ループバックインターフェイスでのファイアウォールフィルタのサポート
ループバックインターフェースは、ルーターのルーティングエンジンに入ってくるすべての制御トラフィックのゲートウェイです。この制御トラフィックを監視する場合は、ループバックインターフェイス (lo0) 上でファイアウォールフィルターを設定する必要があります。
ループバック ファイアウォール フィルターは、パケットに送信されたパケットにのみ適用され、ルーティング エンジンに適用されます。inet および inet6 ファミリー フィルターの両方がサポートされ、lo0 インターフェイスの受信/送信方向にファイアウォール フィルタを適用できます。ただし、 interface-specific サポートされているのはファイアウォール フィルターのインスタンスのみです。
標準的なファイアウォールのフィルタマッチング条件については、「 IPv4 トラフィック (ACX シリーズルーター) の条件を満たす」を参照してください。
lo0 のファイアウォール フィルタは、イングレス方向の次の例外パケットを処理します。
TTL 例外パケット
宛先 IP アドレスとして224.0.0 を持つマルチキャストパケット
ブロードキャストパケット
IP オプションパケット
注:
ポリシー処理はイングレス方向のループバック フィルターに接続することができますが、正確な動作は CPU RX キューの設定によって異なります。たとえば、イングレス方向のレート制限(ポリシー設定を使用)は、CPU レート制限の後に発生します。
ファイアウォールをループバックインターフェイスに接続するための構成例を以下に示します。
[edit interfaces]
lo0 {
unit 0 {
family <inet | inet6> {
filter {
input f1;
}
}
}
}
family <inet | inet6>{
filter f1 {
interface-specific; >> Mandatory Field.
term t1 {
from {
protocol ospf;
}
then {
count c1;
discard;
}
}
term t2 {
then {
count c2;
accept;
}
}
}
}