída.except Se a opção estiver incluída, não corresponda ao campo de endereço de destino IPv4.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.addressdestination-address

Combine com um ou mais nomes de classe de destino especificados (conjuntos de prefixos de destino agrupados e com um nome de classe). Para obter mais informações, veja condições de correspondência do filtro de firewall com base nas aulas de endereço.Condições de correspondência do filtro de firewall com base em aulas de endereço

Não corresponda a um ou mais nomes de classe de destino especificados. Para obter mais informações, veja a condição da partida.destination-class

Combine com o campo de porta de destino UDP ou TCP.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.portdestination-port

Ao configurar correspondências baseadas em porta, você também deve configurar a declaração ou a declaração de correspondência no mesmo termo do filtro.protocol udpprotocol tcp Combinar apenas com o valor da porta pode resultar em partidas inesperadas.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (113), (113) 43), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119),  (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (162), (2108), (25), (161), (162), (162) 444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) ou (177).afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp

Não corresponda ao campo de porta de destino UDP ou TCP. Para obter mais informações, veja a condição da partida.destination-port

Prefixos de destino de correspondência na lista especificada, a menos que a opção esteja incluída.except Se a opção estiver incluída, não corresponda aos prefixos de destino na lista especificada.

Especifique o nome de uma lista de prefixo definida no ] nível de hierarquia.[edit policy-options prefix-list prefix-list-name

Combine com o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP. Para obter mais informações, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

O suporte foi adicionado para filtragem em ponto de código de serviços diferenciados (DSCP) e classe de encaminhamento para pacotes de origem do mecanismo de roteamento, incluindo pacotes IS-IS encapsulados em encapsulamento de roteamento genérico (GRE). Posteriormente, ao atualizar a partir de uma versão anterior do Junos OS, onde você tem uma classe de serviço (CoS) e um filtro de firewall, e ambos incluem ações de DSCP ou de filtro de classe de encaminhamento, os critérios no filtro de firewall prevalecem automaticamente sobre as configurações de CoS. O mesmo acontece ao criar novas configurações; ou seja, onde as mesmas configurações existem, o filtro de firewall tem precedência sobre o CoS, independentemente do qual tenha sido criado primeiro.

Você pode especificar um valor numérico de até .063 Para especificar o valor na forma hexadadecimal, inclua como prefixo.0x Para especificar o valor em forma binária, inclua como prefixo.b

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados):

• RFC 3246, um PHB de encaminhamento acelerado (Comportamento por salto), define um ponto de código: ef(46).

• RFC 2597, Grupo PHB de encaminhamento garantido, define 4 classes, com 3 precedências de queda em cada classe, para um total de 12 pontos de código:

  • (10), (12), (14)af11af12af13

  • (18), (20), (22)af21af22af23

  • (26), (28), (30)af31af32af33

  • (34), (36), (38)af41af42af43

Não corresponda ao número de DSCP. Para obter mais informações, veja a condição da partida.dscp

Combine com o valor de SPI de carga de segurança (ESP) encapsulando IPsec. Combine com esse valor específico de SPI. Você pode especificar o valor do ESP SPI em forma hexadima, binária ou decima.

Corresponda ao valor de SPI DO ESP IPsec. Não corresponda a esse valor específico de SPI.

Combine se o pacote é o primeiro fragmento de um pacote fragmentado. Não combine se o pacote é um fragmento de rastreamento de um pacote fragmentado. O primeiro fragmento de um pacote fragmentado tem um valor de compensação de fragmentos de .0

Esta condição de jogo é um vulto para a condição de jogo de condição de jogo de campo bit.fragment-offset 0

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência: e ...first-fragmentis-fragment

Comprimento dos dados a serem combinados em bits, não necessário para entrada de string (0.128)

Compensação de bits após a compensação (match-start + byte) (0,7)

Byte offset após o ponto de partida da partida

Selecione uma combinação flexível no campo de modelo predefinido

Mascarar bits nos dados do pacote a serem combinados

Ponto de partida para combinar em pacote

Valorize dados/string a serem combinados

Comprimento dos dados a serem combinados em bits (0,32)

Compensação de bits após a compensação (match-start + byte) (0,7)

Byte offset após o ponto de partida da partida

Selecione uma combinação flexível no campo de modelo predefinido

Ponto de partida para combinar em pacote

Gama de valores a serem combinados

Não corresponda a essa gama de valores

Combine com a classe de encaminhamento do pacote.

Especifique, ou .assured-forwardingbest-effortexpedited-forwardingnetwork-control

Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.Understanding How Forwarding Classes Assign Classes to Output Queues

Não corresponda à classe de encaminhamento do pacote. Para obter mais informações, veja a condição da partida.forwarding-class

(Somente de entrada) Combine com o campo de bandeiras de fragmentação de IP de três bits no cabeçalho IP.

