IPv4トラフィックのファイアウォールフィルター一致条件

exceptオプションが含まれていない限り、IPv4送信元または宛先アドレスフィールドが一致します。オプションが含まれている場合、IPv4 送信元または宛先アドレス フィールドが一致しません。

except 修飾子は、EX2300およびEX3400プラットフォームではサポートされていません。

（M120とM320を除くMシリーズルーター）IPsec認証ヘッダー（AH）SPI（セキュリティパラメーターインデックス）値に一致します。

（M120とM320を除くMシリーズルーター）IPsec AH SPI値に一致しません。

設定データを継承するグループを指定します。複数のグループ名を指定できます。継承する優先度順に一覧化する必要があります。最初のグループの設定データは、以降のグループのデータよりも優先されます。

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

exceptオプションが含まれていない限り、IPv4宛先アドレスフィールドに一致します。オプションが含まれている場合、IPv4宛先アドレスフィールドに一致しません。

同じ条件に addressおよびdestination-address 一致条件を両方指定することはできません。

1 つ以上の指定された宛先クラス名（まとめてグループ化され、クラス名が付与された宛先プレフィックスのセット）に一致します。詳細については、アドレス クラスに基づくファイアウォールフィルター一致条件を参照してください。

1つ以上の指定された宛先クラス名に一致しません。詳細については、 destination-class一致条件を参照してください。

UDPまたはTCP宛先ポート フィールドに一致します。

同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

ポートベースの一致を設定する場合、同じフィルター条件内に、protocol udpまたはprotocol tcp一致ステートメントも設定する必要があります。ポート値のみを一致させた場合、予想せぬ一致が生じる可能性があります。

数値の代わりに、以下のテキスト （ポート番号も記載されています）のいずれかを指定します。afs (1483)、 (bgp179)、 (512)、 (68)、 (67bootps)、 (514)、 (2401)、 (67)、 (53)、 (2domaineklogin105)dhcp、 (2106)、 ekshell(512)、 (79exec)、 (21)、 (20)、 (80)、 (443)、 (113)、 (143)、 (88)、 (543)、 (761)、 (7finger54)、 (760)http、 (5krb-prop44https)、 (389)、 krbupdatekshellldap(646)、 (513)、 (434)、 (435)、 (639)、loginmobileip-agentmobilip-mnmsdpnetbios-dgm (138)、 (137)、 (139)、 (2049)、 (119)、 (518)、 biff(123)、 (110)、 (1nntpntalkntppop3723)、 bootpc(515sunrpcsyslogtacacs)、 (1813)、cmd (1812)、 (520)、 pptp(2108)、 (25)、 (161)、 (162)nfsd、 (444)、radiusriprkinitsmtpsnmpsnmptrapsnppsocksssh (netbios-ssn1080printerradacct)、 (22)、 (111)、 (514)、 (49)、 (65)、 (517)、 (23)、 (69)、 (525)、 (513)、oimapkerberos-seckloginkpasswdr  (177).identtacacs-dstalktelnettftptimedcvspserverwhoxdmcpnetbios-nsftpftp-dataldp

UDPまたはTCP宛先ポートフィールドに一致しません。詳細については、 destination-port一致条件を参照してください。

exceptオプションが含まれていない限り、指定されたリストで宛先プレフィックスに一致します。オプションが含まれている場合、指定されたリストの宛先プレフィックスに一致しません。

[edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックスリストの名前を指定します。

DSCP（差別化されたサービスコードポイント）に一致します。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、動作集約分類子が信頼されているトラフィックをどのように優先するかの理解を参照してください。

DSCP（差別化されたサービスコードポイント）上でのフィルタリングと、GRE（一般ルーティングのカプセル化）でカプセル化されたIS-ISパケットを含めた、ルーティングエンジンからのパケット用クラスの転送に対するサポートが追加されました。その後、CoS（サービス クラス）とファイアウォールフィルター両方があるJunos OSの以前のバージョンからアップグレードし、両方にDSCPまたは転送クラスフィルターアクションの両方が含まれている場合、ファイアウォールフィルターの基準がCoS設定よりも自動的に優先されます。新しい設定を作成する場合も同じです。つまり、同じ設定が存在する場合、最初に作成されたものに関係なく、ファイアウォールフィルターがCoSよりも優先されます。

