Conditions de correspondance du filtre de pare-feu pour le trafic IPv4

Correspondez au champ d’adresse source ou de destination IPv4, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au champ de l’adresse source ou de destination IPv4.

Le except modificateur n’est pas pris en charge sur les plates-formes EX2300 et EX3400.

(routeurs M Series, sauf M120 et M320) Correspondez à la valeur SPI (Security Parameter Index) de l’en-tête d’authentification IPsec (AH).

(routeurs M Series, sauf M120 et M320) Ne correspondez pas à la valeur SPI AH IPsec.

Spécifiez les groupes dont les données de configuration doivent être héritées. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les lister par ordre de priorité d’héritage. Les données de configuration du premier groupe ont la priorité sur les données des groupes suivants.

Spécifiez les groupes dont les données de configuration ne doivent pas hériter. Vous pouvez spécifier plusieurs noms de groupe.

Correspondez au champ d’adresse de destination IPv4, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas au champ d’adresse de destination IPv4.

Vous ne pouvez pas spécifier les conditions et destination-address les address correspondre dans le même terme.

Correspondance avec un ou plusieurs noms de classes de destination spécifiés (ensembles de préfixes de destination regroupés et donnés un nom de classe). Pour plus d’informations, voir Conditions de correspondance des filtres de pare-feu en fonction des classes d’adresse.

Ne correspondez pas à un ou plusieurs noms de classes de destination spécifiés. Pour plus de détails, consultez l’état des destination-class correspondances.

Correspond au champ de port de destination UDP ou TCP.

Vous ne pouvez pas spécifier les conditions et destination-port les port correspondre dans le même terme.

Lorsque vous configurez des correspondances basées sur des ports, vous devez également configurer l’instruction protocol udp ou protocol tcp de correspondance dans le même terme de filtre. La correspondance uniquement sur la valeur du port peut entraîner des correspondances inattendues.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : afs(1483), bgp (179), biff (512), bootpc (68), (67), bootpscmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), (138), netbios-nsnetbios-dgm (137), (139), netbios-ssnnfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (44) ( socks 1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

Ne correspondez pas au champ de port de destination UDP ou TCP. Pour plus de détails, consultez l’état des destination-port correspondances.

Faites correspondre les préfixes de destination dans la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas aux préfixes de destination de la liste spécifiée.

Spécifiez le nom d’une liste de préfixes définie au niveau ] hiérarchique [edit policy-options prefix-list prefix-list-name.

Faites correspondre le point de code de services différenciés (DSCP). Le protocole DiffServ utilise l’octet de type de service (ToS) dans l’en-tête IP. Les 6 bits les plus importants de cet octet forment le DSCP. Pour plus d’informations, voir Comprendre comment les classificateurs d’agrégation de comportement hiérarchisent le trafic fiable.

La prise en charge du filtrage du point de code de services (DSCP) et de la classe de transfert pour les paquets provenant du moteur de routage, y compris les paquets IS-IS encapsulés dans l’encapsulation de routage générique (GRE). Par la suite, lorsque vous effectuez une mise à niveau à partir d’une version précédente de Junos OS où vous disposez à la fois d’une classe de service (CoS) et d’un filtre de pare-feu, et qui intègrent tous deux des actions de filtrage de classe DS ou de transfert, les critères du filtre de pare-feu priment automatiquement sur les paramètres CoS. Il en va de même pour la création de nouvelles configurations; c’est-à-dire que lorsque les mêmes paramètres existent, le filtre de pare-feu prime sur le CoS, quel que soit le premier à avoir été créé.

Vous pouvez spécifier une valeur numérique à partir de 063. Pour spécifier la valeur sous forme hexadécimale, incluez 0x comme préfixe. Pour spécifier la valeur sous forme binaire, incluez b comme préfixe.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) :

• RFC 3246, Un PHB de transfert accéléré (par saut comportement) définit un point de code : ef(46).

• RFC 2597, Groupe PHB de transfert assuré, définit 4 classes, avec 3 niveaux de priorité dans chaque classe, pour un total de 12 points de code :

  • af11 (10), af12 (12), af13 (14)

  • af21 (18), af22 (20), af23 (22)

  • af31 (26), af32 (28), af33 (30)

  • af41 (34), af42 (36), af43 (38)

Ne correspondez pas au numéro DSCP. Pour plus d’informations, consultez la condition de dscp correspondance.

Correspondez à la valeur SPI ESP (Encapsulating Security Payload) IPsec. Correspondez à cette valeur SPI spécifique. Vous pouvez spécifier la valeur ESP SPI sous forme hexadécimale, binaire ou décimale.

Correspondez à la valeur IPS ESP IPsec. Ne correspondez pas à cette valeur SPI spécifique.

Correspondance si le paquet est le premier fragment d’un paquet fragmenté. Ne correspondez pas si le paquet est un fragment traînant d’un paquet fragmenté. Le premier fragment d’un paquet fragmenté a une valeur de décalage de fragment de 0.

Cette condition de correspondance est un alias pour la condition de correspondance de champ fragment-offset 0 bit.

Pour correspondre à la fois aux fragments de première et de piste, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes : first-fragment et is-fragment.

Longueur des données à correspondre en bits, non nécessaire pour l’entrée de chaîne (0..128)

Bit offset après le décalage (match-start + octet) offset (0..7)

Décalage d’octet après le point de départ de la correspondance

Sélectionnez une correspondance flexible dans le champ de modèle prédéfini

Masquer les bits dans les données de paquets à correspondre

Point de départ correspondant dans le paquet

Données de valeur/chaîne à apparier

Longueur des données à apparier en bits (0..32)

Bit offset après le décalage (match-start + octet) offset (0..7)

Décalage d’octet après le point de départ de la correspondance

Sélectionnez une correspondance flexible dans le champ de modèle prédéfini

Point de départ correspondant dans le paquet

Plage de valeurs à correspondre

Ne pas correspondre à cette plage de valeurs

Correspond à la classe de transfert du paquet.

Spécifiez assured-forwarding, best-effortou expedited-forwardingnetwork-control.

Pour plus d’informations sur les classes de transfert et les files d’attente de sortie internes au routeur, consultez la section Comprendre comment les classes de transfert attribuent des classes aux files d’attente de sortie.

Ne correspondez pas à la classe de transfert du paquet. Pour plus de détails, consultez l’état des forwarding-class correspondances.

(Entrant uniquement) Correspond au champ des indicateurs de fragmentation IP de trois bits dans l’en-tête IP.

Au lieu de la valeur numérique du champ, vous pouvez spécifier l’un des mots clés suivants (les valeurs de champ sont également répertoriées) : dont-fragment(0x4), more-fragments (0x2) ou reserved (0x8).

Faites correspondre le champ de décalage de fragment de 13 bits dans l’en-tête IP. La valeur est le décalage, en unités de 8 octets, dans le message global du datagramme vers le fragment de données. Spécifiez une valeur numérique, une plage de valeurs ou un ensemble de valeurs. Une valeur de décalage indique 0 le premier fragment d’un paquet fragmenté.

La first-fragment condition de correspondance est un alias pour la condition de fragment-offset 0 correspondance.

Pour correspondre à la fois aux fragments de première et de piste, vous pouvez utiliser deux termes qui spécifient des conditions de correspondance différentes (first-fragment et is-fragment).

Ne correspondez pas au champ décalé de fragments de 13 bits.

Correspondez au champ gre-key. Le champ clé GRE est un nombre de 4 octets inséré par l’encapsulateur GRE. Il s’agit d’un champ optionnel pour l’encapsulation GRE. Il range peut s’agir d’un seul numéro de clé GRE ou d’une gamme de chiffres clés.

Pour les routeurs MX Series avec MPC, initialisez de nouveaux filtres de pare-feu qui incluent cette condition en parcourant la MIB SNMP correspondante.

Correspond au champ de code du message ICMP.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées). Les mots clés sont regroupés par type ICMP auquel ils sont associés :

• problème de paramètres : ip-header-bad(0), required-option-missing (1)

• Rediriger: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

• dépassement de temps : ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

• Inaccessible: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), (14), host-unreachable (12 host-unreachable-for-TOS ), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

Ne correspondez pas au champ de code du message ICMP. Pour plus de détails, consultez l’état des icmp-code correspondances.

Correspond au champ de type de message ICMP.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

Vous devez également configurer la condition de icmp-type message-type correspondance dans le même terme. Un code de message ICMP fournit des informations plus spécifiques qu’un type de message ICMP, mais la signification d’un code de message ICMP dépend du type de message ICMP associé.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) ou unreachable (3).

Ne correspondez pas au champ de type de message ICMP. Pour plus de détails, consultez l’état des icmp-type correspondances.

Correspond à l’interface sur laquelle le paquet a été reçu.

Faites correspondre l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour group-number, spécifiez une seule valeur ou une plage de valeurs de 0 à 255.

Pour attribuer une interface logique à un groupe group-numberd’interfaces , spécifiez le group-number au niveau de la [interfaces interface-name unit number family family filter group] hiérarchie.

Pour plus d’informations, consultez la présentation du filtrage des paquets reçus sur un ensemble de groupes d’interface.

Ne correspondez pas à l’interface logique sur laquelle le paquet a été reçu au groupe d’interfaces ou à l’ensemble de groupes d’interfaces spécifiés. Pour plus de détails, consultez l’état des interface-group correspondances.

Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié.

Pour définir un ensemble d’interfaces, incluez l’instruction interface-set au niveau de la [edit firewall] hiérarchie.

Pour plus d’informations, voir Filtrage des paquets reçus sur un ensemble d’interfaces.

Faites correspondre le champ d’option IP 8 bits, le cas échéant, à la valeur ou à la liste de valeurs spécifiées.

Au lieu d’une valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs d’option sont également répertoriées) : loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) ou timestamp (68).

Pour correspondre à n’importe quelle valeur de l’option IP, utilisez le synonyme anyde texte . Pour correspondre sur plusieurs valeurs, spécifiez la liste des valeurs entre crochets ('[' et ']'). Pour correspondre à une plage de valeurs, utilisez la spécification [ value1-value2 ]de valeur .

Par exemple, la condition ip-options [ 0-147 ] de correspondance correspond à un champ d’options IP qui contient le loose-source-route, record-routeou des security valeurs, ou toute autre valeur comprise entre 0 et 147. Toutefois, cette condition de correspondance ne correspond pas sur un champ d’options IP qui contient uniquement la router-alert valeur (148).

Pour la plupart des interfaces, un terme de filtre qui spécifie une ip-option correspondance sur une ou plusieurs valeurs d’option IP spécifiques (une valeur autre que any) entraîne l’envoi de paquets au moteur de routage afin que le noyau puisse analyser le champ d’option IP dans l’en-tête du paquet.

• Pour un terme de filtre de pare-feu qui spécifie une ip-option correspondance sur une ou plusieurs valeurs d’option IP spécifiques, vous ne pouvez pas spécifier les countactions , logou syslog de non-termination , sauf si vous spécifiez également l’action discard de terminaison dans le même terme. Ce comportement empêche le double comptage des paquets pour un filtre appliqué à une interface de transit sur le routeur.

• Les paquets traités sur le noyau peuvent être abandonnés en cas de goulot d’étranglement du système. Pour vous assurer que les paquets correspondants sont envoyés au moteur de transfert de paquets (où le traitement des paquets est implémenté dans le matériel), utilisez la condition de ip-options any correspondance.

Le concentrateur de ports modulaire 10 Gigabit Ethernet (MPC), le MPC 100 Gigabit Ethernet, le MPC 60 Gigabit Ethernet, le MPC de file d’attente Ethernet 60 Gigabit et le MPC de file d’attente améliorée 60 Gigabit Ethernet sur les routeurs MX Series sont capables d’analyser le champ d’option IP de l’en-tête de paquet IPv4. Pour les interfaces configurées sur ces MPC, tous les paquets correspondants à l’aide de la ip-options condition de correspondance sont envoyés au moteur de transfert de paquets pour traitement.

La ip-options any condition de correspondance est prise en charge sur les routeurs PTX10003 et PTX10008 Series à partir de la version 20.2R1 de Junos Evolved OS.