No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão listados): (0x4), (0x2) ou (0x8).dont-fragmentmore-fragmentsreserved

Combine com o campo de compensação de fragmentos de 13 bits no cabeçalho IP. O valor é a compensação, em unidades de 8 byte, na mensagem geral de datagrama para o fragmento de dados. Especifique um valor numérico, uma variedade de valores ou um conjunto de valores. Um valor de compensação indica o primeiro fragmento de um pacote fragmentado.0

A condição da partida é um vulto para a condição da partida.first-fragmentfragment-offset 0

Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência ( e ).first-fragmentis-fragment

Não combine com o campo de compensação de fragmentos de 13 bits.

Combine com o campo gre-key. O campo chave GRE é um número de 4 octetes inserido pelo encapsulador GRE. É um campo opcional para uso no encapsulamento GRE. Pode ser um único número de chave GRE ou uma variedade de números-chave.range

Para roteadores da Série MX com MPCs, iniciais novos filtros de firewall que incluem essa condição andando pelo SNMP MIB correspondente.

Combine com o campo de código de mensagem do ICMP.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Você também deve configurar a condição de correspondência no mesmo termo.icmp-type message-type Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas:

• problema de parâmetros: (0), (1)ip-header-badrequired-option-missing

• Redirecionar: (1), (0), (3), (2)redirect-for-hostredirect-for-networkredirect-for-tos-and-hostredirect-for-tos-and-net

• tempo excedido: (1), (0)ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit

• Inacessível: (13), (10), (7), (9), (6), (4), (14), (1), (12), (0), (11), (3), (15), (2), (8), (5)communication-prohibited-by-filteringdestination-host-prohibiteddestination-host-unknowndestination-network-prohibiteddestination-network-unknownfragmentation-neededhost-precedence-violationhost-unreachablehost-unreachable-for-TOSnetwork-unreachablenetwork-unreachable-for-TOSport-unreachableprecedence-cutoff-in-effectprotocol-unreachablesource-host-isolatedsource-route-failed

Não corresponda ao campo de código de mensagem do ICMP. Para obter mais informações, veja a condição da partida.icmp-code

Combine com o campo do tipo de mensagem do ICMP.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Você também deve configurar a condição de correspondência no mesmo termo.icmp-type message-type Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado.

No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (0), (8), (16), (15), (17), (18), (12), (5), (9), (10), (4), (11), (13), (14) ou (3).echo-replyecho-requestinfo-replyinfo-requestmask-requestmask-replyparameter-problemredirectrouter-advertisementrouter-solicitsource-quenchtime-exceededtimestamptimestamp-replyunreachable

Não combine com o campo do tipo de mensagem do ICMP. Para obter mais informações, veja a condição da partida.icmp-type

Combine com a interface em que o pacote foi recebido.

Combine com a interface lógica na qual o pacote foi recebido ao grupo de interface ou conjunto de grupos de interface especificados. Para , especifique um único valor ou uma gama de valores de 0 a 255.group-number

Para atribuir uma interface lógica a um grupo de interface, especifique o nível de hierarquia.group-numbergroup-number[interfaces interface-name unit number family family filter group]

Para obter mais informações, veja a visão geral dos pacotes de filtragem recebidos em um conjunto de grupos de interface.Filtragem de pacotes recebidos em um conjunto de grupos de interface visão geral

Não corresponda à interface lógica na qual o pacote foi recebido ao grupo de interface especificado ou ao conjunto de grupos de interface. Para obter mais informações, veja a condição da partida.interface-group

Combine com a interface na qual o pacote foi recebido no conjunto de interface especificado.

Para definir um conjunto de interface, inclua a declaração no nível de hierarquia.interface-set[edit firewall]

Para obter mais informações, veja a filtragem de pacotes recebidos em uma visão geral do conjunto de interface.Filtragem de pacotes recebidos em uma visão geral do conjunto de interface

Combine com o campo de opção de IP de 8 bits, se presente, com o valor ou lista de valores especificados.

