Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configuration des filtres de pare-feu

Vous pouvez configurer des filtres de pare-feu dans un commutateur pour contrôler le trafic entrant ou sortant des interfaces de couche 3 (routé). Pour utiliser un filtre de pare-feu, vous devez configurer le filtre, puis l’appliquer à une interface de couche 3.

Configuration d’un filtre de pare-feu

Pour configurer un filtre de pare-feu :

  1. Configurez le type d’adresse de la famille, le nom du filtre, le nom du terme et au moins une condition de correspondance, par exemple sur les paquets qui contiennent une adresse source spécifique :

    Spécifiez le type inet d’adresse de la famille pour IPv4 ou inet6 pour IPv6.

    Les noms de filtre et de terme peuvent contenir des lettres, des chiffres et des traits d’union (-) et peuvent contenir jusqu’à 64 caractères. Chaque nom de filtre doit être unique. Un filtre peut contenir un ou plusieurs termes, et chaque nom de terme doit être unique dans un filtre.

  2. Configurez des conditions de correspondance supplémentaires. Par exemple, correspondre sur des paquets qui contiennent un port source spécifique :

    Vous pouvez spécifier une ou plusieurs conditions de correspondance dans une seule et même from instruction. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions du terme. L’instruction from est facultative, mais si elle est incluse dans un terme, elle ne peut pas être vide. Si vous omettez l’instruction from , tous les paquets sont considérés comme correspondant.

  3. Si vous souhaitez appliquer un filtre de pare-feu à plusieurs interfaces et voir les compteurs spécifiques à chaque interface, configurez l’option interface-specific :
  4. Dans chaque terme de filtre de pare-feu, spécifiez les actions à entreprendre si le paquet correspond à toutes les conditions de ce terme. Vous pouvez spécifier des modificateurs d’action et d’action :

    • Pour spécifier une action de filtre, par exemple, pour supprimer des paquets qui correspondent aux conditions du terme de filtre :

      Vous ne pouvez spécifier qu’une action (accept, discard, rejectrouting-instanceou vlan) par terme.

    • Pour spécifier des modificateurs d’action, par exemple, pour compter et classer les paquets dans une classe de transfert. Par exemple :

    Si vous omettez l’instruction then ou que vous ne spécifiez pas d’action, les paquets qui correspondent à toutes les conditions de l’instruction from sont acceptés. Toutefois, vous devez toujours configurer explicitement une action dans l’instruction then . Vous ne pouvez pas inclure plus d’une déclaration d’action, mais vous pouvez utiliser n’importe quelle combinaison de modificateurs d’action. Pour qu’une action ou un modificateur d’action prenne effet, toutes les conditions de l’instruction from doivent correspondre.

    REMARQUE :

    La suppression implicite s’applique également à un filtre de pare-feu appliqué à l’interface de bouclage, lo0.

REMARQUE :

Pour obtenir la liste complète des conditions de correspondance, des actions et des modificateurs d’action, reportez-vous à la section Conditions et actions du filtre de pare-feu (EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700). Notez que sur le commutateur OCX1100, vous pouvez utiliser uniquement les conditions de correspondance valables pour les interfaces IPv4 et IPv6.

Application d’un filtre de pare-feu à une interface de couche 3 (routée)

Pour appliquer un filtre de pare-feu à une interface de couche 3 :

  1. Fournissez une description significative du filtre de pare-feu dans la configuration de l’interface à laquelle le filtre sera appliqué :
  2. Vous pouvez appliquer des filtres de pare-feu pour filtrer les paquets entrants ou sortants d’une interface de couche 3 :

    • Pour appliquer un filtre de pare-feu pour filtrer les paquets entrant dans une interface de couche 3 :

    • Pour appliquer un filtre de pare-feu pour filtrer les paquets qui sortent d’une interface de couche 3 :

    REMARQUE :

    Vous ne pouvez appliquer qu’un seul filtre à une interface pour une direction donnée (entrant ou sortant).

Rubriques connexes