ループバックインターフェイスでのファイアウォールフィルターのサポート
ループバック インターフェイスは、ルーターのルーティング エンジンに入るすべての制御トラフィックのゲートウェイです。この制御トラフィックを監視する場合、ループバックインターフェイス(lo0)にファイアウォールフィルターを設定する必要があります。
ループバックファイアウォールフィルターは、さらに処理するためにルーティングエンジンに送信されたパケットにのみ適用されます。inetとinet6ファミリーフィルターの両方がサポートされており、lo0インターフェイスのイングレスおよびエグレス方向にファイアウォールフィルターを適用できます。ただし、ファイアウォール フィルターのインスタンスのみが interface-specific サポートされます。
標準のファイアウォールフィルター一致条件については、 IPv4トラフィック(ACXシリーズルーター)の一致条件を参照してください。
lo0のファイアウォールフィルターは、イングレス方向に以下の例外パケットを処理します。
TTL 例外パケット
宛先 IP アドレスに 224.0.0.x を持つマルチキャスト パケット
ブロードキャスト パケット
IP オプション パケット
注:
ポリサーアクションはイングレス方向のループバックフィルターにアタッチできますが、正確な動作はCPU RXキュー設定に依存します。例えば、CPUレートリミッタの後に(ポリサー設定を介して)イングレス方向のレート制限が発生します。
以下は、ファイアウォールをループバックインターフェイスに接続するための設定例です。
[edit interfaces]
lo0 {
unit 0 {
family <inet | inet6> {
filter {
input f1;
}
}
}
}
family <inet | inet6>{
filter f1 {
interface-specific; >> Mandatory Field.
term t1 {
from {
protocol ospf;
}
then {
count c1;
discard;
}
}
term t2 {
then {
count c2;
accept;
}
}
}
}