No lugar de um valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de opção também estão listados): (131), (7), (148), (130), (136), (137) ou (68).loose-source-routerecord-routerouter-alertsecuritystream-idstrict-source-routetimestamp

Para combinar com qualquer valor para a opção de IP, use o sinônimo de texto.any Para combinar com vários valores, especifique a lista de valores dentro de parênteses quadrados ('' e '').[] Para combinar com uma variedade de valores, use a especificação de valor.[ value1-value2 ]

Por exemplo, a condição da partida corresponde a um campo de opções de IP que contém o , ou valores, ou qualquer outro valor de 0 a 147.ip-options [ 0-147 ]loose-source-routerecord-routesecurity No entanto, essa condição de partida não corresponde a um campo de opções de IP que contém apenas o valor (148).router-alert

Para a maioria das interfaces, um termo de filtro que especifica uma correspondência em um ou mais valores de opção de IP específicos (um valor diferente) faz com que os pacotes sejam enviados ao Mecanismo de Roteamento para que o kernel possa analisar o campo de opção de IP no cabeçalho do pacote.ip-optionany

• Para um termo de filtro de firewall que especifica uma correspondência em um ou mais valores de opção de IP específicos, você não pode especificar as ações, ou não termômetros , a menos que você também especifique a ação de terminação no mesmo termo.ip-optioncountlogsyslogdiscard Esse comportamento evita a contagem dupla de pacotes para um filtro aplicado a uma interface de trânsito no roteador.

• Os pacotes processados no kernel podem ser descartados em caso de gargalo do sistema. Para garantir que os pacotes combinados sejam enviados ao Mecanismo de encaminhamento de pacotes (onde o processamento de pacotes é implementado em hardware), use a condição de correspondência.ip-options any

O Concentrador modular de portas Ethernet (MPC), Ethernet MPC de 100 Gigabits, Ethernet MPC de 60 Gigabit, 60 Gigabit Ethernet MPC, 60 Gigabit Ethernet MPC e 60 Gigabit Ethernet Ethernet Enhanced Queuing MPC nos roteadores da Série MX são capazes de analisar o campo de opção de IP do cabeçalho de pacote IPv4. Para interfaces configuradas nesses MPCs, todos os pacotes compatíveis usando a condição de correspondência são enviados ao Mecanismo de encaminhamento de pacotes para processamento.ip-options

A condição da partida é suportada em roteadores da Série PTX10003 e PTX10008, começando pelo Junos Evolved OS Release 20.2R1.ip-options any

Não combine o campo de opção de IP com o valor ou lista de valores especificados. Para obter mais informações sobre a especificação, veja a condição da partida.valuesip-options

Usar essa condição causa uma correspondência se a bandeira Mais Fragmentos estiver habilitada no cabeçalho ip e se a compensação do fragmento não for zero.

Corresponda ao nível de prioridade de perda de pacote (PLP).

Especifique um único nível ou vários níveis: ou...lowmedium-lowmedium-highhigh

Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX.

Para tráfego IP em roteadores M320, Série MX e Série T com concentradores PIC flexíveis (FPCs) aprimorados, você deve incluir a declaração no nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. tri-color [edit class-of-service] Se a declaração não estiver habilitada, você só poderá configurar os níveis e os níveis.tri-colorhighlow Isso se aplica a todas as famílias de protocolo.

Para obter informações sobre a declaração, veja Configuração e aplicação de policiais tricolores de marcação.tri-colorConfiguring and Applying Tricolor Marking Policers Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como os classificadores agregados de comportamento priorizam o tráfego confiável.Understanding How Behavior Aggregate Classifiers Prioritize Trusted Traffic

Não corresponda ao nível de PLP. Para obter mais informações, veja a condição da partida.loss-priority

Corresponda à duração do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2. Você também pode especificar uma variedade de valores a serem combinados.

Não corresponda ao comprimento do pacote recebido, em bytes. Para obter mais informações, veja o tipo de correspondência.packet-length

Combine com o campo de porta de origem ou destino UDP ou TCP.

Se você configurar esta condição de correspondência, não poderá configurar a condição da correspondência ou a condição da correspondência no mesmo termo.destination-portsource-port

Ao configurar correspondências baseadas em porta, você também deve configurar a declaração ou a declaração de correspondência no mesmo termo do filtro.protocol udpprotocol tcp Combinar apenas com o valor da porta pode resultar em partidas inesperadas.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados em .destination-port

Não corresponda ao UDP de origem ou destino ou ao campo de porta TCP. Para obter mais informações, veja a condição da partida.port

Combine com o campo de precedência de IP.

No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) ou (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine Você pode especificar a precedência em forma hexadima, binária ou decimais.

Não corresponda ao campo de precedência de IP.

No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (0xa0), (0x60), (0x80), (0x40), (0xc0), (0xe0), (0x20) ou (0x00).critical-ecpflashflash-overrideimmediateinternet-controlnet-controlpriorityroutine Você pode especificar a precedência em forma hexadima, binária ou decimais.

Combine os prefixos dos campos de endereço de origem ou destino com os prefixos na lista especificada, a menos que a opção esteja incluída.except Se a opção estiver incluída, não combine os prefixos dos campos de endereço de origem ou destino com os prefixos da lista especificada.

