Condições e ações de correspondência do filtro de firewall (roteadores da Série PTX)

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os campos e os valores que um pacote deve conter para serem considerados compatíveis. Você pode definir condições individuais ou múltiplas em declarações de correspondência. Você também pode incluir nenhuma declaração de correspondência, nesse caso o termo corresponde a todos os pacotes.

Quando um pacote corresponde a um filtro, o roteador toma a ação especificada no termo. Além disso, você pode especificar modificadores de ação para contar, espelhar, limitar a taxa e classificar pacotes. Se nenhuma condição de correspondência for especificada para o termo, o roteador aceita o pacote por padrão.

No PTX10003, você pode aplicar vários filtros de firewall em uma única interface como uma única lista de entrada ou lista de saída (filter input-list and output-list). Dessa forma, você só gerencia a configuração para uma tarefa de filtragem em um único filtro de firewall. Isso oferece flexibilidade em ambientes grandes quando você tem um dispositivo configurado com muitas interfaces. Você pode fazer o mesmo no PTX10008, mas o roteador só oferece suporte para aplicar vários filtros de firewall em uma única lista de entrada.

Tabela 1 descreve as condições de correspondência que você pode especificar ao configurar um filtro de firewall. Algumas das condições de correspondência de campo numérico e numérico permitem que você especifique um sinônimo de texto. Para ver uma lista de todos os sinônimos para uma condição de correspondência, digite ? no local apropriado em uma declaração.
Tabela 2 mostra as ações e modificadores de ação que você pode especificar em um termo.

