Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Condiciones y acciones de coincidencia de filtro de Firewall (serie PTX enrutadores)

 

Condiciones y acciones de coincidencia de filtro de Firewall (PTX10003)

Cada término en un filtro de Firewall se compone de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y los valores que un paquete debe contener para que se considere una coincidencia. Puede definir una o varias condiciones de coincidencia en instrucciones Match. También puede incluir ninguna instrucción Match, en cuyo caso el término coincidirá con todos los paquetes.

Cuando un paquete coincide con un filtro, el enrutador realiza la acción especificada en el término. Además, puede especificar modificadores de acciones para contar, reflejar, limitar el límite y clasificar los paquetes. Si no se especifican condiciones de coincidencia para el término, el enrutador acepta el paquete de forma predeterminada.

Puede aplicar varios filtros de Firewall a una sola interfaz como una sola lista de entrada o lista defilter input-list and output-listresultados (). De este modo, solo se administra la configuración de una tarea de filtrado en un único filtro de Firewall. Esto proporciona flexibilidad en los entornos de gran tamaño cuando se tiene un dispositivo configurado con muchas interfaces.

  • Tabla 1describe las condiciones de coincidencia que puede especificar al configurar un filtro de Firewall. Algunas condiciones de coincidencia de rango numérico y campo de bits le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, ? escriba en el lugar apropiado de la instrucción.

  • Tabla 2muestra las acciones y los modificadores de acciones que puede especificar en un término.

Tabla 1: Condiciones de coincidencia compatibles (PTX10003)

Condición coincidir

Descripción

Interfaces compatibles

address address [ except ]

Hacer coincidir el campo de dirección de origen except o destino a menos que se incluya la opción.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

destination-address address [ except ]

Hacer coincidir con el campo Destination except address a menos que se incluya la opción.

No puede especificar ambas addressdestination-address condiciones en el mismo término.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

destination-port number

Hacer coincidir con el campo de puerto de destino UDP o TCP. También debe configurar las protocol udp instrucciones o protocol tcp match del mismo término para especificar qué protocolo se está utilizando en el puerto.

No puede especificar las port condiciones de destination-port coincidencia con el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los números de puertos): afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), ekloginekshell exec finger ftp ftp-data http https (2105), (2106), (512), (79), (21), (20), (80), (443),  identimap kerberos-sec klogin kpasswd krb-prop krbupdate kshell (113), (143), (88), (543), (761), (754), (760), (544),  ldapldp login mobileip-agent mobilip-mn msdp netbios-dgm netbios-ns (389), (646), (513), (434), (435), (639), (138), (137),  netbios-ssnnfsd nntp ntalk ntp pop3 pptp (139), (2049), (119), (518), (123), (110), (1723),  printerradacct radius rip rkinit smtp snmp (515), (1813), (1812), (520), (2108), (25), (161),  snmptraptacacs sunrpc syslog ssh  (162), snpp (444), socks(1080), (22), (111), (514), (49),  tacacs-dsxdmcp timed who tftp  (65), talk (517), telnet(23), (69), (525), (513) o (177).  

Las interfaces de IPv4 (inet) e IPv6 (inet6).

destination-port-except number

No coincide con el campo Puerto de destino UDP o TCP. Para obtener más detalles, destination-port vea la condición coincidir.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

destination-prefix-list name [ except ]

Hacer coincidir los prefijos de destino except en una lista a menos que se incluya la opción. Puede definir una lista de prefijos de direcciones IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

dscp number

Busca una coincidencia con el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ utiliza el byte de tipo de servicio (ToS) del encabezado de IP. Los 6 bits más significativos de este byte forman el DSCP.

Puede especificar DSCP en formato hexadecimal, binario o decimal.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

  • be—mejor esfuerzo (predeterminado)

  • ef (46)—como se define en RFC 3246, Un reenvío acelerado PHB.

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    Estas cuatro clases, con tres Precedencias de descarte en cada clase, para un total de 12 puntos de código, se definen en RFC 2597, Reenvío asegurado PHB.

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

Las interfaces IPv4 (inet) e IPv6 (inet6).

dscp-except number

No coincide con el número de DSCP. Para obtener más información, consulte dscp la condición coincidir.

Las interfaces IPv4 (inet) e IPv6 (inet6).

first-fragment

Hacer coincidir si el paquete es el primer fragmento de un paquete fragmentado.  No concuerdan si el paquete es un fragmento a la derecha de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de desplazamiento de 0fragmento de.

