Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configuration des filtres de pare-feu

Vous pouvez configurer des filtres de pare-feu dans un commutateur pour contrôler le trafic qui entre ou sort des interfaces de couche 3 (routé). Pour utiliser un filtre de pare-feu, vous devez configurer le filtre, puis l’appliquer à une interface de couche 3.

Configuration d’un filtre de pare-feu

Pour configurer un filtre de pare-feu, procédez comme suit :

  1. Configurez le type d’adresse de famille, le nom du filtre, le nom du terme et au moins une condition de correspondance (par exemple, la correspondance sur les paquets qui contiennent une adresse source spécifique) :

    Spécifiez le type inet d’adresse de famille pour IPv4 ou inet6 pour IPv6.

    Les noms de filtre et de terme peuvent contenir des lettres, des chiffres et des traits d’union (-) et peuvent comporter jusqu’à 64 caractères. Chaque nom de filtre doit être unique. Un filtre peut contenir un ou plusieurs termes, et chaque nom de terme doit être unique au sein d’un filtre.

  2. Configurez des conditions de correspondance supplémentaires. Par exemple, la correspondance sur les paquets qui contiennent un port source spécifique :

    Vous pouvez spécifier une ou plusieurs conditions de correspondance dans une seule from instruction. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions du terme. L’instruction from est facultative, mais si elle est incluse dans un terme, elle ne peut pas être vide. Si vous omettez l’instruction from , tous les paquets sont considérés comme correspondants.

  3. Si vous souhaitez appliquer un filtre de pare-feu à plusieurs interfaces et être en mesure de voir les compteurs spécifiques à chaque interface, configurez l’option interface-specific :
  4. Dans chaque terme de filtre de pare-feu, spécifiez les actions à effectuer si le paquet répond à toutes les conditions de ce terme. Vous pouvez spécifier une action et des modificateurs d’action :

    • Pour spécifier une action de filtrage, par exemple, pour ignorer les paquets qui correspondent aux conditions du terme de filtre :

      Vous ne pouvez spécifier qu’une seule action (accept, discard, routing-instancereject, ou vlan) par terme.

    • Pour spécifier des modificateurs d’action, par exemple, pour compter et classer les paquets dans une classe de transfert. Par exemple :

    Si vous omettez l’instruction then ou si vous ne spécifiez pas d’action, les paquets qui correspondent à toutes les conditions de l’instruction from sont acceptés. Cependant, vous devez toujours configurer explicitement une action dans l’instruction then . Vous ne pouvez pas inclure plus d’une instruction d’action, mais vous pouvez utiliser n’importe quelle combinaison de modificateurs d’action. Pour qu’une action ou un modificateur d’action prenne effet, toutes les conditions de l’instruction from doivent correspondre.

    REMARQUE :

    La suppression implicite s’applique également à un filtre de pare-feu appliqué à l’interface de bouclage, lo0.

REMARQUE :

Pour obtenir la liste complète des conditions de correspondance, des actions et des modificateurs d’action, reportez-vous à la section Conditions de correspondance des filtres de pare-feu et actions (EX4100, EX4100-F, EX4100-H, EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210). Notez que sur le commutateur OCX1100, vous ne pouvez utiliser que les conditions de correspondance valides pour les interfaces IPv4 et IPv6.

Application d’un filtre de pare-feu à une interface de couche 3 (routée)

Pour appliquer un filtre de pare-feu à une interface de couche 3 :

  1. Fournissez une description significative du filtre de pare-feu dans la configuration de l’interface à laquelle le filtre sera appliqué :
  2. Vous pouvez appliquer des filtres de pare-feu pour filtrer les paquets qui entrent ou sortent d’une interface de couche 3 :

    • Pour appliquer un filtre de pare-feu afin de filtrer les paquets qui entrent dans une interface de couche 3 :

    • Pour appliquer un filtre de pare-feu afin de filtrer les paquets sortant d’une interface de couche 3 :

    REMARQUE :

    Vous ne pouvez appliquer qu’un seul filtre à une interface pour une direction donnée (entrée ou sortie).

Rubriques connexes