Tabela 1: Condições de correspondência suportadas
Condição da partida	Descrição	Interfaces com suporte
`address address [ except ]`	Combine com o campo de endereço de origem ou destino, a menos que a opção `except` esteja incluída.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`destination-address address [ except ]`	Combine com o campo de endereço de destino, a menos que a opção `except` esteja incluída. Você não pode especificar as condições de correspondência e `destination-address` ambos `address` no mesmo termo.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`destination-port number`	Combine com o campo de porta de destino UDP ou TCP. Você também deve configurar a `protocol udp` declaração ou `protocol tcp` correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. Você não pode especificar as `port` condições e `destination-port` as condições compatíveis no mesmo termo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), (21) `eklogin` 05), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), (434), `mobileip-agentmobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), (139), (2049), (119), (518), (518), (137), `netbios-ssn` (139), `nfsd` (2049), (119), `nntpntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), (44) `snpp` 4), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) ou `xdmcp` (177).	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`destination-port-except number`	Não corresponda ao campo de porta de destino UDP ou TCP. Para obter mais informações, veja a condição da `destination-port` partida.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`destination-prefix-list name [ except ]`	Prefixos de destino compatíveis em uma lista, a menos que a opção `except` esteja incluída. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica `[edit policy-options]` .	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`dscp number`	Combine com o ponto de código de serviços diferenciados (DSCP). O protocolo DiffServ usa o byte de tipo de serviço (ToS) no cabeçalho IP. Os 6 bits mais significativos desse byte formam o DSCP. Você pode especificar DSCP em forma hexadédica, binária ou decima. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `be`— melhor esforço (padrão) `ef (46)`— conforme definido no RFC 3246, um PHB de encaminhamento acelerado. `af11 (10)`, ; `af12 (12)af13 (14)` `af21 (18)`, ; `af22 (20)af23 (22)` `af31 (26)`, ; `af32 (28)af33 (30)` `af41 (34)`, `af42 (36)af43 (38)` Essas quatro classes, com três precedências de queda em cada classe, para um total de 12 pontos de código, são definidas na RFC 2597, PHB de encaminhamento garantido. `cs0`, `cs1`, `cs2`, `cs3`, , `cs4`, `cs5`, `cs6`, `cs7cs5`	Interfaces IPv4 (inet) e IPv6 (inet6).
`dscp-except number`	Não corresponda ao número de DSCP. Para obter mais informações, veja a condição da `dscp` partida.	Interfaces IPv4 (inet) e IPv6 (inet6).
`first-fragment`	Combine se o pacote é o primeiro fragmento de um pacote fragmentado. Não combine se o pacote é um fragmento de rastreamento de um pacote fragmentado. O primeiro fragmento de um pacote fragmentado tem um valor de compensação de fragmentos de `0`. Esta condição de jogo é um vulto para a condição de jogo de condição `fragment-offset 0` de jogo de campo bit. Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência: `first-fragment` e `is-fragment`...	Interfaces IPv4 (inet).
`forwarding-class class`	Classifique o pacote em uma das seguintes aulas de encaminhamento padrão ou em uma aula de encaminhamento definida pelo usuário: `best-effort` `fcoe` `network-control` `no-loss`	Interfaces IPv4 (inet), IPv6 (inet6) e MPLS.
`forwarding-class-except class`	Não corresponda à classe de encaminhamento do pacote. Para obter mais informações, veja a condição da `forwarding-class` partida.	Interfaces IPv4 (inet), IPv6 (inet6) e MPLS.
`fragment-flags number`	Combine com o campo de bandeiras de fragmentação de IP de três bits no cabeçalho IP. No lugar do valor de campo numérico, você pode especificar uma das seguintes palavras-chave (os valores de campo também estão listados): `dont-`(0x4), `more-s` (0x2) ou `reserved` (0x8).	Interfaces IPv4 (inet).
`fragment-offset value`	Combine com o campo de compensação de fragmentos de 13 bits no cabeçalho IP. O valor é a compensação, em unidades de 8 byte, na mensagem geral de datagrama para o fragmento de dados. Especifique um valor numérico, uma variedade de valores ou um conjunto de valores. Um valor de compensação `0` indica o primeiro fragmento de um pacote fragmentado. A `first-fragment` condição da partida é um vulto para a condição da `fragment-offset 0` partida. Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência (`first-fragment` e `is-fragment`).	Interfaces IPv4 (inet).
`fragment-offset-except number`	Não combine com o campo de compensação de fragmentos de 13 bits.	Interfaces IPv4 (inet).
`icmp-code message-code`	Combine com o campo de código de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou `next-header icmp6` a `next-header icmp` condição de correspondência no mesmo termo. Se você configurar essa condição de correspondência, você também deve configurar a condição de `icmp-type message-type` correspondência no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas: problema de parâmetros: `ip-header-bad`(0), `required-option-missing` (1) redirecionar: `redirect-for-host`(1), `redirect-for-network` (0), `redirect-for-tos-and-host` (3), `redirect-for-tos-and-net` (2) tempo excedido: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) Inacessível: `communication-prohibited-by-filtering`(13), `destination-host-prohibited` (10), `destination-host-unknown` (7), `destination-network-prohibited` (9), `destination-network-unknown` (6), `fragmentation-needed` (4), (14), `host-precedence-violationhost-unreachable` (1), `host-unreachable-for-TOS` (12), `network-unreachable` (0), `network-unreachable-for-TOS` (11), `port-unreachable` (3), `precedence-cutoff-in-effect` (15), (2), `protocol-unreachablesource-host-isolated` (8), `source-route-failed` (5)	Interfaces IPv4 (inet) e IPv6 (inet6).
`icmp-code-except message-code`	Não corresponda ao campo de código de mensagem do ICMP. Para obter mais informações, veja a condição da `icmp-code` partida.	Interfaces IPv4 (inet) e IPv6 (inet6).
`icmp-type number`	Combine com o campo do tipo de mensagem do ICMP. Você também deve configurar `icmp` ou `icmpv6` como `protocol` `next-header` tipo de correspondência no mesmo termo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `echo-reply`(0), `echo-request` (8), `info-reply` (16), `info-request` (15), `mask-request` (17), `mask-reply` (18), (12), `parameter-problemredirect` (5), `router-advertisement` (9), `router-solicit` (10), `source-quench` (4), `time-exceeded` (11), `timestamp` (13), `timestamp-reply` (14) ou `unreachable` (3). Veja também `icmp-code variable`.	Interfaces IPv4 (inet) e IPv6 (inet6).
`icmp-type-except message-type`	Não combine com o campo do tipo de mensagem do ICMP. Para obter mais informações, veja a condição da `icmp-type` partida.	Interfaces IPv4 (inet) e IPv6 (inet6).
`interface interface-name`	Para filtros de entrada, combine com a interface em que o pacote foi recebido. Para filtros de saída, combine com a interface na qual o pacote foi enviado. Nota: PTX5000 roteadores da série não suportam a conexão da `em0.0` interface (o enlace interno entre o roteamento e os mecanismos de encaminhamento de pacotes) para `lo0` (a interface de loopback), por exemplo, para filtrar tráfego auto-originário, como Telnet e SSH, criando um filtro de firewall no lo0 para combinar o tráfego em em0.0. O trecho de código a seguir fornece contexto: firewall filter core-protect { term Telnet { from { protocol tcp; destination-port telnet; interface em0.0; } then accept; } } }	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`interface-except number`	Não corresponda à interface lógica na qual o pacote foi recebido. Para obter mais informações, veja a condição da `interface` partida.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`is-fragment`	Combine se o pacote é um fragmento de rastreamento de um pacote fragmentado. Não corresponda ao primeiro fragmento de um pacote fragmentado. Nota: Para combinar os fragmentos de primeiro e de rastreamento, você pode usar dois termos que especificam diferentes condições de correspondência (`first-fragment` e `is-fragment`). Para PTX10003 roteadores que executam o Junos OS Evolved, todos os pacotes fragmentados, incluindo o primeiro fragmento de pacotes fragmentados, serão compatíveis em qualquer termo de filtro de firewall que contenha uma correspondência "is-fragment".	Interfaces IPv4 (inet).
