Diretrizes para a configuração de filtros simples
Hierarquia de declarações para configurar filtros simples
Para configurar um filtro simples, inclua a declaração no nível de hierarquia.simple-filter simple-filter-name[edit firewall family inet]
[edit] firewall { familyinet{simple-filtersimple-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
As declarações individuais apoiadas pela declaração são descritas separadamente neste tópico e são ilustradas no exemplo de configurar e aplicar um filtro simples.simple-filter simple-filter-name
Famílias de protocolo de filtro simples
Você pode configurar filtros simples para filtrar apenas o tráfego IPv4 ().family inet Nenhuma outra família de protocolo é suportada para filtros simples.
Nomes de filtro simples
Sob a declaração, você pode incluir declarações para criar e nomear filtros simples.family inetsimple-filter simple-filter-name O nome do filtro pode conter letras, números e hífens (-) e ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").
Termos de filtro simples
Sob a declaração, você pode incluir declarações para criar e filtrar nomes.simple-filter simple-filter-nameterm term-name
Você deve configurar pelo menos um termo em um filtro de firewall.
Você deve especificar um nome exclusivo para cada termo em um filtro de firewall. O termo nome pode conter letras, números e hífens (-) e pode ter até 64 caracteres de comprimento. Para incluir espaços no nome, inclua todo o nome entre aspas (" ").
A ordem em que você especifica termos dentro de uma configuração de filtro de firewall é importante. Os termos do filtro de firewall são avaliados na ordem em que estão configurados. Por padrão, novos termos são sempre adicionados ao fim do filtro existente. Você pode usar o comando de modo de configuração para reordenar os termos de um filtro de firewall.
insert
Filtros simples não suportam a ação .next term
Condições simples de correspondência do filtro
Os termos de filtro simples oferecem suporte apenas a um subconjunto das condições de correspondência IPv4 que são suportadas para filtros de firewall sem estado padrão.
Ao contrário dos filtros de firewall sem estado padrão, as seguintes restrições se aplicam a filtros simples:
Nos roteadores da Série MX com o DPC de fila aprimorada e os switches da Série EX, os filtros simples não suportam a condição de jogo.
forwarding- classOs filtros simples suportam apenas um e um prefixo para cada termo de filtro.
source-addressdestination-addressSe você configurar vários prefixos, apenas o último é usado.Os filtros simples não oferecem suporte a vários endereços de origem e endereços de destino em um único termo. Se você configurar vários endereços, apenas o último será usado.
Filtros simples não suportam condições de correspondência negadas, como a condição da correspondência ou a palavra-chave.
protocol-exceptexceptionOs filtros simples oferecem suporte a uma variedade de valores apenas para condições compatíveis.
source-portdestination-portPor exemplo, você pode configurar ou .source-port 400-500destination-port 600-700Os filtros simples não oferecem suporte a valores de máscaras não incansáveis.
Tabela 1 lista as condições simples de correspondência do filtro.
Condição da partida |
Descrição |
|---|---|
|
Endereço de destino IP compatível. |
|
Campo de porta de destino TCP ou UDP. Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de correspondência para determinar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes aliases de texto (os números de porta também estão listados): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (113), (113) 43), (88), (543), (761), (754), (760), (544), (389), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (162), (162) 444), (1080), (22), (111), (514), (65), (517), (23), (69), (525), (513) ou (177). |
|
Combine com a classe de encaminhamento do pacote. Especifique, ou . Para obter informações sobre aulas de encaminhamento e filas de saída internas de roteador, veja Entenda como as aulas de encaminhamento atribuem aulas às filas de saída.Understanding How Forwarding Classes Assign Classes to Output Queues |
|
Campo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes pseudônimos de texto (os valores de campo também estão listados): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) ou (112). |
|
Combine com o endereço de origem IP. |
|
Combine com o campo de porta de origem UDP ou TCP. Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de correspondência para determinar qual protocolo está sendo usado na porta. No lugar do campo numérico, você pode especificar um dos pseudônimos de texto listados para . |
Ações de terminação de filtros simples
Os filtros simples não suportam ações de terminação explicitamente configuráveis, como , e .acceptrejectdiscard Os termos configurados em um filtro simples sempre aceitam pacotes.
Filtros simples não suportam a ação .next
Simples ações sem administração de filtros
Os filtros simples oferecem suporte apenas às seguintes ações não intermináveis:
forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)Nota:Nos roteadores da Série MX e switches da Série EX com o DPC de enfileiramento aprimorado, a classe de encaminhamento não é suportada como uma condição compatível.
fromloss-priority (high | low | medium-high | medium-low)
Os filtros simples não oferecem suporte a ações que executam outras funções em um pacote (como incrementar um contador, registrar informações sobre o cabeçalho do pacote, provar os dados do pacote ou enviar informações para um host remoto usando a funcionalidade de log do sistema).