IPv6 トラフィックのファイアウォール フィルター一致条件

オプションが含まれていない限り、IPv6 送信元または宛先アドレス フィールドに except 一致します。オプションが含まれている場合、IPv6 送信元または宛先アドレス フィールドに一致しません。

設定データを継承するグループを指定します。複数のグループ名を指定できます。継承優先度順に一覧表示する必要があります。最初のグループの設定データは、後続のグループのデータよりも優先されます。

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

オプションが含まれていない限り、IPv6 宛先アドレス フィールドに except 一致します。オプションが含まれている場合、IPv6 宛先アドレス フィールドに一致しません。

同じ条件に address および destination-address 一致条件の両方を指定することはできません。

1 つ以上の指定された宛先クラス名(まとめてグループ化され、クラス名が付与された宛先プレフィックスのセット)に一致します。

詳細については、 アドレスクラスに基づくファイアウォールフィルター一致条件を参照してください。

1 つ以上の指定された宛先クラス名に一致しません。詳細については、 一致条件を destination-class 参照してください。

UDP または TCP 宛先ポート フィールドに一致します。

同じ条件に port および destination-port 一致条件の両方を指定することはできません。

この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。

数値の代わりに、以下のテキスト シノニム(ポート番号も記載されています)のいずれかを指定します。afs(1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67) cmd 、(514) cvspserver 、(2401) dhcp 、(67)、 domain (53)、 eklogin (21 05、 ekshell (2106)、 exec (512)、 finger (79) ftp 、(21)、 ftp-data (20)、 http (80) https 、(443) ident 、(113)、 imap (143) kerberos-sec (88)、(543) kpasswdklogin 、(761)、 krb-prop (754)、 krbupdate (760) kshell 、(544) ldap 、(389) ldp 、(646) login 、(513) mobileip-agent 、(434) mobilip-mn 、(435) msdp 、(639) netbios-dgm 、(138) netbios-ns 、(137)、(139) netbios-ssn 、(2049) nfsdnntp 、(119)、(58) ntalkntp (123)、 pop3 (110)、 pptp (1723)、 printer (515) radacct 、(1813) radius 、(1812) rip 、(520) rkinit 、(2108) smtp 、(25)、(161) snmp 、(162) snmptrapsnpp 、(44 4)、 socks (1080) ssh 、(22)、 sunrpc (111) syslog 、(514) tacacs 、(49)、 tacacs-ds (65) talk 、(517) telnet 、(23)、(69) tftp 、 timed (525)、(513) who 、またはxdmcp(177)。

UDP または TCP 宛先ポート フィールドに一致しません。詳細については、 一致条件を destination-port 参照してください。

オプションが含まれていない限り、IPv6 宛先プレフィックスを指定されたリストにexcept一致させます。オプションが含まれている場合、IPv6 宛先プレフィックスを指定されたリストに一致しません。

プレフィックスリストは、 ] 階層レベルで [edit policy-options prefix-list prefix-list-name定義されます。

次のヘッダー値を識別することにより、パケットに含まれる拡張ヘッダータイプに一致します。

パケットの最初のフラグメントでは、フィルターは、任意の拡張機能ヘッダー タイプで一致するものを検索します。フラグメント ヘッダーを持つパケット(後続のフラグメント)が見つかった場合、フィルターは、他の拡張機能ヘッダーの場所が予測できないため、次の拡張ヘッダー タイプの一致のみを検索します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah (51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)、または routing (43)。

拡張ヘッダー オプションの 任意 の値に一致するには、テキスト 同義語 anyを使用します。

MPCを搭載したMXシリーズルーターでは、対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。

パケットに含まれる拡張ヘッダー タイプに一致しません。詳細については、 一致条件を extension-headers 参照してください。

整数入力の長さ(1..32ビット)、

(オプション)文字列入力の長さ(1..128 ビット)