Ne faites pas correspondre le champ d’option IP à la valeur ou à la liste de valeurs spécifiées. Pour plus d’informations sur la spécification du values, reportez-vous à la condition de ip-options la correspondance.

L’utilisation de cette condition entraîne une correspondance si l’indicateur Plus de fragments est activé dans l’en-tête IP ou si le décalage du fragment n’est pas zéro.

Correspond au niveau de priorité de perte de paquets (PLP).

Spécifiez un ou plusieurs niveaux : low, medium-low, medium-highou high.

Compatible avec les routeurs M120 et M320 ; M7i et routeurs M10i avec le CFEB-E amélioré (CFEB-E) ; et les routeurs MX Series.

Pour le trafic IP sur les routeurs M320, MX Series et T Series équipés de concentrateurs PIC flexibles (FPC) Enhanced II), vous devez inclure l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction tri-color n’est pas activée, vous pouvez uniquement configurer les high niveaux et low . Cela s’applique à toutes les familles de protocoles.

Pour plus d’informations sur l’instruction tri-color , voir Configuration et application de polices de marquage tricolore. Pour plus d’informations sur l’utilisation de classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez la section Comprendre comment les classificateurs agrégés de comportement hiérarchisent le trafic fiable.

Ne correspondez pas au niveau PLP. Pour plus de détails, consultez l’état des loss-priority correspondances.

Correspond à la longueur du paquet reçu, en octets. La longueur se réfère uniquement au paquet IP, y compris l’en-tête du paquet, et n’inclut pas de frais d’encapsulation de couche 2. Vous pouvez également spécifier une plage de valeurs à correspondre.

Ne correspondez pas à la longueur du paquet reçu, en octets. Pour plus de détails, voir le type de packet-length correspondance.

Correspond au champ source ou port de destination UDP ou TCP.

Si vous configurez cette condition de correspondance, vous ne pouvez pas configurer la destination-port condition de correspondance ou la condition de source-port correspondance dans le même terme.

Lorsque vous configurez des correspondances basées sur des ports, vous devez également configurer l’instruction protocol udp ou protocol tcp de correspondance dans le même terme de filtre. La correspondance uniquement sur la valeur du port peut entraîner des correspondances inattendues.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous destination-port.

Ne correspondez pas au champ udp ou TCP source ou de destination. Pour plus de détails, consultez l’état des port correspondances.

Correspond au champ de priorité IP.

Au lieu de la valeur numérique du champ, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Vous pouvez spécifier la priorité sous forme hexadécimale, binaire ou décimale.

Ne correspondez pas au champ de priorité IP.

Au lieu de la valeur numérique du champ, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) ou routine (0x00). Vous pouvez spécifier la priorité sous forme hexadécimale, binaire ou décimale.

Faites correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne faites pas correspondre les préfixes des champs d’adresse source ou de destination aux préfixes de la liste spécifiée.

La liste de préfixes est définie au niveau de la [edit policy-options prefix-list prefix-list-name] hiérarchie.

Correspond au champ de type de protocole IP. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), igmpicmpv6 (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), (132), sctp (6), tcpudp (17) ou vrrp (112).

Ne correspondez pas au champ de type de protocole IP. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les valeurs de champ sont également répertoriées) : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), (58), igmpicmpv6 (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), (132), sctp (6), tcpudp  (17) ou vrrp (112).

Correspond au type de technologie d’accès radio (RAT) spécifié dans le champ Tech-Type 8 bits de l’extension de type de technologie d’accès Proxy Mobile IPv4 (PMIPv4). Le type de technologie spécifie la technologie d’accès par laquelle l’équipement mobile est connecté au réseau d’accès.

Spécifiez une valeur unique, une plage de valeurs ou un ensemble de valeurs. Vous pouvez spécifier un type de technologie sous la forme d’une valeur numérique comprise entre 0 et 255 ou sous la forme d’un mot-clé système.

• Les valeurs numériques suivantes sont des exemples de types de technologies bien connus :

  • La valeur numérique 1 correspond à IEEE 802.3.

  • La valeur numérique 2 correspond à IEEE 802.11a/b/g.

  • Valeur numérique 3 correspond à IEEE 802.16e

  • La valeur numérique 4 correspond à IEEE 802.16m.

• La chaîne de eutran texte correspond à la 4G.

• La chaîne de geran texte correspond à la 2G.

• La chaîne de utran texte correspond à la 3G.

Ne correspondez pas au type de RAT.

Correspond à un paquet reçu d’un filtre sur lequel une service-filter-hit action a été appliquée.

Correspondez à l’adresse IPv4 du nœud source qui envoie le paquet, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas à l’adresse IPv4 du nœud source qui envoie le paquet.

Vous ne pouvez pas spécifier les conditions et source-address les address correspondre dans le même terme.

Faites correspondre un ou plusieurs noms de classe source spécifiés (ensembles de préfixes source regroupés et donnés un nom de classe). Pour plus d’informations, voir Conditions de correspondance des filtres de pare-feu en fonction des classes d’adresse.

Ne correspondez pas à un ou plusieurs noms de classe source spécifiés. Pour plus de détails, consultez l’état des source-class correspondances.

Correspond au champ de port source UDP ou TCP.

Vous ne pouvez pas spécifier les port conditions et source-port les assortir dans le même terme.

Lorsque vous configurez des correspondances basées sur des ports, vous devez également configurer l’instruction protocol udp ou protocol tcp de correspondance dans le même terme de filtre. La correspondance uniquement sur la valeur du port peut entraîner des correspondances inattendues.

Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés avec la condition de destination-port number correspondance.

Ne correspondez pas au champ de port source UDP ou TCP. Pour plus de détails, consultez l’état des source-port correspondances.

Faites correspondre les préfixes source dans la liste spécifiée, sauf si l’option except est incluse. Si l’option est incluse, ne correspondez pas aux préfixes source de la liste spécifiée.

Spécifiez le nom d’une liste de préfixes définie au niveau ] hiérarchique [edit policy-options prefix-list prefix-list-name.

Correspondance des paquets TCP d’une session TCP établie (paquets autres que le premier paquet d’une connexion). Il s’agit d’un alias pour tcp-flags "(ack | rst)".

Cette condition de correspondance ne vérifie pas implicitement que le protocole est TCP. Pour vérifier cela, spécifiez la condition de protocol tcp correspondance.

Faites correspondre un ou plusieurs des 6 bits d’ordre bas dans le champ indicateurs TCP 8 bits de l’en-tête TCP.

Pour spécifier des champs de bits individuels, vous pouvez spécifier les synonymes de texte suivants ou des valeurs hexadécimales :

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

Dans une session TCP, l’indicateur SYN est défini uniquement dans le paquet initial envoyé, tandis que l’indicateur ACK est défini dans tous les paquets envoyés après le paquet initial.

Vous pouvez enchaîner plusieurs indicateurs à l’aide des opérateurs logiques de champ bit.

Pour les conditions de correspondance bit-field combinées, voir les conditions et tcp-initial de tcp-established correspondance.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction protocol tcp de correspondance dans le même terme pour spécifier que le protocole TCP est utilisé sur le port.

Pour le trafic IPv4 uniquement, cette condition de correspondance ne vérifie pas implicitement si le datagramme contient le premier fragment d’un paquet fragmenté. Pour vérifier cette condition pour le trafic IPv4 uniquement, utilisez la condition de first-fragment correspondance.

Correspond au paquet initial d’une connexion TCP. Il s’agit d’un alias pour tcp-flags "(!ack & syn)".

Cette condition ne vérifie pas implicitement que le protocole est TCP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également la condition de protocol tcp correspondance dans le même terme.

Correspond au numéro IPv4 de temps de vie. Spécifiez une valeur TTL ou une plage de valeurs TTL. Pour number, vous pouvez spécifier une ou plusieurs valeurs à partir de 0255. Cette condition de correspondance n’est prise en charge que sur les routeurs M120, M320, MX Series et T Series.

Ne correspondez pas au numéro TTL IPv4. Pour plus de détails, consultez l’état des ttl correspondances.