0から 63までの数値を指定できます。値を16進形式で指定するには、0x をプレフィックスに含めます。値を2進法で指定するには、 bをプレフィックスとして含めます。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

• RFC 3246, An Expeded Forwarding PHB（Per-Hop Behavior）は、1つのコード ポイントを定義します。ef (46)。

• RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します（各クラスには3つのドロップ優先順位があります）。

  • af11 (10), af12 (12), af13 (14)

  • af21 (18), af22 (20), af23 (22)

  • af31 (26), af32 (28), af33 (30)

  • af41 (34), af42 (36), af43 (38)

DSCP数上では一致しません。詳細については、dscp 一致条件を参照してください。

IPsec ESP（カプセル化セキュリティペイロード）SPI 値に一致します。この特定のSPI値に一致します。16進法、2進法、または1進法でESP SPI値を指定できます。

IPsec ESP SPI値に一致します。この特定のSPI 値では一致しません。

パケットがフラグメント パケットの最初のフラグメントである場合に一致します。パケットがフラグメントパケットの追跡フラグメントである場合、一致しません。フラグメントパケットの最初のフラグメントに、値が0のフラグメントオフセットがあります。

この一致条件は、ビットフィールド一致条件 fragment-offset 0 一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます。first-fragment と is-fragment があります。

一致させるデータの長さ（ビット単位）、文字列入力には不要（0..128）

（match-start + バイト）オフセット（0..7）の後のビットオフセット

一致開始ポイント後のバイトオフセット

定義済みテンプレートフィールドから柔軟な一致を選択します。

一致するパケットデータ内のマスクアウトビット

パケットで一致させる開始ポイント

一致する値データ/文字列

一致させるデータの長さ（ビット単位）（0..32）

（match-start + バイト）オフセット（0..7）の後のビットオフセット

一致開始ポイント後のバイトオフセット

定義済みテンプレートフィールドから柔軟な一致を選択します。

パケットで一致させる開始ポイント

一致させる値の範囲

値のこの範囲に一致しません

パケットの転送クラスに一致します。

assured-forwarding、best-effort、expedited-forwarding、 またはnetwork-control を指定します。

転送クラスとルーター内出力キューについては、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

パケットの転送クラスに一致しません。詳細については、 forwarding-class一致条件を参照してください。

（イングレスのみ）IPヘッダーの3ビットIPフラグメント化フラグフィールドに一致します。

数字フィールド値の代わりに、以下のキーワード（フィールド値も記載されています）のいずれかを指定します。dont-fragment （0x4）、more-fragments（0x2）、またはreserved （0x8）。

IPヘッダーの13ビットフラグメントオフセットフィールドに一致します。値は、データフラグメントに対する全体的なデータグラムメッセージのオフセット（8バイト単位）です。数字値、値の範囲、または値のセットを指定します。0のオフセット値は、フラグメントパケットの最初のフラグメントを示しています。

first-fragment一致条件は、 fragment-offset 0一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます（first-fragmentおよびis-fragment）。

13ビットフラグメントオフセットフィールドに一致しません。

gre-keyフィールドに一致します。GRE鍵フィールドは、GRE エンカプスレーターが挿入された4オクテット数です。GREカプセル化で使用するオプションフィールドです。rangeは、1つのGRキー番号あるいは一連のキー番号にすることができます。

MPCを搭載したMXシリーズルーターでは、対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。

ICMPメッセージコードフィールドに一致します。

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

• parameter-problem：ip-header-bad (0)、required-option-missing (1)

• redirect：redirect-for-host (1)、 redirect-for-network(0)、 redirect-for-tos-and-host(3)、 redirect-for-tos-and-net(2)