(match-start + バイト)オフセット(0..7)の後のビット オフセット

一致開始ポイント後のバイト オフセット

定義済みテンプレート フィールドから柔軟に一致するものを選択します。

一致させるパケット データ内のビットをマスクアウトする

パケットで一致させる開始ポイント

一致させる値データ/文字列

詳細については、 ファイアウォールフィルターフレキシブル一致条件 を参照してください。

一致させるデータの長さ(ビット単位)(0..32)

(match-start + バイト)オフセット(0..7)の後のビット オフセット

一致開始ポイント後のバイト オフセット

定義済みテンプレート フィールドから柔軟に一致するものを選択します。

パケットで一致させる開始ポイント

一致させる値の範囲

この値の範囲に一致しません

詳細については、 ファイアウォールフィルターフレキシブル一致条件 を参照してください。

パケットの転送クラスに一致します。

、 、 best-effortexpedited-forwarding、 または を指定assured-forwardingしますnetwork-control。

転送クラスとルーター内部出力キューについては、 転送クラスが出力キューに クラスを割り当てる方法についてを参照してください。

パケットの転送クラスに一致しません。詳細については、 一致条件を forwarding-class 参照してください。

指定されたホップ制限またはホップ制限のセットにホップ制限を一致させます。の場合 hop-limit、単一の値または 0~255 の値の範囲を指定します。

MXシリーズルーターのMICまたはMPCでのみホストされているインターフェイスでサポートされています。

指定されたホップ制限またはホップ制限のセットにホップ制限を一致しません。詳細については、 一致条件を hop-limit 参照してください。

MXシリーズルーターのMICまたはMPCでのみホストされているインターフェイスでサポートされています。

ICMP メッセージ コード フィールドに一致します。

この一致条件を設定した場合、同じ条件で または next-header icmp6 一致条件も設定next-header icmpすることをお勧めします。

この一致条件を設定した場合、同じ条件で 一致条件も設定 icmp-type message-type する必要があります。ICMP メッセージ コードは ICMP メッセージ タイプよりも具体的な情報を提供しますが、ICMP メッセージ コードの意味は関連する ICMP メッセージ タイプに依存します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連付けられている ICMP タイプによってグループ化されます。

• parameter-problem:ip6-header-bad(0)、 unrecognized-next-header (1)、 unrecognized-option (2)

• time-exceeded:ttl-eq-zero-during-reassembly(1)、 ttl-eq-zero-during-transit (0)

• 宛先-到達不能:administratively-prohibited(1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

ICMP メッセージ コード フィールドに一致しません。詳細については、 一致条件を icmp-code 参照してください。

ICMP メッセージ タイプ フィールドに一致します。

この一致条件を設定した場合、同じ条件で または next-header icmp6 一致条件も設定next-header icmpすることをお勧めします。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。certificate-path-advertisement (149)、(148) certificate-path-solicitation 、 destination-unreachable (1)、 echo-reply (129) echo-request 、(128) home-agent-address-discovery-reply 、(145) home-agent-address-discovery-request 、(144) inverse-neighbor-discovery-advertisement 、(142) inverse-neighbor-discovery-solicitation 、(141) membership-query 、(130) membership-report 、(131)、(132) membership-termination 、(147) mobile-prefix-advertisement-reply 、(146) mobile-prefix-solicitation 、(146) neighbor-advertisement 136、(135) neighbor-solicit 、(140) node-information-reply 、 node-information-request (139) packet-too-big 、(2)、 parameter-problem (4)、 private-experimentation-100 (100) private-experimentation-101 、(101) private-experimentation-200 、(200) private-experimentation-201 、(201) redirect 、(137)、(134) router-advertisement 、(138) router-renumbering 、(133)、 router-solicit または time-exceeded(3)。

private-experimentation-201 (201)では、角括弧内の値の範囲を指定することもできます。

ICMP メッセージ タイプ フィールドに一致しません。詳細については、 一致条件を icmp-type 参照してください。

パケットを受信したインターフェイスに一致します。

指定されたインターフェイス グループまたはインターフェイス グループのセットに、パケットを受信した論理インターフェイスに一致します。に対して group-number、単一の値または から までの 0 値の範囲を 255指定します。

