Entendendo como os filtros de firewall são avaliados
Um filtro de firewall consiste em um ou mais termos, e a ordem dos termos dentro de um filtro é importante. Antes de configurar filtros de firewall, você deve entender como os switches avaliam os termos dentro de um filtro e como os pacotes são avaliados em relação aos termos.
Quando um filtro de firewall consiste em um único termo, o filtro é avaliado da seguinte forma:
Se o pacote corresponde a todas as condições, a ação na declaração será tomada.
then
Se o pacote corresponde a todas as condições e nenhuma ação for especificada na declaração, a ação padrão será tomada.
then
acceptSe o pacote não corresponder a todas as condições, o switch o descarta.
Quando um filtro de firewall consiste em mais de um termo, o filtro é avaliado sequencialmente:
O pacote é avaliado em relação às condições da declaração no primeiro mandato.
from
Se o pacote corresponde a todas as condições do termo, a ação na declaração é tomada e a avaliação termina.
then
Os termos subsequentes no filtro não são avaliados.Se o pacote não corresponder a todas as condições do termo, o pacote será avaliado em relação às condições da declaração no segundo mandato.
from
Esse processo continua até que o pacote corresponda a todas as condições da declaração em um dos termos subsequentes ou não há mais termos no filtro.
from
Se um pacote passar por todos os termos do filtro sem combinar, o switch o descarta.
A ordem das condições em uma declaração não é importante porque um pacote deve corresponder a todas as condições a serem consideradas compatíveis.from
Figura 1 mostra como os switches avaliam os termos dentro de um filtro de firewall.
Se você não incluir uma declaração em um termo, todos os pacotes corresponderão ao termo e serão processados pela declaração.from
then
Se um termo não conter uma declaração ou se uma ação não tiver sido configurada na declaração, o termo aceita quaisquer pacotes correspondentes.then
then
Cada filtro de firewall contém uma declaração implícita no final do filtro, o que equivale ao seguinte termo de filtro explícito:deny
term implicit-rule { then discard; }
Consequentemente, um pacote que não corresponda a nenhum dos termos em um filtro de firewall é descartado. Se você configurar um filtro sem termos, todos os pacotes que passam pelo filtro serão descartados.
A filtragem de firewall é suportada em pacotes com pelo menos 64 bytes de comprimento.