`loss-priority level`	Corresponda à prioridade de perda de pacotes (PLP). Especifique um único nível ou vários níveis: `low`ou`medium-lowmedium-highhigh`... Nota: O `loss-priority` modificador de ação não é suportado em combinação com a ação `policer` .	Interfaces IPv4 (inet), IPv6 (inet6) e MPLS.
`loss-priority-except level`	Não corresponda ao nível de PLP. Para obter mais informações, veja a condição da `loss-priority` partida.	Interfaces IPv4 (inet), IPv6 (inet6) e MPLS.
`next-header header-type`	Combine com o primeiro campo de cabeçalho próximo de 8 bits no pacote. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `ah`(51), `dstops` (60), `egp` (8), `esp` (50), `fragment` (44), (47), `gre` (0), `hop-by-hopicmp` (1), `icmp6` (58), `icmpv6` (58), `igmp` (2), `ipip` (4), (4) `ipv6` 1), `mobility` (135), `no-next-header` (59), `ospf` (89), `pim` (103), `routing` (43), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) ou `vrrp` (112).	Interfaces IPv6 (inet6).
`next-header-except header-type`	Não combine com o campo Next Header de 8 bits que identifica o tipo de cabeçalho entre o cabeçalho IPv6 e a carga útil. Para obter mais informações, veja o tipo de `next-header` correspondência.	Interfaces IPv6 (inet6)
`packet-length bytes`	Corresponda à duração do pacote recebido, em bytes. O comprimento refere-se apenas ao pacote IP, incluindo o cabeçalho do pacote, e não inclui nenhuma sobrecarga de encapsulamento de Camada 2. Você também pode especificar uma variedade de valores a serem combinados.	Interfaces IPv4 (inet) e IPv6 (inet6).
`packet-length-except bytes`	Não corresponda ao comprimento do pacote recebido, em bytes. Para obter mais informações, veja o tipo de `packet-length` correspondência.	Interfaces IPv4 (inet) e IPv6 (inet6).
`port number`	Combine com o campo de porta de origem ou destino UDP ou TCP. Você também deve configurar a `protocol udp` declaração ou `protocol tcp` correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. Você não pode configurar a condição da `destination-port` correspondência ou a condição de `source-port` correspondência no mesmo termo. No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados em `destination-port`.	Interfaces IPv4 (inet) e IPv6 (inet6).
`port-except number`	Não corresponda ao UDP de origem ou destino ou ao campo de porta TCP. Para obter mais informações, veja a condição da `port` partida.	Interfaces IPv4 (inet) e IPv6 (inet6).
`precedence ip-precedence-value`	Combine com o campo de precedência de IP. No lugar do valor de campo numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `critical-ecp`(0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) ou `routine` (0x00). Você pode especificar a precedência em forma hexadima, binária ou decimais.	Interfaces IPv4 (inet).
`precedence-except ip-precedence-value`	Não corresponda ao campo de precedência de IP.	Interfaces IPv4 (inet).
`protocol number`	Combine com o campo do tipo de protocolo IPv4. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores numéricos também estão listados): `hop-by-hop (0)`,`icmp (1)`, , `igmp (2)icmp6`, , `ipip (4)`, `egp (8)ipv6 (41)routing (43)udp (17)tcp (6)fragment (44)rsvp (46)`, `esp (50)icmp6 (58)ah (51)gre (47)`, `no-next-header (59)`, `dstopts (60)`, `ospf (89)`, , , `vrrp (112)pim (103)sctp (132)`	Interfaces IPv4 (inet).
`protocol-except number`	Não corresponda ao campo do tipo de protocolo IP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `ah`(51), `dstopts` (60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), `icmpv6` (58), `igmp` (2), `ipip` (4), `ipv6` (41), (89), `pimospf` (103), `rsvp` (46), `sctp` (132), (6), `tcpudp` (17) ou `vrrp` (112).	Interfaces IPv4 (inet).
`source-address ip-address`	Campo de endereço de origem IP, que é o endereço do nó que enviou o pacote.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`source-address address [ except ]`	Combine com o endereço IP do nó de origem que envia o pacote a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao endereço IP do nó de origem que envia o pacote. Você não pode especificar as `address` condições e `source-address` as condições compatíveis no mesmo termo.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`source-port value`	Combine com a porta de origem TCP ou UDP. Você também deve configurar a `protocol udp` declaração ou `protocol tcp` correspondência no mesmo termo. No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de `destination-port number` correspondência.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`source-port-except number`	Não corresponda ao campo de porta de origem UDP ou TCP. Para obter mais informações, veja a condição da `source-port` partida.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`source-prefix-list prefix-list`	Lista de prefixo de origem IP. Você pode definir uma lista de prefixos de endereço IP em um pseudônimo de lista de prefixo para uso frequente. Defina esta lista no nível hierárquica `[edit policy-options]` .	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`tcp-flags value`	Combine um ou mais dos 6 bits de baixa ordem no campo de bandeiras TCP de 8 bits no cabeçalho do TCP. Para especificar campos de bits individuais, você pode especificar os seguintes sinônimos de texto ou valores hexadecimal: `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) Em uma sessão de TCP, a bandeira SYN é definida apenas no pacote inicial enviado, enquanto a bandeira ACK é definida em todos os pacotes enviados após o pacote inicial. Você pode reunir várias bandeiras usando os operadores lógicos de campo bit. Se você configurar esta condição de correspondência, recomendamos que você também configure a declaração de `protocol tcp` correspondência no mesmo termo para especificar se o protocolo TCP está sendo usado na porta. Somente para tráfego IPv4, essa condição de correspondência não verifica implicitamente se o datagrama contém o primeiro fragmento de um pacote fragmentado. Para verificar se essa condição é apenas para tráfego IPv4, use a condição da `first-fragment` correspondência.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`traffic-class value`	Campo de 8 bits que especifica a prioridade de classe de serviço (CoS) do pacote. O campo de classe de tráfego é usado para especificar um valor de ponto de código DiffServ (DSCP). Esse campo foi usado anteriormente como o campo de tipo de serviço (ToS) no IPv4, e a semântica deste campo (por exemplo, DSCP) é idêntica à do IPv4. Você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `af11 (10)`, `af12 (12)`, `af13 (14)`, `af21 (18)`, , `af22 (20)`, `af31 (26)af23 (22)`, `af32 (28)af41 (34)af33 (30)`, `af42 (36)`, , `af43 (38)`, `cs0 (0)cs2 (16)cs1 (8)`, , `cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)`	Interfaces IPv6 (inet6).
`traffic-class-except number`	Não corresponda ao campo de 8 bits que especifica a prioridade cos do pacote. Para obter mais informações, veja a descrição da `traffic-class` correspondência.	Interfaces IPv6 (inet6).
`ttl number`	Combine com o número de tempo ao vivo IPv4 ou IPv6. Especifique um valor de TTL ou uma variedade de valores de TTL. Para `number`, você pode especificar um ou mais valores de `0` até `255`.	Interfaces IPv4 (inet) e IPv6 (inet6).
`ttl-except number`	Não corresponda ao número IPv4 ou IPv6 TTL. Para obter mais informações, veja a condição da `ttl` partida.	Interfaces IPv4 (inet) e IPv6 (inet6).
`vxlan`	Especifique um valor numérico ou intervalo de valores numéricos para o VNI. Aplique o filtro na interfacede entrada. `vni vni-value`— Combine com o VNI. `vni-except vni-value`— Não corresponda ao VNI. Nota: Começando pelo Junos OS Evolved Release 23.4R2, você pode filtrar `vni` e `vni-except` valores numéricos em uma `vxlan` condição de correspondência em interfaces de entrada e saída.	Interfaces IPv4 (inet).