A lista de prefixo é definida no nível de hierarquia.[edit policy-options prefix-list prefix-list-name]

Combine com o campo do tipo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) ou (112).ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudpvrrp

Não corresponda ao campo do tipo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) ou (112).ahdstoptsegpespfragmentgrehop-by-hopicmpicmp6icmpv6igmpipipipv6ospfpimrsvpsctptcpudp vrrp

Combine com o tipo de tecnologia de acesso por rádio (RAT) especificado no campo tech-type de 8 bits do tipo de tecnologia de acesso Proxy Mobile IPv4 (PMIPv4). O tipo de tecnologia especifica a tecnologia de acesso pela qual o dispositivo móvel está conectado à rede de acesso.

Especifique um único valor, uma variedade de valores ou um conjunto de valores. Você pode especificar um tipo de tecnologia como um valor numérico de 0 a 255 ou como uma palavra-chave do sistema.

• Os seguintes valores numéricos são exemplos de tipos de tecnologia bem conhecidos:

  • Valor numérico 1 corresponde ao IEEE 802.3.

  • Valor numérico 2 corresponde ao IEEE 802.11a/b/g.

  • Valor numérico 3 corresponde ao IEEE 802.16e

  • Valor numérico 4 corresponde ao IEEE 802.16m.

• A seqüência de texto corresponde ao 4G.eutran

• A corda de texto combina com 2G.geran

• A seqüência de texto corresponde ao 3G.utran

Não corresponda ao tipo RAT.

Combine com um pacote recebido de um filtro onde uma ação foi aplicada.service-filter-hit

Combine com o endereço IPv4 do nó de origem que envia o pacote a menos que a opção esteja incluída.except Se a opção estiver incluída, não corresponda ao endereço IPv4 do nó de origem que envia o pacote.

Você não pode especificar as condições e as condições compatíveis no mesmo termo.addresssource-address

Combine com um ou mais nomes de classe de origem especificados (conjuntos de prefixos de origem agrupados e dado um nome de classe). Para obter mais informações, veja condições de correspondência do filtro de firewall com base nas aulas de endereço.Condições de correspondência do filtro de firewall com base em aulas de endereço

Não combine com um ou mais nomes de classe de origem especificados. Para obter mais informações, veja a condição da partida.source-class

Combine com o campo de porta de origem UDP ou TCP.

Você não pode especificar as condições e combinar no mesmo termo.portsource-port

Ao configurar correspondências baseadas em porta, você também deve configurar a declaração ou a declaração de correspondência no mesmo termo do filtro.protocol udpprotocol tcp Combinar apenas com o valor da porta pode resultar em partidas inesperadas.

No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de correspondência.destination-port number

Não corresponda ao campo de porta de origem UDP ou TCP. Para obter mais informações, veja a condição da partida.source-port

Prefixos de origem compatível na lista especificada, a menos que a opção esteja incluída.except Se a opção estiver incluída, não corresponda aos prefixos de origem na lista especificada.

Especifique o nome de uma lista de prefixo definida no ] nível de hierarquia.[edit policy-options prefix-list prefix-list-name

Combine pacotes TCP de uma sessão TCP estabelecida (pacotes que não sejam o primeiro pacote de uma conexão). Este é um apelido para .tcp-flags "(ack | rst)"

Esta condição de correspondência não verifica implicitamente se o protocolo é TCP. Para verificar isso, especifique a condição da correspondência.protocol tcp

Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP.

Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial.

Você pode reunir várias bandeiras usando os operadores lógicos de campo bit.

Para condições combinadas de jogo em campo pequeno, veja as condições e as condições da partida.tcp-establishedtcp-initial

Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de correspondência no mesmo termo para especificar se o protocolo TCP está sendo usado na porta.protocol tcp

Somente para tráfego IPv4, essa condição de correspondência não verifica implicitamente se o datagrama contém o primeiro fragmento de um pacote fragmentado. Para verificar se essa condição é apenas para tráfego IPv4, use a condição da correspondência.first-fragment

Combine com o pacote inicial de uma conexão TCP. Este é um apelido para .tcp-flags "(!ack & syn)"

Essa condição não verifica implicitamente se o protocolo é TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição de correspondência no mesmo termo.protocol tcp

Combine com o número de tempo ao vivo IPv4. Especifique um valor de TTL ou uma variedade de valores de TTL. Para , você pode especificar um ou mais valores de até .number0255 Essa condição de correspondência é suportada apenas em roteadores M120, M320, Série MX e Série T.

Não corresponda ao número de TTL IPv4. Para obter mais informações, veja a condição da partida.ttl