ループバックインターフェイスでのファイアウォールフィルターのサポート
ループバック インターフェイスは、ルーターのルーティング エンジンに入るすべての制御トラフィックのゲートウェイです。この制御トラフィックを監視する場合、ループバックインターフェイス(lo0)にファイアウォールフィルターを設定する必要があります。
ループバックファイアウォールフィルターは、さらに処理するためにルーティングエンジンに送信されたパケットにのみ適用されます。inetとinet6ファミリーフィルターの両方がサポートされており、lo0インターフェイスのイングレスおよびエグレス方向にファイアウォールフィルターを適用できます。ただし、ファイアウォール フィルターのインスタンスのみが interface-specific
サポートされます。
標準のファイアウォールフィルター一致条件については、 IPv4トラフィック(ACXシリーズルーター)の一致条件を参照してください。
lo0のファイアウォールフィルターは、イングレス方向に以下の例外パケットを処理します。
TTL 例外パケット
宛先 IP アドレスに 224.0.0.x を持つマルチキャスト パケット
ブロードキャスト パケット
IP オプション パケット
ポリサーアクションはイングレス方向のループバックフィルターにアタッチできますが、正確な動作はCPU RXキュー設定に依存します。例えば、CPUレートリミッタの後に(ポリサー設定を介して)イングレス方向のレート制限が発生します。
以下は、ファイアウォールをループバックインターフェイスに接続するための設定例です。
[edit interfaces] lo0 { unit 0 { family <inet | inet6> { filter { input f1; } } } } family <inet | inet6>{ filter f1 { interface-specific; >> Mandatory Field. term t1 { from { protocol ospf; } then { count c1; discard; } } term t2 { then { count c2; accept; } } } }