ファイアウォールフィルターがパケットのプロトコルをテストする方法の理解
一致条件を調べる場合、ジュニパーネットワークスEXシリーズイーサネットスイッチ用のジュニパーネットワークスJunosオペレーティングシステム(Junos OS)は、指定されたフィールドのみをテストします。ソフトウェアは、パケットがIPパケットかどうかを判断するために、IPヘッダーを暗示的にテストしません。そのため、場合によっては、フィールド一致条件を他の一致条件と組み合わせて指定 し、フィルターが期待される一致を確実に実行するようにする必要があります。protocol
プロトコル一致条件、または ICMP タイプまたは TCP フラグ フィールドの一致を指定した場合、暗黙的なプロトコル一致はありません。以下の一致条件では、同じ条件でプロトコル一致条件を明示的に指定する必要があります。
- 一致 または を指定します。destination-portprotocol tcpprotocol udp
- 一致 または を指定します。source-portprotocol tcpprotocol udp
上記のフィールドを使用するときにプロトコルを指定しない場合は、フィルターを慎重に設計して、期待される一致が実行されるようにしてください。たとえば、 の 一致を指定した場合、スイッチは、IP プロトコル フィールドをチェックすることなく、IP ヘッダーの末尾から 2 バイト先の 2 バイト フィールドに の値 を持つパケットを、決定的に一致させます。destination-port ssh22