Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de filtros de firewall

Você pode configurar filtros de firewall em um switch para controlar o tráfego que entra ou sai de interfaces de Camada 3 (roteada). Para usar um filtro de firewall, você deve configurar o filtro e depois aplicá-lo a uma interface de Camada 3.

Configuração de um filtro de firewall

Para configurar um filtro de firewall:

  1. Configure o tipo de endereço da família, o nome do filtro, o nome do termo e pelo menos uma condição de correspondência — por exemplo, combine com pacotes que contenham um endereço de origem específico:

    Especifique o tipo inet de endereço da família para IPv4 ou inet6 IPv6.

    Os nomes do filtro e do termo podem conter letras, números e hífens (-) e podem ter até 64 caracteres de comprimento. Cada nome do filtro deve ser único. Um filtro pode conter um ou mais termos, e cada nome de termo deve ser exclusivo dentro de um filtro.

  2. Configure condições adicionais de correspondência. Por exemplo, combine com pacotes que contêm uma porta de origem específica:

    Você pode especificar uma ou mais condições de correspondência em uma única from declaração. Para que a correspondência ocorra, o pacote deve corresponder a todas as condições do termo. A from declaração é opcional, mas se incluída em um termo, não pode estar vazia. Se você omitir a from declaração, todos os pacotes serão considerados compatíveis.

  3. Se você quiser aplicar um filtro de firewall em várias interfaces e ser capaz de ver contadores específicos de cada interface, configure a opção interface-specific :
  4. Em cada termo de filtro de firewall, especifique as ações a serem tomadas se o pacote atender a todas as condições nesse termo. Você pode especificar uma ação e modificadores de ação:
    • Para especificar uma ação de filtro, por exemplo, descartar pacotes que correspondam às condições do termo filtro:

      Você não pode especificar mais do que uma ação (accept, discard, reject, , routing-instanceou vlan) por termo.

    • Especificar modificadores de ação, por exemplo, para contar e classificar pacotes para uma classe de encaminhamento. Por exemplo:

    Se você omitir a then declaração ou não especificar uma ação, serão aceitos pacotes que correspondam a todas as condições da from declaração. No entanto, você deve sempre configurar explicitamente uma ação na then declaração. Você pode incluir não mais do que uma declaração de ação, mas pode usar qualquer combinação de modificadores de ação. Para que uma ação ou modificador de ação entre em vigor, todas as condições da from declaração devem corresponder.

    Nota:

    O descarte implícito também é aplicável a um filtro de firewall aplicado à interface de loopback. lo0

Nota:

Para obter a lista completa de condições de correspondência, ações e modificadores de ação, veja Condições e ações de correspondência do filtro de firewall (EX4100, EX4100-F, EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700). Observe que no switch OCX1100 você pode usar apenas aquelas condições de correspondência válidas para interfaces IPv4 e IPv6.

Aplicando um filtro de firewall em uma interface de camada 3 (roteada)

Para aplicar um filtro de firewall a uma interface de Camada 3:

  1. Forneça uma descrição significativa do filtro de firewall na configuração da interface à qual o filtro será aplicado:
  2. Você pode aplicar filtros de firewall para filtrar pacotes que entram ou saem de uma interface de Camada 3:
    • Aplicar um filtro de firewall para filtrar pacotes que entram em uma interface de Camada 3:

    • Aplicar um filtro de firewall para filtrar pacotes que saem de uma interface de Camada 3:

    Nota:

    Você pode aplicar apenas um filtro em uma interface para uma determinada direção (entrada ou saída).