tcp-non-syn
構文
tcp-non-syn { drop-flow; drop-flow-send-rst; }
階層レベル
[edit services service-set service-set-name service-set-options]
説明
最初の非SYN TCPパケットをサービスPICでどのように処理するかを指定します。サービスPICが処理のために最初の非SYN TCPパケットを受信すると、そのパケットはドロップされます。
オプション
drop-flow |
サービスPICが処理のために最初の非SYN TCPパケットを受信すると、そのパケットはドロップされます。 サービスPICで作成されたドロップフローは、同じ5タプル情報(送信元と宛先アドレス、プロトコル、送信元と宛先ポート)を持つ後続の非SYN TCPパケットが確実にドロップされます。このステートメントが設定されていない場合、パケットが非SYNパケットであっても、パケットがサービスセットにヒットし、ステートフルファイアウォールルールに一致するとセッションが作成されます。 |
drop-flow-send-rst |
サービスPICが処理のために最初の非SYN TCPパケットを受信すると、パケットはドロップされ、リセットパケットが発信元に送信され、それ以上パケットが生成されないようにします。 サービスPICで作成されたドロップフローは、同じ5タプル情報(送信元と宛先アドレス、プロトコル、送信元と宛先ポート)を持つ後続の非SYN TCPパケットが確実にドロップされます。このステートメントが設定されていない場合、パケットが非SYNパケットであっても、パケットがサービスセットにヒットし、ステートフルファイアウォールルールに一致するとセッションが作成されます。 |
必要な権限レベル
system:設定でこのステートメントを表示します。
システム制御—このステートメントを設定に追加します。
リリース情報
Junos OSリリース16.1R2で導入されたステートメント。