Sur cette page
Conditions de correspondance du filtre de pare-feu en fonction des champs d’adresse
Vous pouvez configurer des conditions de correspondance de filtre de pare-feu qui évaluent les champs d’adresse de paquet (adresses source et destination IPv4, adresses source et destination IPv6 ou adresses source et destination MAC) par rapport aux adresses ou aux valeurs de préfixe spécifiées.
Correspondance implicite sur l’adresse « 0/0 sauf » pour les conditions de correspondance du filtre de pare-feu en fonction des champs d’adresse
Chaque condition de correspondance de filtre de pare-feu basée sur un ensemble d’adresses ou de préfixes d’adresse est associée à une correspondance implicite sur l’adresse 0.0.0.0/0 except (pour le trafic IPv4 ou VPLS) ou 0:0:0:0:0:0:0:0/0 except (pour le trafic IPv6). Par conséquent, tout paquet dont le champ d’adresse spécifié ne correspond à aucune des adresses ou préfixes d’adresse spécifiés ne parvient pas à correspondre à l’ensemble du terme.
Correspondance d’un champ d’adresse à un masque ou à un préfixe de sous-réseau
Vous pouvez spécifier une condition de correspondance unique pour faire correspondre une adresse source ou une adresse de destination qui se trouve dans un préfixe d’adresse spécifié.
- Notation des masques de sous-réseau IPv4
- Notation des préfixes
- Longueur du préfixe par défaut pour les adresses IPv4
- Longueur du préfixe par défaut pour les adresses IPv6
- Longueur du préfixe par défaut pour les adresses MAC
Notation des masques de sous-réseau IPv4
Pour une adresse IPv4, vous pouvez spécifier une valeur de masque de sous-réseau plutôt qu’une longueur de préfixe. Par exemple :
[edit firewall family inet filter filter_on_dst_addr term term3 from] user@host# set address 10.0.0.10/255.0.0.255
Notation des préfixes
Pour spécifier le préfixe d’adresse, utilisez la notation prefix/prefix-length. Dans l’exemple suivant, une correspondance se produit si une adresse de destination correspond au préfixe 10.0.0.0/8:
[edit firewall family inet filter filter_on_dst_addr term term1 from] user@host# set destination-address 10.0.0.0/8
Longueur du préfixe par défaut pour les adresses IPv4
Si vous ne spécifiez /prefix-length pas d’adresse IPv4, la longueur du préfixe par défaut est /32. L’exemple suivant illustre la valeur de préfixe par défaut :
[edit firewall family inet filter filter_on_dst_addr term term2 from]
user@host# set destination-address 10
user@host# show
destination-address {
10.0.0.0/32;
}
Longueur du préfixe par défaut pour les adresses IPv6
Si vous ne spécifiez /prefix-length pas d’adresse IPv6, la longueur du préfixe par défaut est /128. L’exemple suivant illustre la valeur de préfixe par défaut :
[edit firewall family inet6 filter filter_on_dst_addr term term1 from]
user@host# set destination-address ::10
user@host# show
destination-address {
::10/128;
}
Longueur du préfixe par défaut pour les adresses MAC
Si vous ne spécifiez /prefix-length pas d’adresse MAC (Media Access Control) d’un paquet VPLS, CCC de couche 2 ou de pontage de couche 2, la longueur du préfixe par défaut est /48. L’exemple suivant illustre la valeur de préfixe par défaut :
[edit firewall family vpls filter filter_on_dst_mac_addr term term1 from]
user@host# set destination-mac-address 01:00:0c:cc:cc:cd
user@host# show
destination-address {
01:00:0c:cc:cc:cd/48;
}
Mise en correspondance d’un champ d’adresse avec une valeur exclue
Pour les conditions de correspondance adresse-champ, vous pouvez inclure le except mot-clé pour spécifier qu’une correspondance se produit pour un champ d’adresse qui ne correspond pas à l’adresse ou au préfixe spécifié.
- Exclusion d’adresses IP dans le trafic IPv4 ou IPv6
- Exclusion d’adresses IP dans VPLS ou trafic de pontage de couche 2
- Exclusion d’adresses MAC dans VPLS ou trafic de pontage de couche 2
- L’exclusion de toutes les adresses nécessite une correspondance explicite sur l’adresse '0/0'
Exclusion d’adresses IP dans le trafic IPv4 ou IPv6
Pour les conditions de correspondance IPv4 et IPv6 suivantes, vous pouvez inclure le except mot-clé permettant de spécifier qu’une correspondance se produit pour un champ d’adresse IP qui ne correspond pas à l’adresse IP ou au préfixe spécifié :
address address except: une correspondance se produit si l’adresse IP source ou l’adresse IP de destination ne correspond pas à l’adresse ou au préfixe spécifié.
source-address address except: une correspondance se produit si l’adresse IP source ne correspond pas à l’adresse ou au préfixe spécifié.
destination-address address except: une correspondance se produit si l’adresse IP de destination ne correspond pas à l’adresse ou au préfixe spécifié.