• time-exceeded：ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

• unreachable：communication-prohibited-by-filtering (13)、 destination-host-prohibited(10)、destination-host-unknown (7)、 destination-network-prohibited(9)、destination-network-unknown (6)、 fragmentation-needed(4)、host-precedence-violation (14)、 host-unreachable(1)、host-unreachable-for-TOS (12)、 network-unreachable(0)、network-unreachable-for-TOS (11)、 port-unreachable(3)、precedence-cutoff-in-effect (15)、 protocol-unreachable(2)、 source-host-isolated(8)、source-route-failed (5)

ICMPメッセージコードフィールドに一致しません。詳細については、 icmp-code一致条件を参照してください。

ICMPメッセージタイプフィールドに一致します。

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。echo-reply(0)echo-request、 (info-reply8)、 (1info-request6)、 (15)mask-reply、 mask-request(1parameter-problem7)、 (redirect18)router-advertisement、 (1router-solicit2)、 source-quench(5)time-exceeded、  (9)timestamp、 (1timestamp-reply0)、 (unreachable4)、 (11)、 (13)、 (14)、または (3)。

ICMPメッセージタイプフィールドに一致しません。詳細については、 icmp-type一致条件を参照してください。

パケットを受信したインターフェイスに一致します。

指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスを一致させます。group-numberの場合、0～255 の単一の値または値の範囲を指定します。

インターフェイスグループ に論理インターフェイスを割り当てるにはgroup-number、 階[interfaces interface-name unit number family family filter group]層レベルgroup-numberで を指定します。

詳細については、インターフェイスグループのセットで受信したパケットのフィルタリングの概要を参照してください。

指定されたインターフェイスグループまたはインターフェイス グループのセットにパケットを受信した論理インターフェイスを一致させません。詳細については、 interface-group一致条件を参照してください。

指定されたインターフェイスセットにパケットを受信したインターフェイスを一致させます。

インターフェイスセットを定義するには、 階[edit firewall]層レベルに ステートinterface-setメントを含めます。

詳細については、インターフェイス セットで受信したパケットのフィルタリングの概要を参照してください。

指定された値または値のリストに、8ビットIPオプション フィールドを一致させます。

数値の代わりに、以下のテキスト同義語（オプション値も記載されています）のいずれかを指定することができます。loose-source-route (131)、record-route (7)、router-alert (148)、security (130)、stream-id (136)、strict-source-route (137)、またはtimestamp (68).

IPオプションの任意の値に一致させるには、テキスト同義語any を使用します。複数の値に一致するには、角括弧内の値（「[」と「]」）のリストを指定します。値の範囲に一致するには、値指定[ value1-value2 ] を指定します。

例えば、一致条件ip-options [ 0-147 ] は 、loose-source-route、record-route または security値、あるいは0～147のその他の値を含むIPオプションフィールドで一致します。ただし、この一致条件は、 router-alert値（148）のみを含むIPオプション フィールドでは一致しません。

ほんどのインターフェイスでは、1つ以上の特定の IPオプション値（ 以外の値any）で 一ip-option致を指定するフィルター条件によって、カーネルがパケットヘッダーのIPオプションフィールドを解析できるように、パケットはルーティングエンジンに送信されます。

• 1つ以上の特定のIPオプション値で 一ip-option致を指定するファイアウォールフィルター条件では、同じ条件で discard終了アクションも指定しない限り、、countlog、またはsyslog非終了アクションを指定できません。この動作では、ルーター上のトランジットインターフェイスに適用されるフィルターのパケットの二重カウントを防ぐことができます。

• カーネルで処理されたパケットは、システムボトルネックのケースでは破棄される場合があります。一致したパケットがパケット転送エンジンに送信されるようにするには、 ip-options any一致条件を使用します。

MXシリーズルーターの10ギガビットイーサネットMPC（モジュラー型ポートコンセントレータ）、100ギガビットイーサネットMPC、60ギガビットイーサネットMPC、60ギガビットキューイングイーサネットMPC、60ギガビットイーサネット拡張キューイングMPCは、IPv4パケットヘッダーのIPオプションフィールドを解析できます。これらのMPC で設定されたインターフェイスでは、 ip-options一致条件を使用して一致するすべてのパケットが処理のためパケット転送エンジンに送信されます。

ip-options any一致条件は、Junos Evolved OSリリース20.2R1で始まるPTX10003およびPTX10008 ルーターでサポートされています。

