Conditions de correspondance du filtre de pare-feu pour le trafic IPv4

Faites correspondre le champ d’adresse source ou de destination IPv4, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au champ d’adresse source ou de destination IPv4.

Le except modificateur n’est pas pris en charge sur les plates-formes EX2300 et EX3400.

(routeurs M Series, sauf M120 et M320) Faites correspondre la valeur de l’index des paramètres de sécurité (SPI) de l’en-tête d’authentification IPsec (AH).

(routeurs M Series, sauf M120 et M320) Ne correspond pas à la valeur IPsec AH SPI.

Spécifiez les groupes dont vous souhaitez hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les lister par ordre de priorité d’héritage. Les données de configuration du premier groupe sont prioritaires sur les données des groupes suivants.

Spécifiez les groupes dont vous ne souhaitez pas hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe.

Faites correspondre le champ de l’adresse de destination IPv4, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas au champ d’adresse de destination IPv4.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance et destination-address dans address le même terme.

Faites correspondre un ou plusieurs noms de classe de destination spécifiés (ensembles de préfixes de destination regroupés et dotés d’un nom de classe). Pour plus d’informations, reportez-vous à la section Conditions de correspondance du filtre de pare-feu en fonction des classes d’adresses.

Ne faites pas correspondre un ou plusieurs noms de classe de destination spécifiés. Pour plus de détails, voir la condition de destination-class correspondance.

Faites correspondre le champ Port de destination UDP ou TCP.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance et destination-port dans port le même terme.

Lorsque vous configurez des correspondances basées sur le port, vous devez également configurer l’instruction protocol udp ou protocol tcp match dans le même terme de filtre. La correspondance portant uniquement sur la valeur du port peut entraîner des correspondances inattendues.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

Ne correspond pas au champ Port de destination UDP ou TCP. Pour plus de détails, voir la condition de destination-port correspondance.

Faites correspondre les préfixes de destination dans la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas aux préfixes de destination dans la liste spécifiée.

Spécifiez le nom d’une liste de préfixes définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie ].

Correspond au DSCP (Differentiated Services Code Point). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus significatifs de cet octet forment le DSCP. Pour plus d’informations, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic de confiance.

Ajout de la prise en charge du filtrage sur le point de code de services différenciés (DSCP) et la classe de transfert pour les paquets provenant du moteur de routage, y compris les paquets IS-IS encapsulés dans l’encapsulation de routage générique (GRE). Par la suite, lors d’une mise à niveau à partir d’une version précédente de Junos OS où vous disposez à la fois d’une classe de service (CoS) et d’un filtre de pare-feu, et qui incluent tous deux des actions de filtre DSCP ou de classe de transfert, les critères du filtre de pare-feu sont automatiquement prioritaires sur les paramètres CoS. Il en va de même lors de la création de nouvelles configurations ; c’est-à-dire que lorsque les mêmes paramètres existent, le filtre de pare-feu est prioritaire sur le CoS, quel que soit celui qui a été créé en premier.

Vous pouvez spécifier une valeur numérique à partir de 0 .63 Pour spécifier la valeur sous forme hexadécimale, incluez-la 0x comme préfixe. Pour spécifier la valeur sous forme binaire, incluez-la b comme préfixe.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

• La RFC 3246, An Expedited Forwarding PHB (Per-Hop Behavior), définit un point de code : ef(46).

• La RFC 2597, Assured Forwarding PHB Group, définit 4 classes, avec 3 précédences d’abandon dans chaque classe, pour un total de 12 points de code :

  • af11(10), af12 (12) et af13 (14)

  • af21(18), af22 (20) et af23 (22)

  • af31(26), af32 (28) et af33 (30)

  • af41(34), af42 (36) et af43 (38)

Ne pas correspondre sur le numéro DSCP. Pour plus d’informations, consultez la condition de dscp correspondance.

