Consignes de configuration des filtres simples

Hiérarchie des déclarations pour la configuration de filtres simples

Pour configurer un filtre simple, incluez l’instruction simple-filter simple-filter-name au niveau de la [edit firewall family inet] hiérarchie.

Les déclarations individuelles prises en charge sous l’instruction simple-filter simple-filter-name sont décrites séparément dans cette rubrique et sont illustrées dans l’exemple de configuration et d’application d’un filtre simple.

Familles de protocoles de filtres simples

Vous pouvez configurer des filtres simples pour filtrer le trafic IPv4 (family inet) uniquement. Aucune autre famille de protocoles n’est prise en charge pour les filtres simples.

Noms de filtres simples

Sous l’instruction family inet , vous pouvez inclure des simple-filter simple-filter-name instructions pour créer et nommer des filtres simples. Le nom du filtre peut contenir des lettres, des chiffres et des traits d’union (-) et contenir jusqu’à 64 caractères. Pour inclure des espaces dans le nom, joignez le nom entier entre guillemets (« »).

Termes de filtrage simples

Sous l’instruction simple-filter simple-filter-name , vous pouvez inclure des term term-name instructions pour créer et nommer des termes de filtre.

Vous devez configurer au moins un terme dans un filtre de pare-feu.
Vous devez spécifier un nom unique pour chaque terme dans un filtre de pare-feu. Le nom du terme peut contenir des lettres, des chiffres et des traits d’union (-) et peut contenir jusqu’à 64 caractères. Pour inclure des espaces dans le nom, joignez le nom entier entre guillemets (« »).
L’ordre dans lequel vous spécifiez des termes dans une configuration de filtre de pare-feu est important. Les termes des filtres de pare-feu sont évalués dans l’ordre dans lequel ils sont configurés. Par défaut, de nouveaux termes sont toujours ajoutés à la fin du filtre existant. Vous pouvez utiliser la commande du insert mode de configuration pour réorganiser les conditions d’un filtre de pare-feu.

Les filtres simples ne prennent pas en charge l’action next term .

Conditions simples de correspondance des filtres

Les termes de filtre simples ne prennent en charge qu’un sous-ensemble des conditions de correspondance IPv4 prises en charge pour les filtres de pare-feu standard sans état.

Contrairement aux filtres de pare-feu sans état standard, les restrictions suivantes s’appliquent aux filtres simples :

Sur les routeurs MX Series avec l’DPC de mise en file d’attente améliorée et sur les commutateurs EX Series, les filtres simples ne prennent pas en charge la condition de forwarding- class correspondance.
Les filtres simples ne prennent en charge qu’un source-address et un destination-address préfixe pour chaque terme de filtre. Si vous configurez plusieurs préfixes, seul le dernier est utilisé.
Les filtres simples ne prennent pas en charge plusieurs adresses source et de destination en un seul terme. Si vous configurez plusieurs adresses, seule la dernière est utilisée.
Les filtres simples ne prennent pas en charge les conditions de correspondance non-neutres, telles que la protocol-except condition de correspondance ou le exception mot-clé.
Les filtres simples prennent en charge une plage de valeurs pour source-port et destination-port ne correspondent qu’aux conditions. Par exemple, vous pouvez configurer source-port 400-500 ou destination-port 600-700.
Les filtres simples ne prennent pas en charge les valeurs de masque non incohérentes.

Tableau 1 répertorie les conditions de correspondance des filtres simples.

Tableau 1 : Conditions simples de correspondance des filtres
Condition de correspondance	Description
`destination-address destination-address`	Correspondez à l’adresse de destination IP.
`destination-port number`	Champ de port de destination TCP ou UDP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction de correspondance `protocol` pour déterminer quel protocole est utilisé sur le port. Au lieu de la valeur numérique, vous pouvez spécifier l’un des alias de texte suivants (les numéros de port sont également répertoriés) : `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), (67), `bootpscmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `login` (513), `mobileip-agent` (434), (435), `msdpmobilip-mn` (639), (138), `netbios-nsnetbios-dgm` (137), (139), `netbios-ssn` (2049), `nntpnfsd` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (44) ( `socks` 1080), (22), `sshsunrpc` (111), `syslog` (514), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) ou `xdmcp` (177).
`forwarding-class class`	Correspond à la classe de transfert du paquet. Spécifiez `assured-forwarding`, `best-effort`ou `expedited-forwardingnetwork-control`. Pour plus d’informations sur les classes de transfert et les files d’attente de sortie internes au routeur, consultez la section Comprendre comment les classes de transfert attribuent des classes aux files d’attente de sortie.
`protocol number`	Champ protocole IP. Au lieu de la valeur numérique, vous pouvez spécifier l’un des alias de texte suivants (les valeurs de champ sont également répertoriées) : `ah`(51), `dstopts` (60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), (58), `igmpicmpv6` (2), `ipip` (4), `ipv6` (41), `ospf` (89), `pim` (103), `rsvp` (46), (132), `sctp` (6), `tcpudp` (17) ou `vrrp` (112).
`source-address ip-source-address`	Correspondez à l’adresse ip source.
`source-port number`	Correspond au champ de port source UDP ou TCP. Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction de correspondance `protocol` pour déterminer quel protocole est utilisé sur le port. Au lieu du champ numérique, vous pouvez spécifier l’un des alias de texte répertoriés pour `destination-port`.

Filtrage simple mettant fin aux actions

Les filtres simples ne prennent pas en charge les actions de terminaison configurables explicitement, telles que accept, rejectet discard. Les termes configurés dans un filtre simple acceptent toujours les paquets.

Les filtres simples ne prennent pas en charge l’action next .

Actions de non-termination du filtre simple

Les filtres simples ne prennent en charge que les actions de non-termination suivantes :

forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

REMARQUE :
Sur les routeurs MX Series et les commutateurs EX Series équipés du DPC de mise en file d’attente améliorée, la classe de transfert n’est pas prise en charge comme condition de from correspondance.
loss-priority (high | low | medium-high | medium-low)

Les filtres simples ne prennent pas en charge les actions qui exécutent d’autres fonctions sur un paquet (telles que l’incrémentation d’un compteur, la journalisation des informations sur l’en-tête du paquet, l’échantillonnage des données du paquet ou l’envoi d’informations à un hôte distant à l’aide de la fonctionnalité de journalisation du système).

Sur cette page