Esta condición de coincidencia es un alias para la condición de coincidencia de fragment-offset 0 condición de campo de bits.

Para hacer coincidir ambos fragmentos a la vez y al final, puede usar dos términos que especifiquen condiciones de coincidencia diferentes: first-fragmenty is-fragment.

Interfaces de IPv4 (inet).

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • network-control

  • no-loss

IPv4 (inet), IPv6 (inet6) y MPLS interfaces.

forwarding-class-except class

No coincide con la clase de reenvío del paquete. Para obtener más detalles, forwarding-class vea la condición coincidir.

IPv4 (inet), IPv6 (inet6) y MPLS interfaces.

fragment-flags number

Hacer coincidir el campo de marcadores de fragmentación de IP de tres bits en el encabezado IP.

En lugar del valor del campo numérico, puede especificar una de las palabras clave siguientes (también se muestran los valores del campo): dont- (0x4), more-s (0X2) o reserved (0x8).

Interfaces de IPv4 (inet).

fragment-offset value

Hacer coincidir con el campo de desplazamiento de fragmento de 13 bits en el encabezado IP. El valor es el desplazamiento, en unidades de 8 bytes, del mensaje de datagramas en su totalidad al fragmento de datos. Especifique un valor numérico, un rango de valores o un conjunto de valores. Un valor de 0 desplazamiento indica el primer fragmento de un paquete fragmentado.

La first-fragment condición coincidir es un alias para fragment-offset 0 la condición de coincidencia.

Para hacer coincidir ambos fragmentos a la vez y al final, puede usar dos términos que especifiquenfirst-fragment condiciones is-fragmentde coincidencias diferentes (and).

Interfaces de IPv4 (inet).

fragment-offset-except number

No deben coincidir con el campo de desplazamiento de fragmento de 13 bits.

Interfaces de IPv4 (inet).

icmp-code message-code

Hacer coincidir el campo de código de mensaje ICMP.

Si configura esta condición de coincidencia, es recomendable que configure también la next-header icmp condición next-header icmp6 o que coincida en el mismo término.

Si configura esta condición de coincidencia, debe configurar también la icmp-type message-type condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • parámetro-problema: ip-header-bad (0), required-option-missing (1)

  • redirección: redirect-for-host (1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

  • tiempo transcedido: ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • inalcanzable: communication-prohibited-by-filtering (13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed ( host-precedence-violation 4), (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

Las interfaces IPv4 (inet) e IPv6 (inet6).

icmp-code-except message-code

No deben coincidir con el campo Código de mensaje ICMP. Para obtener más detalles, icmp-code vea la condición coincidir.

Las interfaces IPv4 (inet) e IPv6 (inet6).

icmp-type number

Hacer coincidir el campo tipo de mensaje ICMP. También debe configurar icmp o icmpv6 comoprotocol siguiente encabezado tipo de coincidencia en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): echo-reply (0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18 parameter-problem ), (12), redirect (5), router-advertisement (9), router-solicit (10), source-quenchtime-exceeded timestamp timestamp-reply unreachable (4), (11), (13), (14) o (3).  

Consulte también icmp-code variable.

Las interfaces IPv4 (inet) e IPv6 (inet6).

icmp-type-except message-type

No deben coincidir con el campo tipo de mensaje ICMP. Para obtener más detalles, icmp-type vea la condición coincidir.

Las interfaces IPv4 (inet) e IPv6 (inet6).

interface interface-name

Para filtros de entrada, coincida con la interfaz en la que se recibió el paquete.

Para filtros de salida, concuerda con la interfaz en la que se envió el paquete.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

interface-except number

No coincide con la interfaz lógica en la que se recibió el paquete. Para obtener más detalles, interface vea la condición coincidir.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

is-fragment

Coincidencia si el paquete es un fragmento a la derecha de un paquete fragmentado.  No concuerda con el primer fragmento de un paquete fragmentado .

Nota: Para hacer coincidir ambos fragmentos a la vez y al final, puede usar dos términos que especifiquenfirst-fragment condiciones is-fragmentde coincidencias diferentes (and).

Para los enrutadores PTX10003 que se ejecutan Junos OS evolucionado, todos los paquetes fragmentados, incluido el primer fragmento de paquetes fragmentados, coincidirán en cualquier término de filtro de firewall que contenga una coincidencia "is-Fragment".

Interfaces de IPv4 (inet).

loss-priority level

Hacer coincidir la prioridad de pérdida de paquetes (PLP).

Especifique un único nivel o varios niveles: lowmedium-high, medium-low, o high.

Nota: El loss-priority modificador de acción no se admite en combinación con policer la acción.

IPv4 (inet), IPv6 (inet6) y MPLS interfaces.

loss-priority-except level

No coinciden con el nivel de PLP. Para obtener más detalles, loss-priority vea la condición coincidir.

IPv4 (inet), IPv6 (inet6) y MPLS interfaces.

next-header header-type

Hacer coincidir con el primer campo del encabezado siguiente de 8 bits del paquete.

Para IPv6, le recomendamos que utilice el payload-protocol término en lugar del next-header pero puede utilizarse cualquiera de estos dos. El servicio payload-protocol proporciona la condición de coincidencia más confiable, ya que utiliza el protocolo de carga real para encontrar una coincidencia.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58) icmpv6 , (58), igmprouting rsvpospf pim no-next-header mobilityipv6 (2), ipip (4), (41), (135), (59), (89), (103), (43),   (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

Interfaces IPv6 (inet6).

next-header-except header-type

No concuerdan con el campo de encabezado siguiente de 8 bits que identifica el tipo de encabezado entre el encabezado IPv6 y la carga. Para obtener más detalles, next-header vea el tipo de coincidencia.

Interfaces IPv6 (inet6)

packet-length bytes

Hacer coincidir con la longitud del paquete recibido, en bytes. La longitud sólo hace referencia al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2. También puede especificar un rango de valores con el que se va a hacer coincidir.

Las interfaces IPv4 (inet) e IPv6 (inet6).

packet-length-except bytes

No coincide con la longitud del paquete recibido, en bytes. Para obtener más detalles, packet-length vea el tipo de coincidencia.

Las interfaces IPv4 (inet) e IPv6 (inet6).

port number

Hacer coincidir con el campo de puerto de destino o de origen TCP o UDP. También debe configurar las protocol udp instrucciones o protocol tcp match del mismo término para especificar qué protocolo se está utilizando en el puerto.

No puede configurar la destination-port condición de coincidencia o source-port la condición de coincidencia en el mismo término.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

Las interfaces IPv4 (inet) e IPv6 (inet6).

port-except number

No deben coincidir con el campo UDP o en el puerto TCP de origen o de destino. Para obtener más detalles, port vea la condición coincidir.

Las interfaces IPv4 (inet) e IPv6 (inet6).

precedence ip-precedence-value

Hacer coincidir con el campo de prioridad IP.

En lugar del valor del campo numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también aparecen en la lista): critical-ecp (0XA0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xE0), priority (0x20) o routine (0x00). Puede especificar una prioridad en formato hexadecimal, binario o decimal.

Interfaces de IPv4 (inet).

precedence-except ip-precedence-value

No coinciden con el campo de precedencia IP.

Interfaces de IPv4 (inet).

protocol number

Hacer coincidir con el campo del tipo de protocolo IPv4. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores numéricos):

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

Interfaces de IPv4 (inet).

protocol-except number

No coincide con el campo tipo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): ah (51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6) , udp  (17) o vrrp (112).

Interfaces de IPv4 (inet).

source-address

ip-address

IP Source address, que es la dirección del nodo que envió el paquete.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

source-address address [ except ]

Hacer coincidir la dirección IP del nodo de origen que envía el except paquete a menos que se incluya la opción. Si se incluye la opción, no debe coincidir con la dirección IP del nodo de origen que envía el paquete.

No puede especificar las address condiciones de source-address coincidencia con el mismo término.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

source-port value

Hacer coincidir el puerto de origen TCP o UDP. También debe configurar la protocol udp instrucción or protocol tcp de coincidencia en el mismo término.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición coincidir.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

source-port-except number

 No coincide con el campo de puerto de origen UDP o TCP. Para obtener más detalles, source-port vea la condición coincidir.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

source-prefix-list prefix-list

Lista de prefijos de origen IP. Puede definir una lista de prefijos de direcciones IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el [edit policy-options] nivel de jerarquía.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

tcp-flags value

Busque coincidencias con uno o varios de los 6 bits de orden inferior en el campo de indicadores TCP de 8 bits del encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

  • fin 0x01

  • syn 0x02

  • rst 0x04

  • push (0x08)

  • ack 0x10

  • urgent 0x6

En una sesión TCP, el indicador SYN sólo se establece en el paquete inicial enviado, mientras que el indicador ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede unir varias marcas utilizando los operadores lógicos de campos de bits.

Si configura esta condición de coincidencia, es recomendable que configure también la protocol tcp instrucción Match en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.

Para el tráfico IPv4, esta condición de coincidencia no comprueba implícitamente si el datagrama contiene el primer fragmento de un paquete fragmentado. Para comprobar esta condición sólo para el tráfico IPv4, utilice la first-fragment condición coincidir.

Las interfaces de IPv4 (inet) e IPv6 (inet6).

traffic-class value

campo de 8 bits que especifica la prioridad de la clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usó anteriormente como campo de tipo de servicio (ToS) en IPv4, y la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4.

Puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos):

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56),ef (46)

Interfaces IPv6 (inet6).

traffic-class-except number

No concuerdan con el campo de 8 bits que especifica la prioridad de la CES del paquete. Para obtener más detalles, traffic-class vea la descripción de la coincidencia.

Interfaces IPv6 (inet6).

ttl number

Hacer coincidir el número de período de vida de IPv4 o IPv6. Especifique un valor TTL o un rango de valores de TTL. Para number, puede 0 especificar uno o más valores de hasta 255.

Las interfaces IPv4 (inet) e IPv6 (inet6).

ttl-except number

No coinciden en el número TTL de IPv4 o IPv6. Para obtener más detalles, ttl vea la condición coincidir.

Las interfaces IPv4 (inet) e IPv6 (inet6).

Utilice then las instrucciones para definir acciones que deberían tener lugar si un paquete coincide con todas from las condiciones de una instrucción. Tabla 2 muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema aceptará paquetes que coincidan con el filtro.)

Tabla 2: Acciones y modificadores de acción (PTX10003)

Intervención

Descriptiva

accept

Aceptar un paquete. Esta es la acción predeterminada para paquetes que coinciden con un término.

discard

Descartar un paquete silenciosamente sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

count counter-name

Cuente el número de paquetes que coinciden con el término.

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota: La forwarding-class acción se admite en interfaces IPv4, IPv6 e MPLS.

log

Registra la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, escriba el show firewall log comando del modo operativo.

Nota: El log modificador de acciones solo se admite en las interfaces IPv4 e IPv6 Ingress.

loss-priority level

Establecer la prioridad de pérdida de paquetes (PLP).

policer policer-name

Enviar paquetes a una policía (con el fin de aplicar la limitación de velocidad). El PTX10003 admite las políticas de dos colores, de tres colores (srTCM) y de marcador de tres colores (trTCM).

Nota: El policer modificador de acción no se admite en combinación con loss-priority la acción.

reject message-type

Descarta un paquete y envía un “mensaje” ICMPv4 o ICMPv6 de destino inaccesible (tipo 3). Para registrar los paquetes rechazados, configure el modificador de syslog acciones.

Puede especificar uno de los siguientes tipos de mensajes: administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, .

Nota: No tcp-reset se admite el tipo de mensaje.

Si no especifica un tipo de mensaje, el destino de notificación “ICMP inalcanzable” se envía con el mensaje “predeterminado comunicación filtrada administrativamente.”

syslog

Registrar una alerta para este paquete.

routing-instance instance-name

Reenvía paquetes coincidentes a una instancia de enrutamiento virtual. Los paquetes se pueden reenviar a la instancia predeterminada.

Admite virtual-router yforwarding instance-types.

Condiciones y acciones de coincidencia de filtro de Firewall de IPv6 (PTX10001-20C)

En este tema se describen las condiciones, acciones y modificadores de acciones de coincidencia de filtro de Firewall de IPv6 para los enrutadores PTX10001-20C.

Cada término en un filtro de Firewall se compone de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y los valores que un paquete debe contener para que se considere una coincidencia. Puede definir una o varias condiciones de coincidencia en instrucciones Match. También puede incluir la instrucción no coincidir, en cuyo caso el término coincidirá con todos los paquetes.

Cuando un paquete coincide con un filtro, el enrutador realiza la acción especificada en el término. También puede especificar modificadores de acciones para contar, reflejar y clasificar paquetes. Si no se especifican condiciones de coincidencia para el término, el enrutador acepta el paquete de forma predeterminada.

Nota

En los enrutadores PTX10001-20C, solo puede aplicar un filtro de firewall en las interfaces IPv6 en la dirección de entrada.

  • Tabla 3describe las condiciones de coincidencia compatibles.

  • Tabla 4muestra las acciones que puede especificar en un término. Si no’incluye una then instrucción, el sistema aceptará paquetes que coincidan con el filtro.

