Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Diretrizes para a configuração de filtros simples

Hierarquia de declarações para configurar filtros simples

Para configurar um filtro simples, inclua a simple-filter simple-filter-name declaração no nível de [edit firewall family inet] hierarquia.

As declarações individuais apoiadas pela simple-filter simple-filter-name declaração são descritas separadamente neste tópico e são ilustradas no exemplo de configurar e aplicar um filtro simples.

Famílias de protocolo de filtro simples

Você pode configurar filtros simples para filtrar apenas o tráfego IPv4 (family inet). Nenhuma outra família de protocolo é suportada para filtros simples.

Nomes de filtro simples

Sob a family inet declaração, você pode incluir simple-filter simple-filter-name declarações para criar e nomear filtros simples. O nome do filtro pode conter letras, números e hífens (-) e ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").

Termos de filtro simples

Sob a simple-filter simple-filter-name declaração, você pode incluir term term-name declarações para criar e filtrar nomes.

  • Você deve configurar pelo menos um termo em um filtro de firewall.

  • Você deve especificar um nome exclusivo para cada termo em um filtro de firewall. O termo nome pode conter letras, números e hífens (-) e pode ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").

  • A ordem em que você especifica termos dentro de uma configuração de filtro de firewall é importante. Os termos do filtro de firewall são avaliados na ordem em que estão configurados. Por padrão, novos termos são sempre adicionados ao fim do filtro existente. Você pode usar o comando de insert modo de configuração para reordenar os termos de um filtro de firewall.

Filtros simples não suportam a ação next term .

Condições simples de correspondência do filtro

Os termos de filtro simples oferecem suporte apenas a um subconjunto das condições de correspondência IPv4 que são suportadas para filtros de firewall sem estado padrão.

Ao contrário dos filtros de firewall sem estado padrão, as seguintes restrições se aplicam a filtros simples:

  • Nos roteadores da Série MX com o DPC de fila aprimorada e os switches da Série EX, os filtros simples não suportam a condição de forwarding- class jogo.

  • Os filtros simples suportam apenas um source-address e um destination-address prefixo para cada termo de filtro. Se você configurar vários prefixos, apenas o último é usado.

  • Os filtros simples não oferecem suporte a vários endereços de origem e endereços de destino em um único termo. Se você configurar vários endereços, apenas o último será usado.

  • Filtros simples não suportam condições de correspondência negadas, como a condição da protocol-except correspondência ou a exception palavra-chave.

  • Os filtros simples oferecem suporte a uma variedade de valores apenas destination-port para source-port condições compatíveis. Por exemplo, você pode configurar source-port 400-500 ou destination-port 600-700.

  • Os filtros simples não oferecem suporte a valores de máscaras não incansáveis.

Tabela 1 lista as condições simples de correspondência do filtro.

Tabela 1: Condições simples de correspondência do filtro

Condição da partida

Descrição

destination-address destination-address

Endereço de destino IP compatível.

destination-port number

Campo de porta de destino TCP ou UDP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de protocol correspondência para determinar qual protocolo está sendo usado na porta.

No lugar do valor numérico, você pode especificar um dos seguintes aliases de texto (os números de porta também estão listados): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), (435), mobilip-mn (639), netbios-dgmmsdp (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (44)4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

forwarding-class class

Combine com a classe de encaminhamento do pacote.

Especifiqueassured-forwarding, best-effortexpedited-forwardingou network-control.

Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.

protocol number

Campo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes pseudônimos de texto (os valores de campo também estão listados): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), (89), pimospf (103), rsvp (46), sctp (132), (6), tcpudp (17) ou vrrp (112).

source-address ip-source-address

Combine com o endereço de origem IP.

source-port number

Combine com o campo de porta de origem UDP ou TCP.

Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de protocol correspondência para determinar qual protocolo está sendo usado na porta.

No lugar do campo numérico, você pode especificar um dos pseudônimos de texto listados para destination-port.

Ações de terminação de filtros simples

Os filtros simples não suportam ações de terminação explicitamente configuráveis, como accept, rejecte discard. Os termos configurados em um filtro simples sempre aceitam pacotes.

Filtros simples não suportam a ação next .

Simples ações sem administração de filtros

Os filtros simples oferecem suporte apenas às seguintes ações não intermináveis:

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    Nota:

    Nos roteadores da Série MX e switches da Série EX com o DPC de enfileiramento aprimorado, a classe de encaminhamento não é suportada como uma from condição compatível.

  • loss-priority (high | low | medium-high | medium-low)

Os filtros simples não oferecem suporte a ações que executam outras funções em um pacote (como incrementar um contador, registrar informações sobre o cabeçalho do pacote, provar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema).