Comprendre comment les filtres de pare-feu sont évalués
Un filtre de pare-feu se compose d’un ou plusieurs termes, et l’ordre des termes d’un filtre est important. Avant de configurer les filtres de pare-feu, vous devez comprendre comment les commutateurs évaluent les termes d’un filtre et comment les paquets sont évalués par rapport aux termes.
Lorsqu’un filtre de pare-feu est constitué d’un seul terme, le filtre est évalué comme suit :
Si le paquet correspond à toutes les conditions, l’action de l’instruction
then
est effectuée.Si le paquet correspond à toutes les conditions et qu’aucune action n’est spécifiée dans l’instruction
then
, l’action accept par défaut est prise.Si le paquet ne correspond pas à toutes les conditions, le commutateur le rejette.
Lorsqu’un filtre de pare-feu est constitué de plusieurs termes, le filtre est évalué de manière séquentielle :
Le paquet est évalué par rapport aux conditions de l’instruction
from
du premier terme.Si le paquet correspond à toutes les conditions du terme, l’action dans l’instruction
then
est prise et l’évaluation se termine. Les termes suivants du filtre ne sont pas évalués.Si le paquet ne correspond pas à toutes les conditions du terme, il est évalué par rapport aux conditions de l’instruction
from
du deuxième terme.Ce processus se poursuit jusqu’à ce que le paquet corresponde à toutes les conditions de l’instruction
from
dans l’un des termes suivants ou qu’il n’y ait plus de termes dans le filtre.Si un paquet passe par tous les termes du filtre sans correspondance, le commutateur le rejette.
L’ordre des conditions d’une from
instruction n’est pas important, car un paquet doit correspondre à toutes les conditions pour être considéré comme une correspondance.
Figure 1 montre comment les commutateurs évaluent les termes d’un filtre de pare-feu.

Si vous n’incluez pas d’instruction from
dans un terme, tous les paquets correspondent au terme et seront traités par l’instruction then
. Si un terme ne contient pas d’instruction then
ou si une action n’a pas été configurée dans l’instruction then
, le terme accepte les paquets correspondants.
Chaque filtre de pare-feu contient une déclaration implicite deny
à la fin du filtre, ce qui équivaut au terme de filtre explicite suivant :
term implicit-rule { then discard; }
Par conséquent, un paquet qui ne correspond à aucun des termes d’un filtre de pare-feu est jeté. Si vous configurez un filtre sans termes, tous les paquets qui passent par le filtre sont jetés.
Le filtrage de pare-feu est pris en charge sur les paquets d’au moins 64 octets.