  • Tabla 5muestra los modificadores de acciones que puede utilizar para contar, reflejar, limitar el límite y clasificar los paquetes.

Tabla 3: Condiciones de coincidencia admitidas por IPv6

Condición coincidir

Descriptiva

address address [ except ]

Hacer coincidir el campo de dirección de origen o except de destino de IPv6 a menos que se incluya la opción. Si la opción está incluida, no debe coincidir con el campo de dirección de origen o de destino de IPv6.

apply-groups

Especifique de qué grupos se van a heredar los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos en orden de prioridad de herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos de los grupos subsiguientes.

apply-groups-except

Especifique los grupos de los que no se heredarán los datos de configuración. Puede especificar más de un nombre de grupo.

destination-address address [ except ]

Hacer coincidir el campo de dirección de except destino IPv6 a menos que se incluya la opción. Si se incluye la opción, no se debe hacer coincidir el campo de dirección de destino IPv6.

No puede especificar las address condiciones de destination-address coincidencia con el mismo término.

destination-port number

Hacer coincidir con el campo de puerto de destino UDP o TCP.

No puede especificar las port condiciones de destination-port coincidencia con el mismo término.

Si configura esta condición de coincidencia, es recomendable que configure también la next-header udp condición next-header tcp o coincidir en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los números de puertos): afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), ekloginekshell exec finger ftp ftp-data http https (2105), (2106), (512), (79), (21), (20), (80), (443),  identimap kerberos-sec klogin kpasswd krb-prop krbupdate kshell (113), (143), (88), (543), (761), (754), (760), (544),  ldapldp login mobileip-agent mobilip-mn msdp netbios-dgm netbios-ns (389), (646), (513), (434), (435), (639), (138), (137),  netbios-ssnnfsd nntp ntalk ntp pop3 pptp (139), (2049), (119), (518), (123), (110), (1723),  printerradacct radius rip rkinit smtp snmp (515), (1813), (1812), (520), (2108), (25), (161),  snmptraptacacs sunrpc syslog ssh  (162), snpp (444), socks(1080), (22), (111), (514), (49),  tacacs-dsxdmcp timed who tftp  (65), talk (517), telnet(23), (69), (525), (513) o (177).  

destination-port-except number

No coincide con el campo Puerto de destino UDP o TCP. Para obtener más detalles, destination-port vea la condición coincidir.

destination-prefix-list prefix-list-name [ except ]

Hacer coincidir el prefijo de destino IPv6 con la except lista especificada a menos que se incluya la opción. Si se incluye la opción, no debe hacer coincidir el prefijo de destino IPv6 con la lista especificada.

La lista de prefijos se [edit policy-options prefix-list prefix-list-namedefine en el nivel de jerarquía].

icmp-code message-code

Hacer coincidir el campo de código de mensaje ICMP.

Si configura esta condición de coincidencia, es recomendable que configure también la next-header icmp condición next-header icmp6 o que coincida en el mismo término.

Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos). Las palabras clave se agrupan por el tipo de ICMP con el que están asociadas:

  • parámetro-problema: ip6-header-bad (0), unrecognized-next-header (1), unrecognized-option (2)

  • tiempo transcedido: ttl-eq-zero-during-reassembly (1), ttl-eq-zero-during-transit (0)

  • destino: inaccesible: administratively-prohibited (1), address-unreachable (3), no-route-to-destination (0), port-unreachable (4)

icmp-code-except message-code

No deben coincidir con el campo Código de mensaje ICMP. Para obtener más detalles, icmp-code vea la condición coincidir.

message-type

Hacer coincidir el campo tipo de mensaje ICMP.

También debe configurar icmp o next-header icmp6 hacer coincidir la condición en el mismo término.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): certificate-path-advertisement(149), certificate-path-solicitation (148), destination-unreachable (1), echo-reply (129), echo-request (128), home-agent-address-discovery-reply (145), home-agent-address-discovery-request (144), inverse-neighbor-discovery-advertisement (142), inverse-neighbor-discovery-solicitation (141), membership-query (130 membership-report ), (131), membership-terminationneighbor-advertisement neighbor-solicit node-information-reply node-information-request packet-too-big parameter-problem (132), mobile-prefix-advertisement-reply (147), mobile-prefix-solicitation (146), (136), (135), (140), (139), (2), (4),  private-experimentation-100 (100), private-experimentation-101 (101), private-experimentation-200 (200), private-experimentation-201 (201), redirect (137), router-advertisement (134), router-renumbering (138), router-solicit (133) o time-exceeded (3).

