Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Instructions pour la configuration des filtres simples

Hiérarchie d’instructions pour la configuration de filtres simples

Pour configurer un filtre simple, incluez l’instruction simple-filter simple-filter-name au niveau de la [edit firewall family inet] hiérarchie.

Les instructions individuelles prises en charge par l’instruction simple-filter simple-filter-name sont décrites séparément dans cette rubrique et sont illustrées dans l’exemple de configuration et d’application d’un filtre simple.

Familles de protocoles de filtrage simple

Vous pouvez configurer des filtres simples pour filtrer le trafic IPv4 (family inet) uniquement. Aucune autre famille de protocoles n’est prise en charge pour les filtres simples.

Noms de filtres simples

Sous l’instruction family inet , vous pouvez inclure simple-filter simple-filter-name des instructions pour créer et nommer des filtres simples. Le nom du filtre peut contenir des lettres, des chiffres et des traits d’union (-) et comporter jusqu’à 64 caractères. Pour inclure des espaces dans le nom, placez le nom entier entre guillemets ( » « ).

Termes de filtrage simples

Sous l’instruction simple-filter simple-filter-name , vous pouvez inclure des term term-name instructions pour créer et nommer des termes de filtrage.

  • Vous devez configurer au moins un terme dans un filtre de pare-feu.

  • Vous devez spécifier un nom unique pour chaque terme dans un filtre de pare-feu. Le nom du terme peut contenir des lettres, des chiffres et des traits d’union (-) et peut comporter jusqu’à 64 caractères. Pour inclure des espaces dans le nom, placez le nom entier entre guillemets ( » « ).

  • L’ordre dans lequel vous spécifiez les termes dans la configuration d’un filtre de pare-feu est important. Les termes de filtre de pare-feu sont évalués dans l’ordre dans lequel ils sont configurés. Par défaut, les nouveaux termes sont toujours ajoutés à la fin du filtre existant. Vous pouvez utiliser la insert commande configuration mode pour réorganiser les termes d’un filtre de pare-feu.

Les filtres simples ne prennent pas en charge l’action next term .

Conditions de correspondance de filtre simples

Les termes de filtre simples ne prennent en charge qu’un sous-ensemble des conditions de correspondance IPv4 qui sont prises en charge pour les filtres de pare-feu sans état standard.

Contrairement aux filtres de pare-feu sans état standard, les restrictions suivantes s’appliquent aux filtres simples :

  • Sur les routeurs MX Series équipés du DPC de file d’attente amélioré et sur les commutateurs EX Series, les filtres simples ne prennent pas en charge la condition de forwarding- class correspondance.

  • Les filtres simples ne prennent en charge qu’un source-addressdestination-address seul préfixe pour chaque terme de filtre. Si vous configurez plusieurs préfixes, seul le dernier est utilisé.

  • Les filtres simples ne prennent pas en charge plusieurs adresses source et adresses de destination dans un seul terme. Si vous configurez plusieurs adresses, seule la dernière est utilisée.

  • Les filtres simples ne prennent pas en charge les conditions de correspondance annulées, telles que la condition de protocol-except correspondance ou le exception mot-clé.

  • Les filtres simples ne prennent en charge qu’une plage de valeurs source-port et destination-port de conditions de correspondance. Par exemple, vous pouvez configurer source-port 400-500 ou destination-port 600-700.

  • Les filtres simples ne prennent pas en charge les valeurs de masque non contiguës.

Tableau 1 Répertorie les conditions de correspondance de filtre simples.

Tableau 1 : Conditions de correspondance de filtre simples

Condition de correspondance

Description

destination-address destination-address

Correspond à l’adresse IP de destination.

destination-port number

Champ de port de destination TCP ou UDP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction protocol de correspondance pour déterminer quel protocole est utilisé sur le port.

À la place de la valeur numérique, vous pouvez spécifier l’un des alias de texte suivants (les numéros de port sont également répertoriés) : afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) ou xdmcp (177).

forwarding-class class

Faites correspondre la classe de transfert du paquet.

Spécifiez assured-forwarding, best-effort, expedited-forwarding, ou network-control.

Pour plus d’informations sur le transfert de classes et les files d’attente de sortie internes au routeur, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie.

protocol number

Champ de protocole IP. À la place de la valeur numérique, vous pouvez spécifier l’un des alias de texte suivants (les valeurs de champ sont également répertoriées) : ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (41 ipv6 ), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) ou vrrp (112).

source-address ip-source-address

Faites correspondre l’adresse IP source.

source-port number

Faites correspondre le champ Port source UDP ou TCP.

Si vous configurez cette condition de correspondance, nous vous recommandons de configurer également l’instruction protocol de correspondance pour déterminer quel protocole est utilisé sur le port.

À la place du champ numérique, vous pouvez spécifier l’un des alias de texte répertoriés pour destination-port.

Actions de terminaison de filtre simples

Les filtres simples ne prennent pas en charge les actions de terminaison explicitement configurables, telles que accept, reject, et discard. Les termes configurés dans un filtre simple acceptent toujours les paquets.

Les filtres simples ne prennent pas en charge l’action next .

Actions de non-terminaison de filtre simple

Les filtres simples ne prennent en charge que les actions non arrêtantes suivantes :

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    REMARQUE :

    Sur les routeurs MX Series et les commutateurs EX Series avec le DPC Enhanced Queuing, la classe de transfert n’est pas prise en charge en tant que condition de from correspondance.

  • loss-priority (high | low | medium-high | medium-low)

Les filtres simples ne prennent pas en charge les actions qui exécutent d’autres fonctions sur un paquet (telles que l’incrémentation d’un compteur, la journalisation des informations sur l’en-tête du paquet, l’échantillonnage des données du paquet ou l’envoi d’informations à un hôte distant à l’aide de la fonctionnalité de journal système).

Rubriques connexes