Faites correspondre la valeur SPI de la charge utile de sécurité encapsulating (ESP) IPsec. Correspondance sur cette valeur SPI spécifique. Vous pouvez spécifier la valeur ESP SPI sous forme hexadécimale, binaire ou décimale.

Faites correspondre la valeur IPsec ESP SPI. Ne pas correspondre sur cette valeur SPI spécifique.

Correspond si le paquet est le premier fragment d’un paquet fragmenté. Ne pas faire de correspondance si le paquet est un fragment de fin d’un paquet fragmenté. Le premier fragment d’un paquet fragmenté a une valeur de décalage de fragment de 0.

Cette condition de correspondance est un alias pour la condition fragment-offset 0 de correspondance de champ de bits.

Pour faire correspondre à la fois le premier et le dernier fragment, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes : first-fragment et is-fragment.

Correspond au premier octet de la valeur de la charge utile. La condition de correspondance ne peut être appliquée que dans le sens d’entrée.

Ne fonctionne pas sur la liaison de sortie du filtre de pare-feu. Uniquement sur les familles de filtres de pare-feu INET, INET6 et ANY.

Non pris en charge sur les filtres FFT et les filtres FLT de sortie.

Ne correspond pas au premier octet spécifié de la valeur de la charge utile. La condition de correspondance ne peut être appliquée que dans le sens d’entrée.

Ne fonctionne pas sur la liaison de sortie du filtre de pare-feu. Uniquement sur les familles de filtres de pare-feu INET, INET6 et ANY.

Non pris en charge sur les filtres FFT et les filtres FLT de sortie.

Longueur des données à mettre en correspondance en bits, non nécessaire pour l’entrée de chaîne (0..128)

Décalage binaire après le décalage (match-start + octet) (0..7)

Décalage d’octets après le point de départ de la correspondance

Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini

Masquer les bits dans les données de paquet à mettre en correspondance

Point de départ à faire correspondre dans le paquet

Données/chaîne de valeur à mettre en correspondance

Longueur des données à apparier en bits (0..32)

Décalage binaire après le décalage (match-start + octet) (0..7)

Décalage d’octets après le point de départ de la correspondance

Sélectionner une correspondance flexible à partir d’un champ de modèle prédéfini

Point de départ à faire correspondre dans le paquet

Plage de valeurs à faire correspondre

Ne correspond pas à cette plage de valeurs

Faites correspondre la classe de transfert du paquet.

Spécifiez assured-forwarding, best-effort, expedited-forwarding, ou network-control.

Pour plus d’informations sur le transfert de classes et les files d’attente de sortie internes au routeur, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.

Ne correspond pas à la classe de transfert du paquet. Pour plus de détails, voir la condition de forwarding-class correspondance.

(Entrée uniquement) Faites correspondre le champ d’indicateurs de fragmentation IP à trois bits dans l’en-tête IP.

À la place de la valeur de champ numérique, vous pouvez spécifier l’un des mots-clés suivants (les valeurs de champ sont également répertoriées) : dont-fragment(0x4), more-fragments (0x2) ou reserved (0x8).

Faites correspondre le champ de décalage de fragment de 13 bits dans l’en-tête IP. La valeur est le décalage, en unités de 8 octets, dans le message global du datagramme par rapport au fragment de données. Spécifiez une valeur numérique, une plage de valeurs ou un ensemble de valeurs. Une valeur de décalage de 0 indique le premier fragment d’un paquet fragmenté.

La first-fragment condition de correspondance est un alias de la condition de fragment-offset 0 correspondance.

Pour faire correspondre à la fois le premier fragment et le dernier fragment, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes (first-fragment et is-fragment).

Ne correspond pas au champ de décalage de fragment de 13 bits.

Faites correspondre le champ gre-key. Le champ de clé GRE est un nombre de 4 octets inséré par l’encapsulateur GRE. Il s’agit d’un champ facultatif à utiliser dans l’encapsulation GRE. Il range peut s’agir d’un seul numéro de clé GRE ou d’une plage de numéros de clé.

Pour les routeurs MX Series avec MPC, initialisez les nouveaux filtres de pare-feu qui incluent cette condition en parcourant la MIB SNMP correspondante.

Faites correspondre le champ Code de message ICMP.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs de champ sont également répertoriées). Les mots-clés sont regroupés selon le type ICMP auquel ils sont associés :

• problème_paramètre : ip-header-bad(0), required-option-missing (1)

• rediriger: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

• dépassement de temps : ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

• inaccessible: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

Ne correspond pas au champ Code de message ICMP. Pour plus de détails, voir la condition de icmp-code correspondance.

Faites correspondre le champ de type de message ICMP.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) ou unreachable (3).

Ne correspond pas au champ Type de message ICMP. Pour plus de détails, voir la condition de icmp-type correspondance.

Faites correspondre l’interface sur laquelle le paquet a été reçu.

Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces spécifié ou à l’ensemble de groupes d’interfaces. Pour group-number, spécifiez une valeur unique ou une plage de valeurs comprise entre 0 et 255.

Pour affecter une interface logique à un groupe group-numberd’interfaces, spécifiez le au niveau de group-number la [interfaces interface-name unit number family family filter group] hiérarchie.

Pour plus d’informations, consultez Vue d’ensemble du filtrage des paquets reçus sur un ensemble de groupes d’interfaces.

Ne faites pas correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour plus de détails, voir la condition de interface-group correspondance.

Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié.

Pour définir un jeu d’interfaces, incluez l’instruction interface-set au niveau de la [edit firewall] hiérarchie.

Pour plus d’informations, reportez-vous à la section Présentation du filtrage des paquets reçus sur un jeu d’interfaces.

Faites correspondre le champ d’option IP 8 bits, s’il est présent, à la valeur ou à la liste de valeurs spécifiée.

À la place d’une valeur numérique, vous pouvez spécifier l’un des synonymes textuels suivants (les valeurs d’option sont également répertoriées) : loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) ou timestamp (68).

Pour faire correspondre n’importe quelle valeur de l’option IP, utilisez le synonyme anyde texte . Pour effectuer une correspondance sur plusieurs valeurs, spécifiez la liste des valeurs entre crochets ('[' et ']'). Pour faire correspondre une plage de valeurs, utilisez la spécification [ value1-value2 ]de valeur .

Par exemple, la condition ip-options [ 0-147 ] de correspondance correspond à un champ d’options IP qui contient les loose-source-routevaleurs , record-routeou , ou security toute autre valeur comprise entre 0 et 147. Toutefois, cette condition de correspondance ne correspond pas à un champ d’options IP qui contient uniquement la router-alert valeur (148).

Pour la plupart des interfaces, un terme de filtre qui spécifie une ip-option correspondance sur une ou plusieurs valeurs d’option IP spécifiques (une valeur autre que any) entraîne l’envoi de paquets au moteur de routage afin que le noyau puisse analyser le champ d’option IP dans l’en-tête du paquet.

• Pour un terme de filtre de pare-feu qui spécifie une ip-option correspondance sur une ou plusieurs valeurs d’option IP spécifiques, vous ne pouvez pas spécifier les actions , logou syslog non d’arrêtcount, sauf si vous spécifiez également l’action d’arrêt discard dans le même terme. Ce comportement empêche le double comptage des paquets pour un filtre appliqué à une interface de transit sur le routeur.

• Les paquets traités sur le noyau peuvent être abandonnés en cas de goulot d’étranglement du système. Pour vous assurer que les paquets correspondants sont plutôt envoyés au moteur de transfert de paquets (où le traitement des paquets est implémenté dans le matériel), utilisez la ip-options any condition de correspondance.

Le concentrateur de port modulaire (MPC) 10 Gigabit Ethernet, le MPC 100 Gigabit Ethernet, le MPC 60 Gigabit Ethernet, le MPC Ethernet de file d’attente 60 Gigabit et le MPC de file d’attente améliorée Ethernet 60 Gigabit sur les routeurs MX Series sont capables d’analyser le champ d’option IP de l’en-tête de paquet IPv4. Pour les interfaces configurées sur ces MPC, tous les paquets mis en correspondance à l’aide de la ip-options condition de correspondance sont envoyés au moteur de transfert de paquets pour traitement.

La ip-options any condition de correspondance est prise en charge sur les routeurs PTX10003 et PTX10008 Series à partir de la version 20.2R1 du système d’exploitation Junos Evolved.

Ne faites pas correspondre le champ d’option IP à la valeur ou à la liste de valeurs spécifiée. Pour plus d’informations sur la spécification de , valuesreportez-vous à la condition de ip-options correspondance.

L’utilisation de cette condition provoque une correspondance si l’indicateur More Fragments (Plus de fragments) est activé dans l’en-tête IP et si le décalage du fragment n’est pas nul.

Sur les routeurs MX Series, is-fragment fait correspondre tous les fragments, c’est-à-dire le premier fragment (fragment-offset = 0), le dernier fragment (more-fragments = 0) et tous les fragments compris entre le premier et le dernier fragment.

Faites correspondre le niveau de priorité de perte de paquets (PLP).

Spécifiez un ou plusieurs niveaux : low, medium-low, medium-high, ou high.

Pris en charge sur les routeurs M120 et M320 ; Routeurs M7i et M10i avec CFEB-E (Enhanced CFEB) ; et routeurs MX Series.

Pour le trafic IP sur les routeurs M320, MX Series et T Series avec des concentrateurs PIC flexibles (FPC) Enhanced II, vous devez inclure l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction n’est tri-color pas activée, vous ne pouvez configurer que les high niveaux et low . Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur l’instruction, reportez-vous à la tri-colorsection Configuration et application des mécanismes de contrôle du marquage tricolore. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classificateurs d’agrégation de comportement donnent la priorité au trafic de confiance.

Ne correspond pas au niveau PLP. Pour plus de détails, voir la condition de loss-priority correspondance.

Faites correspondre la longueur du paquet reçu, en octets. La longueur fait uniquement référence au paquet IP, y compris l’en-tête du paquet, et n’inclut aucune surcharge d’encapsulation de couche 2. Vous pouvez également spécifier une plage de valeurs à mettre en correspondance.

Ne correspond pas à la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

Faites correspondre le champ du port source ou de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la condition de destination-port correspondance ou la condition de source-port correspondance dans le même terme.

Lorsque vous configurez des correspondances basées sur le port, vous devez également configurer l’instruction protocol udp ou protocol tcp match dans le même terme de filtre. La correspondance portant uniquement sur la valeur du port peut entraîner des correspondances inattendues.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Ne correspond ni au champ de port UDP ou TCP source ni au champ de destination. Pour plus de détails, voir la condition de port correspondance.

Correspond au champ Priorité IP.

À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Vous pouvez spécifier la priorité sous forme hexadécimale, binaire ou décimale.

Ne correspond pas au champ de priorité IP.

À la place de la valeur de champ numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Vous pouvez spécifier la priorité sous forme hexadécimale, binaire ou décimale.

Faites correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste des préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

Correspond au champ Type de protocole IP. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (41 ipv6 ), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) ou vrrp (112).

Ne correspond pas au champ Type de protocole IP. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (41 ipv6 ), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp  (17) ou vrrp (112).

Faites correspondre le type de technologie d’accès radio (RAT) spécifié dans le champ Type technique 8 bits de l’extension de type de technologie d’accès Proxy Mobile IPv4 (PMIPv4). Le type de technologie spécifie la technologie d’accès par laquelle l’appareil mobile est connecté au réseau d’accès.

Spécifiez une valeur unique, une plage de valeurs ou un ensemble de valeurs. Vous pouvez spécifier un type de technologie sous la forme d’une valeur numérique comprise entre 0 et 255 ou d’un mot-clé système.

• Les valeurs numériques suivantes sont des exemples de types de technologies bien connus :

  • La valeur numérique 1 correspond à IEEE 802.3.

  • La valeur numérique 2 correspond à IEEE 802.11a/b/g.

  • La valeur numérique 3 correspond à IEEE 802.16e

  • La valeur numérique 4 correspond à IEEE 802.16m.

• La chaîne de eutran texte correspond à la 4G.

• La chaîne de geran texte correspond à 2G.

• La chaîne de utran texte correspond à la 3G.

Ne correspond pas au type RAT.

Correspond à un paquet reçu d’un filtre sur lequel une service-filter-hit action a été appliquée.

Faites correspondre l’adresse IPv4 du nœud source qui envoie le paquet, sauf si cette except option est incluse. Si l’option est incluse, ne correspond pas à l’adresse IPv4 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier à la fois les conditions de correspondance et source-address dans address le même terme.

Faites correspondre un ou plusieurs noms de classe source spécifiés (ensembles de préfixes de source regroupés et dotés d’un nom de classe). Pour plus d’informations, reportez-vous à la section Conditions de correspondance du filtre de pare-feu en fonction des classes d’adresses.

Ne correspond pas à un ou plusieurs noms de classe source spécifiés. Pour plus de détails, voir la condition de source-class correspondance.

Faites correspondre le champ Port source UDP ou TCP.

Vous ne pouvez pas spécifier les port conditions de correspondance et source-port dans le même terme.

Lorsque vous configurez des correspondances basées sur le port, vous devez également configurer l’instruction protocol udp ou protocol tcp match dans le même terme de filtre. La correspondance portant uniquement sur la valeur du port peut entraîner des correspondances inattendues.

À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la destination-port number condition de correspondance.

Ne correspond pas au champ Port source UDP ou TCP. Pour plus de détails, voir la condition de source-port correspondance.

Faire correspondre les préfixes source dans la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne correspond pas aux préfixes source dans la liste spécifiée.

Spécifiez le nom d’une liste de préfixes définie au niveau de la [edit policy-options prefix-list prefix-list-namehiérarchie ].

Faites correspondre les paquets TCP d’une session TCP établie (paquets autres que le premier paquet d’une connexion). Il s’agit d’un alias pour tcp-flags "(ack | rst)".

Cette condition de correspondance ne vérifie pas implicitement que le protocole est TCP. Pour vérifier cela, spécifiez la condition de protocol tcp correspondance.

Faites correspondre un ou plusieurs des 6 bits d’ordre inférieur dans le champ d’indicateurs TCP 8 bits de l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte ou les valeurs hexadécimales suivants :

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs drapeaux à l’aide des opérateurs logiques de champ de bits.

Pour connaître les conditions de correspondance de champs binaires combinés, reportez-vous à la section et tcp-initial aux conditions de tcp-established correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction protocol tcp de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

Pour le trafic IPv4 uniquement, cette condition de correspondance ne vérifie pas implicitement si le datagramme contient le premier fragment d’un paquet fragmenté. Pour vérifier cette condition pour le trafic IPv4 uniquement, utilisez la condition de first-fragment correspondance.

Correspond au paquet initial d’une connexion TCP. Il s’agit d’un alias pour tcp-flags "(!ack & syn)".

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de protocol tcp correspondance dans le même terme.

Faites correspondre le numéro de durée de vie IPv4. Spécifiez une valeur TTL ou une plage de valeurs TTL. Pour number, vous pouvez spécifier une ou plusieurs valeurs de 0 à travers 255. Cette condition de correspondance est prise en charge uniquement sur les routeurs M120, M320, MX Series et T Series.

Ne correspond pas sur le numéro TTL IPv4. Pour plus de détails, voir la condition de ttl correspondance.