Para private-experimentation-201 (201), también puede especificar un rango de valores entre corchetes.

icmp-type-except message-type

No deben coincidir con el campo tipo de mensaje ICMP. Para obtener más detalles, icmp-type vea la condición coincidir.

next

Ir al siguiente término de un filtro.

next-header header-type

Hacer coincidir con el primer campo del encabezado siguiente de 8 bits del paquete.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se muestran los valores de los campos): ah (51), dstops (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58) icmpv6 , (58), igmprouting rsvpospf pim no-next-header mobilityipv6 (2), ipip (4), (41), (135), (59), (89), (103), (43),   (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

Nota: next-header icmp6y next-header icmpv6 las condiciones de coincidencia realizan la misma función. next-header icmp6 es la opción preferida. next-header icmpv6 está oculta en Junos os CLI.

next-header-except header-type

No concuerdan con el campo de encabezado siguiente de 8 bits que identifica el tipo de encabezado entre el encabezado IPv6 y la carga. Para obtener más detalles, next-header vea el tipo de coincidencia.

port number

Hacer coincidir con el campo de puerto de destino o de origen TCP o UDP.

Si configura esta condición de coincidencia, no puede configurar la destination-port condición de coincidencia o source-port la condición de coincidencia en el mismo término.

Si configura esta condición de coincidencia, es recomendable que configure también la next-header udp condición next-header tcp o coincidir en el mismo término para especificar qué protocolo se está utilizando en el puerto.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

port-except number

No deben coincidir con el campo de puerto de destino o de origen TCP o UDP. Para obtener más detalles, port vea la condición coincidir.

port-mirror instance-name

Port-mirrore el paquete.

port-mirror-instance instance-name

Puerto espejo de un paquete para una instancia.

prefix-list prefix-list-name [ except ]

Hacer coincidir los prefijos de los campos de dirección de origen o destino con los prefijos except de la lista especificada, a menos que se incluya la opción. Si se incluye la opción, no debe hacer coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada.

La lista de prefijos se [edit policy-options prefix-list prefix-list-name] define en el nivel de la jerarquía.

sample

Muestrear el paquete.

source-address address [ except ]

Hacer coincidir con la dirección IPv6 del nodo de origen que envía except el paquete a menos que se incluya la opción. Si se incluye la opción, no debe coincidir con la dirección IPv6 del nodo de origen que envía el paquete.

No puede especificar las address condiciones de source-address coincidencia con el mismo término.

source-port number

Coincida con el campo de puerto de origen UDP o TCP.

No puede especificar las port condiciones source-port de coincidencia en el mismo término.

Si configura esta condición de coincidencia, es recomendable que configure también la next-header udp condición next-header tcp o coincidir en el mismo término para especificar qué protocolo se está utilizando en el puerto.

Nota: Para Junos OS ha evolucionado, debe configurar next-header udp la next-header tcp instrucción o coincidir (Match) en el mismo término.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición coincidir.

source-port-except number

 No coincide con el campo de puerto de origen UDP o TCP. Para obtener más detalles, source-port vea la condición coincidir.

source-prefix-list name [ except ]

Hacer coincidir el prefijo de dirección IPv6 del campo del except origen del paquete a menos que la opción esté incluida. Si la opción está incluida, no debe coincidir con el prefijo de dirección IPv6 del campo del origen del paquete.

Especifique un nombre de lista de prefijo [edit policy-options prefix-list prefix-list-name] definido en el nivel de jerarquía.

Nota

Si especifica una dirección IPv6 en una condición de coincidencia (las addresscondiciones destination-address, o source-address coinciden), utilice la sintaxis de representaciones de texto descrita en el documento RFC 4291. Arquitectura de direccionamiento de IP versión 6. Para obtener más información acerca de las direcciones IPv6, consulte información general sobre IPv6 y estándares de IPv6 compatibles.

Tabla 4: Acciones para los filtros del firewall de IPv6

Intervención

Descriptiva

accept

Aceptar un paquete. Esta es la acción predeterminada para paquetes que coinciden con un término.

discard

Descartar un paquete silenciosamente sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP).

Tabla 5: Modificadores de acción para filtros de Firewall IPv6

Modificador de acción

Descriptiva

count counter-name

Cuente el número de paquetes que coinciden con el término.

forwarding-class class

Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario:

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

Nota: Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.

loss-priority (low | medium-low | medium-high | high)

Establecer la prioridad de pérdida de paquetes (PLP).