Use then declarações para definir ações que devem ocorrer se um pacote corresponde a todas as condições em uma from declaração. Tabela 2 Mostra as ações que você pode especificar em um termo. (Se você não incluir uma then declaração, o sistema aceita pacotes compatíveis com o filtro.)

Tabela 2: Modificadores de ações e ações
Ação	Descrição
`accept`	Aceite um pacote. Esta é a ação padrão para pacotes que correspondem a um termo.
`discard`	Descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP).
`count counter-name`	Conte o número de pacotes compatíveis com o termo.
`forwarding-class class`	Classifique o pacote em uma das seguintes aulas de encaminhamento padrão ou em uma aula de encaminhamento definida pelo usuário: `best-effort` `fcoe` `mcast` `network-control` `no-loss` Nota: A `forwarding-class` ação tem suporte para interfaces IPv4, IPv6 e MPLS.
`log`	Registre as informações de cabeçalho do pacote no mecanismo de roteamento. Para visualizar essas informações, insira o comando do `show firewall log` modo operacional. Nota: O `log` modificador de ação só é suportado em interfaces de entrada IPv4 e IPv6.
`loss-priority level`	Definir a prioridade de perda de pacotes (PLP).
`policer policer-name`	Envie pacotes a um policial (com a finalidade de aplicar limitações de taxa). O PTX10003 oferece suporte a policiadores de duas cores, de três cores de taxa única (srTCM) e de marcador de três cores (trTCM) de duas categorias. Nota: O `policer` modificador de ação não é suportado em combinação com a ação `loss-priority` .
`redirect instance-name`	(Com suporte apenas para dispositivos de PTX10004, PTX10008 e PTX10016 que executam apenas o Junos Evolved OS Release 22.1R1.) Envie pacotes para o controlador P4, conforme especificado na instância definida no `[services inline-monitoring instance instance-name` controller `p4]` nível da hierarquia junos.
`reject message-type`	Descarte um pacote e envie uma mensagem ICMPv4 ou ICMPv6 "destino inalcançável" (tipo 3). Para registrar pacotes rejeitados, configure o modificador de ação `syslog` . Você pode especificar um dos seguintes tipos de mensagem: `administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,` . Nota: O `tcp-reset` tipo de mensagem não é suportado. Se você não especificar um tipo de mensagem, a notificação do ICMP "destino inalcançável" é enviada com a mensagem padrão "comunicação filtrada administrativamente".
`syslog`	Registre um alerta para este pacote.
`routing-instance instance-name`	Encaminhe pacotes combinados para uma instância de roteamento virtual. Os pacotes podem ser encaminhados para a instância padrão. Suporte e `virtual-routerforwarding instance-types.`