Dans l’exemple suivant, une correspondance se produit pour toutes les adresses de destination IPv4 qui se trouvent sous le préfixe, à l’exception des adresses qui relèvent de 172.16.0.0/16.172.0.0.0/8 Toutes les autres adresses ne correspondent pas implicitement à cette condition.
[edit firewall family inet filter filter_on_dst_addr term term1 from]
user@host# set destination-address 172.16.0.0/16 except
user@host# set destination-address 172.0.0.0/8
user@host# show
destination-address {
172.16.0.0/16 except;
172.0.0.0/8;
}
Dans l’exemple suivant, une correspondance se produit pour toute adresse de destination IPv4 qui n’entre pas dans le préfixe 10.1.1.0/24:
[edit firewall family inet filter filter_on_dst_addr term term24 from]
user@host# set destination-address 0.0.0.0/0
user@host# set destination-address 10.1.1.0/24 except
user@host# show
destination-address {
0.0.0.0/0;
10.1.1.0/24 except;
}
Exclusion d’adresses IP dans VPLS ou trafic de pontage de couche 2
Pour les conditions de correspondance de pontage VPLS et de couche 2 suivantes sur les routeurs MX Series uniquement, vous pouvez inclure le except mot-clé pour spécifier qu’une correspondance se produit pour un champ d’adresse IP qui ne correspond pas à l’adresse IP ou au préfixe spécifié :
ip-address address except: une correspondance se produit si l’adresse IP source ou l’adresse IP de destination ne correspond pas à l’adresse ou au préfixe spécifié.
source-ip-address address except: une correspondance se produit si l’adresse IP source ne correspond pas à l’adresse ou au préfixe spécifié.
destination-ip-address address except: une correspondance se produit si l’adresse IP de destination ne correspond pas à l’adresse ou au préfixe spécifié.
Dans l’exemple suivant de filtrage du trafic VPLS sur un routeur MX Series, une correspondance se produit si l’adresse IP source se trouve dans la plage d’exceptions de 55.0.1.0/255.0.255.0 et que l’adresse IP de destination correspond 5172.16.5.0/8:
[edit]
firewall {
family vpls {
filter fvpls {
term 1 {
from {
ip-address {
55.0.0.0/8;
55.0.1.0/255.0.255.0 except;
}
}
then {
count from-55/8;
discard;
}
}
}
}
}
Exclusion d’adresses MAC dans VPLS ou trafic de pontage de couche 2
Pour les conditions de correspondance de trafic de pontage VPLS ou de couche 2 suivantes, vous pouvez inclure le except mot-clé pour spécifier qu’une correspondance se produit pour un champ d’adresse MAC qui ne correspond pas à l’adresse MAC ou au préfixe spécifié :
source-mac-address address except—Une correspondance se produit si l’adresse MAC source ne correspond pas à l’adresse ou au préfixe spécifié.
destination-mac-address address except—Une correspondance se produit si l’adresse MAC de destination ne correspond pas à l’adresse ou au préfixe spécifié.
L’exclusion de toutes les adresses nécessite une correspondance explicite sur l’adresse '0/0'
Si vous spécifiez une condition de correspondance de filtre de pare-feu qui se compose d’une ou de plusieurs conditions de correspondance d’exception d’adresse (conditions de correspondance d’adresse qui utilisent le mot-clé) mais d’aucune condition de correspondance d’adresse pouvant être appariées, les paquets qui ne correspondent à aucun des préfixes configurés échouent l’opération except de correspondance globale. Pour configurer les conditions de correspondance terme d’exception d’adresse de filtre de pare-feu afin qu’elles correspondent à toute adresse qui ne figure pas dans la liste des préfixes, incluez une correspondance explicite de 0/0 afin que le terme contienne une adresse pouvant être appariée.