指定された値または値のリストにIPオプション フィールドに一致しません。values の指定に関する詳細については、 ip-options一致条件を参照してください。

この条件を使用すると、IPヘッダーでMoreフラグメントフラグメントが有効になっており、フラグメントオフセットがゼロでない場合に、一致が発生します。

PLP（パケット損失の優先度）レベルに一致します。

単一のレベルまたは複数のレベルを指定します。low、medium-low、medium-high、またはhigh。

M120およびM320ルーター、拡張CFEB（CFEB-E）を搭載したM7iおよびM10iルーター、MXシリーズルーターでサポートされています。

拡張II FPC（フレキシブルPICコンセントレータ）を搭載したM320、MXシリーズ、およびT SeriesルーターのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするには、 階[edit class-of-service]層レベルに ステート tri-color メントを含める必要があります。tri-colorステートメントが有効になっていない場合、high および lowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。

tri-colorステートメントに関する情報については、トライカラーマーキングポリサーの設定と適用を参照してください。受信パケットのPLPレベルを設定するためのBA（動作集約）分類子の使用について、動作集約分類子がどのように信頼されるトラフィックに優先順位を付けるかの理解を参照してください。

PLPレベルに一致しません。詳細については、 loss-priority一致条件を参照してください。

受信したパケットの長さに一致します（バイト単位）。長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。一致させる値の範囲を指定することもできます。

受信したパケットの長さに一致しません（バイト単位）。詳細については、 packet-length一致タイプを参照してください。

UDPまたはTCP送信元または宛先ポート フィールドに一致します。

この一致条件を設定した場合、同じ条件で destination-port 一致条件またはsource-port 一致条件を設定できません。

ポートベースの一致を設定する場合、同じフィルター条件内に、protocol udpまたはprotocol tcp一致ステートメントも設定する必要があります。ポート値のみを一致させた場合、予想せぬ一致が生じる可能性があります。

数値の代わりに、destination-port の下に記載されているテキスト同義語の1つを指定します。

送信元または宛先UDPまたはTCPポートフィールドに一致しません。詳細については、 port一致条件を参照してください。

IP優先度フィールドに一致します。

数字フィールド値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。critical-ecp （0xa0）、 （flash0x60）、 （flash-override0x80）、（0x4immediate0）、（0xinternet-controlc0）、（0xe0）net-control、（0x20）、または（0x00）。routinepriority 16進法、2進法、または10進法で優先度を指定できます。

IP優先度フィールドに一致しません。

数字フィールド値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。critical-ecp （0xa0）、 （flash0x60）、 （flash-override0x80）、（0x4immediate0）、（0xinternet-controlc0）、（0xe0）net-control、（0x20）、または（0x00）。routinepriority 16進法、2進法、または10進法で優先度を指定できます。

exceptオプションが含まれていない限り、指定されたリスト のプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させます。オプションが含まれている場合、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させません。

プレフィックス リストは、 [edit policy-options prefix-list prefix-list-name]階層レベルで定義されます。

IPプロトコルタイプフィールドに一致します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。ah (51)、 dstopts(60)、 egp(8)、esp(50)、fragment (44)、 gre(47)、 hop-by-hop(0)、 icmp(1)、 icmp6(58)、 icmpv6(58)、igmp (2)、 ipip(4)、 ipv6(41)、 ospf(89)、 pim(103)、 rsvp(46)、sctp (132)、 tcp(6)、 udp(17)、またvrrp (112)。

IPプロトコルタイプフィールドに一致しません。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。ah (51)、 dstopts(60)、 egp(8)、esp(50)、fragment (44)、 gre(47)、 hop-by-hop(0)、 icmp(1)、 icmp6(58)、 icmpv6(58)、igmp (2)、 ipip(4)、 ipv6(41)、 ospf(89)、 pim(103)、 rsvp(46)、sctp (132)、 tcp(6)、 udp (17)、またvrrp (112)。