Condições e ações de correspondência do filtro de firewall IPv6 (PTX10001-20C)

Este tópico descreve as condições, ações e modificadores de ação do filtro de firewall IPv6 para roteadores PTX10001-20C.

Cada termo em um filtro de firewall consiste em condições de correspondência e uma ação. As condições de correspondência são os campos e os valores que um pacote deve conter para serem considerados compatíveis. Você pode definir condições individuais ou múltiplas em declarações de correspondência. Você também pode incluir a declaração sem correspondência, nesse caso o termo corresponde a todos os pacotes.

Quando um pacote corresponde a um filtro, o roteador toma a ação especificada no termo. Você também pode especificar modificadores de ação para contar, espelhar e classificar pacotes. Se nenhuma condição de correspondência for especificada para o termo, o roteador aceita o pacote por padrão.

Nota:

Em roteadores de PTX10001-20C, você só pode aplicar um filtro de firewall em interfaces IPv6 na direção de entrada.

Tabela 3 descreve as condições de correspondência suportadas.
Tabela 4 mostra as ações que você pode especificar em um termo. Se você não incluir uma then declaração, o sistema aceita pacotes compatíveis com o filtro.
Tabela 5 mostra os modificadores de ação que você pode usar para contar, espelhar, limitar a taxa e classificar pacotes.