Pour l’exemple suivant de filtre de pare-feu pour le trafic IPv4, le terme ne parvient pas à ignorer le trafic correspondant et le from-trusted-addressesINTRUDERS-COUNT compteur est manquant dans la sortie de la commande de mode show firewall opérationnel :
[edit]
user@host# show policy-options
prefix-list TRUSTED-ADDRESSES {
10.2.1.0/24;
192.168.122.0/24;
}
[edit firewall family inet filter protect-RE]
user@host# show
term from-trusted-addresses {
from {
source-prefix-list {
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
then {
count INTRUDERS-COUNT;
discard;
}
}
term other-icmp {
from {
protocol icmp;
}
then {
count VALID-COUNT;
accept;
}
}
term all {
then accept;
}
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 Filter: __default_bpdu_filter__
Pour qu’un terme de filtre des conditions de correspondance adresse-exception corresponde à toute adresse qui ne figure pas dans la liste des préfixes, incluez une correspondance explicite de dans l’ensemble des conditions de 0/0 correspondance :
[edit firewall family inet filter protect-RE]
user@host# show term from-trusted-addresses
from {
source-prefix-list {
0.0.0.0/0;
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
Avec l’ajout de l’adresse 0.0.0.0/0 du préfixe source à la condition de correspondance, le terme ignore le trafic correspondant et le from-trusted-addresses compteur INTRUDERS-COUNT s’affiche dans la sortie de la show firewall commande du mode opérationnel :
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 INTRUDERS-COUNT 420 5 Filter: __default_bpdu_filter__
Correspondance de l’un ou l’autre champ d’adresse IP à une valeur unique
Pour le trafic IPv4 et IPv6 et pour le trafic de pontage VPLS et de couche 2 sur les routeurs MX Series uniquement, vous pouvez utiliser une condition de correspondance unique pour faire correspondre une seule adresse ou valeur de préfixe au champ d’adresse IP source ou de destination.
- Mise en correspondance d’un champ d’adresse IP dans le trafic IPv4 ou IPv6
- Mise en correspondance d’un champ d’adresse IP dans VPLS ou un trafic de pontage de couche 2
Mise en correspondance d’un champ d’adresse IP dans le trafic IPv4 ou IPv6
Pour le trafic IPv4 ou IPv6, vous pouvez utiliser une condition de correspondance unique pour spécifier la même valeur d’adresse ou de préfixe que la correspondance du champ d’adresse IP source ou de destination. Au lieu de créer des termes de filtre distincts qui spécifient la même adresse pour les source-address conditions de correspondance et destination-address , vous utilisez uniquement la condition de address correspondance. Une correspondance se produit si l’adresse IP source ou l’adresse IP de destination correspond à l’adresse ou au préfixe spécifié.
Si vous utilisez le except mot-clé avec la condition de correspondance, une correspondance se produit si l’adresse IP source et l’adresse IP de destination correspondent à la address valeur spécifiée avant que l’exception ne s’applique.
Dans un terme de filtre de pare-feu qui spécifie la condition de correspondance ou la condition de destination-address correspondance, vous ne pouvez pas également spécifier la condition de source-addressaddress correspondance.
Mise en correspondance d’un champ d’adresse IP dans VPLS ou un trafic de pontage de couche 2
Pour le trafic de pontage VPLS ou de couche 2 sur les routeurs MX Series uniquement, vous pouvez utiliser une condition de correspondance unique pour spécifier la même valeur d’adresse ou de préfixe que la correspondance du champ d’adresse IP source ou de destination. Au lieu de créer des termes de filtre distincts qui spécifient la même adresse pour les source-ip-address conditions de correspondance et destination-ip-address , vous utilisez uniquement la condition de ip-address correspondance. Une correspondance se produit si l’adresse IP source ou l’adresse IP de destination correspond à l’adresse ou au préfixe spécifié.
Si vous utilisez le except mot-clé avec la condition de correspondance, une correspondance se produit si l’adresse IP source et l’adresse IP de destination correspondent à la ip-address valeur spécifiée avant que l’exception ne s’applique.
Dans un terme de filtre de pare-feu qui spécifie la condition de correspondance ou la condition de destination-ip-address correspondance, vous ne pouvez pas également spécifier la condition de source-ip-addressip-address correspondance.
Mise en correspondance d’un champ d’adresse avec des préfixes non contigus
Pour le trafic IPv4 uniquement, spécifiez une condition de correspondance unique pour faire correspondre le champ d’adresse IP source ou de destination à tout préfixe spécifié. Les préfixes n’ont pas besoin d’être contigus. C’est-à-dire que les préfixes sous la source-address condition de correspondance ou n’ont pas besoin d’être adjacents ou destination-address voisins les uns des autres.
