ファイアウォールフィルターがパケットのプロトコルをテストする方法の理解
一致条件を調べる場合、ジュニパーネットワークスEXシリーズイーサネットスイッチ用のジュニパーネットワークスJunosオペレーティングシステム(Junos OS)は、指定されたフィールドのみをテストします。ソフトウェアは、パケットがIPパケットかどうかを判断するために、IPヘッダーを暗示的にテストしません。そのため、場合によっては、フィールドの一致条件 protocol 他の一致条件と組み合わせて指定し、フィルターが期待どおりの一致を確実に実行するようにする必要があります。
プロトコル一致条件、または ICMP タイプまたは TCP フラグ フィールドの一致を指定した場合、暗黙的なプロトコル一致はありません。以下の一致条件では、同じ条件でプロトコル一致条件を明示的に指定する必要があります。
destination-port- 一致 protocol tcp または protocol udpを指定します。
source-port- 一致 protocol tcp または protocol udpを指定します。
上記のフィールドを使用するときにプロトコルを指定しない場合は、フィルターを慎重に設計して、期待される一致が実行されるようにしてください。たとえば、一致に destination-port ssh を指定すると、スイッチは、IP プロトコル フィールドをチェックせずに、IP ヘッダーの末尾から 2 バイト先の 2 バイト フィールドに値が 22 のパケットを確定的に照合します。