Entender como um filtro de firewall testa um protocolo
Ao examinar as condições de correspondência em um filtro de firewall, um switch testa apenas os campos que você especifica. Ele não testa implicitamente nenhum campo que você não configure explicitamente. Por exemplo, se você especificar uma condição compatível de source-port ssh, não há teste implícito para determinar se o protocolo é TCP. Neste caso, o switch considera qualquer pacote que tenha um valor 22 (decimal) no campo de 2 byte que siga um cabeçalho IP presumido para ser compatível. Para garantir que o termo corresponda aos pacotes TCP, você também especifica uma condição ip-protocol tcp de correspondência.
Para as seguintes condições de correspondência, você deve especificar explicitamente a condição de correspondência do protocolo no mesmo termo:
destination-port— Especifique o protocolotcpou o protocoloudp.icmp-code— Especifique o protocoloicmpeicmp-type.icmp-type— Especifique o protocoloicmpou o protocoloicmp6.source-port— Especifique o protocolotcpou o protocoloudp.tcp-flags— Especifique o protocolotcp.