Comprendre comment un filtre de pare-feu teste un protocole
Lors de l’examen des conditions de correspondance dans un filtre de pare-feu, un commutateur teste uniquement les champs que vous spécifiez. Il ne teste pas implicitement les champs que vous ne configurez pas explicitement. Par exemple, si vous spécifiez une condition de correspondance , il n’y a pas de source-port sshtest implicite pour déterminer si le protocole est TCP. Dans ce cas, le commutateur considère comme une correspondance tout paquet dont la valeur est 22 (décimale) dans le champ de 2 octets qui suit un en-tête IP présumé . Pour vous assurer que le terme correspond aux paquets TCP, vous devez également spécifier une condition de ip-protocol tcp correspondance.
Pour les conditions de correspondance suivantes, vous devez spécifier explicitement la condition de correspondance de protocole dans le même terme :
destination-port: spécifiez le protocoletcpou le protocoleudp.icmp-code: spécifiez le protocoleicmpeticmp-type.icmp-type: spécifiez le protocoleicmpou le protocoleicmp6.source-port: spécifiez le protocoletcpou le protocoleudp.tcp-flags: spécifiez le protocoletcp.