PMIPv4（プロキシモバイルIPv4）アクセス技術タイプ拡張の8ビットTech-Typeフィールドで指定されたRAT（無線アクセス技術）タイプに一致します。テクノロジータイプは、モバイルデバイスがアクセスネットワークに接続されたアクセス技術を指定します。

単一の値、値の範囲、または値のセットを指定します。0～255の数値、またはシステム キーワードとして技術タイプを指定できます。

• 以下の数値は、よく知られている技術タイプの例です。

  • 数値1は、IEEE 802.3 に一致します。

  • 数値2は、IEEE 802.11a/b/gに一致します。

  • 数値3は、IEEE 802.16eに一致します

  • 数値4は、IEEE 802.16mに一致します。

• テキスト文字列 eutran は4Gに一致します。

• テキスト文字列 geran は2Gに一致します。

• テキスト文字列 utranは3Gに一致します。

RATタイプに一致しません。

service-filter-hit アクションが適用されたフィルターから受信したパケットに一致します。

exceptオプションが含まれていない限り、パケットを送信する送信元ノードのIPv4 アドレスに一致します。オプションが含まれている場合、パケットを送信する送信元ノードのIPv4アドレスに一致しません。

同じ条件に addressおよびsource-address 一致条件を両方指定することはできません。

1 つ以上の指定された送信元クラス名（まとめてグループ化され、クラス名が付与された送信元プレフィックスのセット）に一致します。詳細については、アドレス クラスに基づくファイアウォールフィルター一致条件を参照してください。

1 つ以上の指定された送信元クラス名に一致しません。詳細については、 source-class一致条件を参照してください。

UDPまたはTCP送信元ポート フィールドに一致します。

同じ項に portおよび source-port一致条件を指定することはできません。

ポートベースの一致を設定する場合、同じフィルター条件内に、protocol udpまたはprotocol tcp一致ステートメントも設定する必要があります。ポート値のみを一致させた場合、予想せぬ一致が生じる可能性があります。

数値の代わりに、 destination-port number一致条件で記載されているテキスト同義語の1つを指定します。

UDPまたはTCP送信元ポートフィールドに一致しません。詳細については、 source-port一致条件を参照してください。

exceptオプションが含まれていない限り、指定されたリスト の送信元プレフィックスに一致します。オプションが含まれている場合、指定されたリストの送信元プレフィックスに一致しません。

[edit policy-options prefix-list prefix-list-name] 階層レベルで定義されたプレフィックスリストの名前を指定します。

確立されたTCPセッションのTCPパケット（接続のパケットの最初のパケット以外のパケット）に一致します。これは、 tcp-flags "(ack | rst)"のエイリアスです。

この一致条件は、プロトコルがTCPであることを暗示的に確認しません。これを確認するには、 protocol tcp一致条件を指定します。

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

• fin (0x01)

• syn (0x02)

• rst (0x04)

• push (0x08)

• ack (0x10)

• urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

組み合わせたビットフィールド一致条件については、 tcp-establishedおよび tcp-initial一致条件を参照してください。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で 一protocol tcp致ステートメントを設定することもお勧めします。

IPv4トラフィックについてのみ、この一致条件は、データグラムにフラグメントパケットの最初のフラグメントが含まれているかどうかを暗示的に確認しません。IPv4トラフィックについてのみこの条件を確認するには、first-fragment 一致条件を使用します。

TCP接続の最初のパケットに一致します。これは、 tcp-flags "(!ack & syn)"のエイリアスです。

この条件は、プロトコルが TCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で protocol tcp一致条件も設定することをお勧めします。

IPv4生存時間値に一致します。TTL値またはTTL値の範囲を指定します。numberについては、0 から 255までの1つ以上の値を指定できます。この一致条件は、M120、M320、MXシリーズ、およびT Seriesルーターでのみサポートされます。

IPv4 TTL値に一致しません。詳細については、 ttl一致条件を参照してください。