Comprendre comment un filtre de pare-feu teste un protocole
Lors de l’examen des conditions de correspondance dans un filtre de pare-feu, un commutateur ne teste que les champs que vous spécifiez. Il ne teste pas implicitement les champs que vous ne configurez pas explicitement. Par exemple, si vous spécifiez une condition de correspondance de , il n’y a pas de source-port sshtest implicite pour déterminer si le protocole est TCP. Dans ce cas, le commutateur considère que tout paquet dont la valeur 22 est (décimale) dans le champ de 2 octets qui suit un en-tête IP présumé est une correspondance. Pour vous assurer que le terme correspond aux paquets TCP, vous spécifiez également une condition de ip-protocol tcp correspondance.
Pour les conditions de correspondance suivantes, vous devez spécifier explicitement la condition de correspondance du protocole dans le même terme :
destination-port: spécifiez le protocoletcpou le protocoleudp.icmp-code: spécifiez le protocoleicmpeticmp-type.icmp-type: spécifiez le protocoleicmpou le protocoleicmp6.source-port: spécifiez le protocoletcpou le protocoleudp.tcp-flags: spécifiez le protocoletcp.