Tabela 3: Condições de correspondência suportadas pelo IPv6
Condição da partida	Descrição
`address address [ except ]`	Combine com o campo de endereço de origem ou destino IPv6, a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de origem ou destino IPv6.
`apply-groups`	Especifique de quais grupos herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los em ordem de prioridade de herança. Os dados de configuração do primeiro grupo têm prioridade sobre os dados em grupos subsequentes.
`apply-groups-except`	Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.
`destination-address address [ except ]`	Combine com o campo de endereço de destino IPv6, a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao campo de endereço de destino IPv6. Você não pode especificar as `address` condições e `destination-address` as condições compatíveis no mesmo termo.
`destination-port number`	Combine com o campo de porta de destino UDP ou TCP. Você não pode especificar as `port` condições e `destination-port` as condições compatíveis no mesmo termo. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou `next-header tcp` a `next-header udp` condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), (21) `eklogin` 05), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), (434), `mobileip-agentmobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), (139), (2049), (119), (518), (518), (137), `netbios-ssn` (139), `nfsd` (2049), (119), `nntpntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), (44) `snpp` 4), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) ou `xdmcp` (177).
`destination-port-except number`	Não corresponda ao campo de porta de destino UDP ou TCP. Para obter mais informações, veja a condição da `destination-port` partida.
`destination-prefix-list prefix-list-name [ except ]`	Combine o prefixo de destino IPv6 com a lista especificada, a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao prefixo de destino IPv6 à lista especificada. A lista de prefixo é definida no `[edit policy-options prefix-list prefix-list-name`nível ] hierarquia.
`icmp-code message-code`	Combine com o campo de código de mensagem do ICMP. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou `next-header icmp6` a `next-header icmp` condição de correspondência no mesmo termo. Um código de mensagem ICMP fornece informações mais específicas do que um tipo de mensagem ICMP, mas o significado de um código de mensagem ICMP depende do tipo de mensagem ICMP associado. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados). As palavras-chave são agrupadas pelo tipo ICMP com as quais estão associadas: problema de parâmetros: `ip6-header-bad`(0), `unrecognized-next-header` (1), `unrecognized-option` (2) tempo excedido: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) destino inalcançável: `administratively-prohibited`(1), `address-unreachable` (3), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	Não corresponda ao campo de código de mensagem do ICMP. Para obter mais informações, veja a condição da `icmp-code` partida.
`message-type`	Combine com o campo do tipo de mensagem do ICMP. Você também deve configurar `icmp` ou `next-header icmp6` combinar a condição no mesmo termo. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `certificate-path-advertisement`(149), `certificate-path-solicitation` (148), `destination-unreachable` (1), `echo-reply` (129), `echo-request` (128), `home-agent-address-discovery-reply` (145), `home-agent-address-discovery-request` (144), `inverse-neighbor-discovery-advertisement` (142), `inverse-neighbor-discovery-solicitation` (141), `membership-query` (130), (131), (132), (147), (146), (146), (131), `membership-reportmembership-termination` (132), `mobile-prefix-advertisement-reply` (147), `mobile-prefix-solicitation` (146) `neighbor-advertisement` 136), `neighbor-solicit` (135), `node-information-reply` (140), `node-information-request` (139), `packet-too-big` (2), (4), `private-experimentation-100parameter-problem` (100), `private-experimentation-101` (101), `private-experimentation-200` (200), `private-experimentation-201` (201), `redirect` (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit` (133) ou `time-exceeded` (3). Para `private-experimentation-201` (201), você também pode especificar uma variedade de valores dentro de parênteses quadrados.
`icmp-type-except message-type`	Não combine com o campo do tipo de mensagem do ICMP. Para obter mais informações, veja a condição da `icmp-type` partida.
`next`	Continue até o próximo termo em um filtro.
`next-header header-type`	Combine com o primeiro campo next header de 8 bits no pacote. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os valores de campo também estão listados): `ah`(51), `dstops` (60), `egp` (8), `esp` (50), `fragment` (44), (47), `gre` (0), `hop-by-hopicmp` (1), `icmp6` (58), `icmpv6` (58), `igmp` (2), `ipip` (4), (4) `ipv6` 1), `mobility` (135), `no-next-header` (59), `ospf` (89), `pim` (103), `routing` (43), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) ou `vrrp` (112). Nota: `next-header icmp6` e `next-header icmpv6` as condições de correspondência executam a mesma função. `next-header icmp6` é a opção preferida. `next-header icmpv6` está oculta no Junos OS CLI.
`next-header-except header-type`	Não combine com o campo Next Header de 8 bits que identifica o tipo de cabeçalho entre o cabeçalho IPv6 e a carga útil. Para obter mais informações, veja o tipo de `next-header` correspondência.
`port number`	Combine com o campo de porta de origem ou destino UDP ou TCP. Se você configurar esta condição de correspondência, não poderá configurar a condição da `destination-port` correspondência ou a condição da `source-port` correspondência no mesmo termo. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou `next-header tcp` a `next-header udp` condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados em `destination-port`.
`port-except number`	Não corresponda ao campo de porta de origem ou destino UDP ou TCP. Para obter mais informações, veja a condição da `port` partida.
`port-mirror instance-name`	Espelhar a porta do pacote.
`port-mirror-instance instance-name`	Espelhar uma porta de um pacote, por exemplo.
`prefix-list prefix-list-name [ except ]`	Combine os prefixos dos campos de endereço de origem ou destino com os prefixos na lista especificada, a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não combine os prefixos dos campos de endereço de origem ou destino com os prefixos da lista especificada. A lista de prefixo é definida no nível de `[edit policy-options prefix-list prefix-list-name]` hierarquia.
`sample`	Experimente o pacote.
`source-address address [ except ]`	Combine com o endereço IPv6 do nó de origem que envia o pacote a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao endereço IPv6 do nó de origem que envia o pacote. Você não pode especificar as `address` condições e `source-address` as condições compatíveis no mesmo termo.
`source-port number`	Combine com o campo de porta de origem UDP ou TCP. Você não pode especificar as `port` condições e `source-port` combinar no mesmo termo. Se você configurar esta condição de correspondência, recomendamos que você também configure a condição ou `next-header tcp` a `next-header udp` condição de correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. Nota: Para o Junos OS Evolved, você deve configurar a `next-header udp` declaração ou `next-header tcp` a declaração de correspondência no mesmo termo. No lugar do valor numérico, você pode especificar um dos sinônimos de texto listados com a condição de `destination-port number` correspondência.
`source-port-except number`	Não corresponda ao campo de porta de origem UDP ou TCP. Para obter mais informações, veja a condição da `source-port` partida.
`source-prefix-list name [ except ]`	Combine com o prefixo de endereço IPv6 do campo de origem do pacote, a menos que a opção `except` esteja incluída. Se a opção estiver incluída, não corresponda ao prefixo de endereço IPv6 do campo de origem do pacote. Especifique um nome de lista de prefixo definido no nível de `[edit policy-options prefix-list prefix-list-name]` hierarquia.