Dans l’exemple suivant, une correspondance se produit si une adresse de destination correspond au préfixe ou au 10.0.0.0/8192.168.0.0/32 préfixe :
[edit firewall family inet filter filter_on_dst_addr term term5 from]
user@host# set destination-address 10.0.0.0/8
user@host# set destination-address 192.168.0.0/32
user@host# show
destination-address {
destination-address 10.0.0.0/8;
destination-address 192.168.0.0/32;
}
L’ordre dans lequel vous spécifiez les préfixes dans la condition de correspondance n’est pas significatif. Les paquets sont évalués par rapport à tous les préfixes de la condition de correspondance pour déterminer si une correspondance se produit. Si les préfixes se chevauchent, les règles de la correspondance la plus longue sont utilisées pour déterminer si une correspondance se produit. Une condition de correspondance de préfixes non contigus inclut une instruction implicite 0/0 except , ce qui signifie que tout préfixe qui ne correspond à aucun préfixe inclus dans la condition de correspondance est explicitement considéré comme ne correspondant pas.
Étant donné que les préfixes sont indépendants de l’ordre et utilisent des règles de correspondance la plus longue, les préfixes plus longs englobent les préfixes plus courts tant qu’ils sont du même type (que vous le spécifiiez except ou non). En effet, tout ce qui correspondrait au préfixe le plus long correspondrait également au préfixe le plus court.
Prenons l’exemple suivant :
[edit firewall family inet filter filter_on_src_addr term term1 from]
source-address {
172.16.0.0/10;
172.16.2.0/24 except;
192.168.1.0;
192.168.1.192/26 except;
192.168.1.254;
172.16.3.0/24; # ignored
10.2.2.2 except; # ignored
}
Dans la condition de source-address correspondance, deux adresses sont ignorées. La 172.16.3.0/16 valeur est ignorée car elle se trouve sous l’adresse 172.16.0.0/10, qui est du même type. La 10.2.2.2 except valeur est ignorée, car elle est subsumée par la valeur de correspondance implicite 0.0.0.0/0 except .
Supposons que les adresses IP sources suivantes soient évaluées par ce filtre de pare-feu :
Adresse 172.16.1.2IP source —Cette adresse correspond au 172.16.0.0/10 préfixe, et donc l’action dans l’instruction then est entreprise.
Adresse 172.16.2.2IP source —Cette adresse correspond au 172.16.2.0/24 préfixe. Étant donné que ce préfixe est nié (c’est-à-dire qu’il inclut le except mot-clé), une incompatibilité explicite se produit. Le terme suivant dans le filtre est évalué, s’il y en a un. S’il n’y a plus de termes, le paquet est rejeté.
Adresse 10.1.2.3IP source —Cette adresse ne correspond à aucun des préfixes inclus dans la source-address condition. Au lieu de cela, il correspond à l’implicite 0.0.0.0/0 except à la fin de la liste des préfixes configurés sous la source-address condition de correspondance, et est considéré comme une incompatibilité.
L’instruction 172.16.3.0/24 est ignorée car elle se trouve sous l’adresse 172.16.0.0/10: les deux sont du même type.
L’instruction 10.2.2.2 except est ignorée car elle est subsumée par l’instruction implicite 0.0.0.0/0 except à la fin de la liste des préfixes configurés sous la source-address condition de correspondance.
Lorsqu’un terme de filtre de pare-feu inclut la condition de correspondance et qu’un terme subséquent inclut la condition de correspondance pour la from address addressfrom source-address address même adresse, les paquets peuvent être traités par ce dernier terme avant d’être évalués par des termes intermédiaires. Par conséquent, les paquets qui devraient être rejetés par les conditions intermédiaires peuvent être acceptés à la place, ou les paquets qui devraient être acceptés peuvent être rejetés à la place.
Pour éviter que cela ne se produise, nous vous recommandons de procéder comme suit. Pour chaque terme de filtre de pare-feu qui contient la condition de from address address correspondance, remplacez-le par deux termes distincts : l’un qui contient la condition de correspondance et l’autre qui contient la condition de from source-address addressfrom destination-address address correspondance.
Correspondance d’un champ d’adresse à une liste de préfixes
Vous pouvez définir une liste de préfixes d’adresse IPv4 ou IPv6 à utiliser dans une instruction de stratégie de routage ou dans une condition de correspondance de filtre de pare-feu sans état qui évalue les champs d’adresse de paquet.
Pour définir une liste de préfixes d’adresse IPv4 ou IPv6, incluez l’instruction prefix-list prefix-list .
prefix-list name {
ip-addresses;
apply-path path;
}
Vous pouvez inclure l’instruction aux niveaux hiérarchiques suivants :
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Une fois que vous avez défini une liste de préfixes, vous pouvez l’utiliser pour spécifier une condition de correspondance de filtre de pare-feu basée sur un préfixe d’adresse IPv4 ou IPv6.
[edit firewall family family-name filter filter-name term term-name]
from {
source-prefix-list {
prefix-lists;
}
destination-prefix-list {
prefix-lists;
}
}