Nota:

Se você especificar um endereço IPv6 em uma condição de correspondência (as addresscondições, destination-addressou source-address condições de correspondência), use a sintaxe para representações de texto descritas na RFC 4291, Arquitetura de endereçamento IP Versão 6. Para obter mais informações sobre endereços IPv6, consulte a visão geral do IPv6 e os padrões IPv6 com suporte.

Tabela 4: Ações para filtros de firewall IPv6
Ação	Descrição
`accept`	Aceite um pacote. Esta é a ação padrão para pacotes que correspondem a um termo.
`discard`	Descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP).
`redirect instance-name`	(Com suporte apenas para dispositivos de PTX10004, PTX10008 e PTX10016 que executam apenas o Junos Evolved OS Release 22.1R1.) Envie pacotes para o controlador P4, conforme especificado na instância definida no nível do `[services inline-monitoring instance instance-name` controlador `p4]` da hierarquia Junos.

Tabela 5: Modificadores de ação para filtros de firewall IPv6
Modificador de ação	Descrição
`count counter-name`	Conte o número de pacotes compatíveis com o termo.
`forwarding-class class`	Classifique o pacote em uma das seguintes aulas de encaminhamento padrão ou em uma aula de encaminhamento definida pelo usuário: `best-effort` `fcoe` `mcast` `network-control` `no-loss` Nota: Para configurar uma classe de encaminhamento, você também deve configurar a prioridade de perda.
`loss-priority (low \| medium-low \| medium-high \| high)`	Definir a prioridade de perda de pacotes (PLP).

Nesta página

Condições e ações de correspondência do filtro de firewall (roteadores da Série PTX)

Condições e ações de correspondência do filtro de firewall (roteadores da Série PTX)

Condições e ações de correspondência do filtro de firewall IPv6 (PTX10001-20C)

Tópicos relacionados