インターフェイスグループgroup-numberに論理インターフェイスを割り当てるには、 階層レベルで をgroup-number[interfaces interface-name unit number family family filter group]指定します。

詳細については、 一連のインターフェイス グループで受信したパケットのフィルタリングの概要を参照してください。

指定されたインターフェイス グループまたはインターフェイス グループのセットに、パケットを受信した論理インターフェイスに一致しません。詳細については、 一致条件を interface-group 参照してください。

指定されたインターフェイス セットにパケットを受信したインターフェイスに一致します。

インターフェイス セットを定義するには、 階層レベルで interface-set ステートメントを [edit firewall] 含めます。

詳細については、 インターフェイス セットで受信したパケットのフィルタリングの概要を参照してください。

8 ビット IP オプション フィールドが存在する場合は、指定された値または値のリストに一致します。

数値の代わりに、以下のテキスト シノニム(オプション値も記載されています)のいずれかを指定します。loose-source-route(131)、 record-route (7)、 router-alert (148)、 security (130)、 stream-id (136)、strict-source-route(137)、または timestamp(68)。

IP オプション の任意 の値に一致するには、テキスト 同義語 anyを使用します。複数の値に一致するには、角括弧内の値のリストを指定します('[' と ']')。値の 範囲 に一致するには、値指定を使用します [ value1-value2 ]。

例えば、一致条件ip-options [ 0-147 ]は、 、 、record-routeまたは security の値、または 0~147 のその他の値を含む loose-source-routeIP オプション フィールドで一致します。ただし、この一致条件は、値(148)のみを router-alert 含む IP オプション フィールドでは一致しません。

ほとんどのインターフェイスでは、1 つ以上の特定の IP オプション値(以外anyの値)で一致を指定ip-optionするフィルター条件により、カーネルがパケット ヘッダーの IP オプション フィールドを解析できるように、パケットがルーティング エンジンに送信されます。

• 1 つ以上の特定の IP オプション値で一致をip-option指定するファイアウォール フィルター条件では、同じ条件で終了アクションも指定しない限り、 、 log、または syslog 非終了アクションを指定countdiscardできません。この動作により、ルーター上のトランジット インターフェイスに適用されるフィルターのパケットの二重カウントが防止されます。

• カーネルで処理されたパケットは、システムボトルネックが発生した場合に破棄されることがあります。一致したパケットがパケット転送エンジンに送信されるようにするには、 一致条件を ip-options any 使用します。

MX シリーズ ルーターの 10 ギガビット イーサネット モジュラー ポート コンセントレータ(MPC)、100 ギガビット イーサネット MPC、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、60 ギガビット イーサネット拡張キューイング MPC は、IPv4 パケット ヘッダーの IP オプション フィールドを解析できます。これらのMPCに設定されたインターフェイスでは、 一致条件を使用してip-options一致したすべてのパケットが処理のためにパケット転送エンジンに送信されます。

指定された値または値のリストに IP オプション フィールドに一致しません。の指定 valuesの詳細については、 一致条件を ip-options 参照してください。

PLP(パケット損失の優先度)レベルに一致します。

1 つのレベルまたは複数のレベルを指定します。low、 、 medium-lowmedium-high、または high.

M120およびM320ルーターでサポートされています。Enhanced CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。MXシリーズルーターとEXシリーズスイッチです

拡張 II FPC(フレキシブル PIC コンセントレータ)を搭載した M320、MX シリーズ、T シリーズ ルーター、EX シリーズ スイッチの IP トラフィックの場合、指定された 4 つのレベルのいずれかを持つ PLP 設定をコミットするには、 階層レベルに [edit class-of-service] ステートメントを含めるtri-color必要があります。ステートメントがtri-color有効でない場合、 および low レベルのみを設定highできます。これは、すべてのプロトコルファミリーに適用されます。

ステートメントの詳細 tri-color については、 トライカラーマーキングポリサーの設定と適用を参照してください。受信パケットの PLP レベルを設定する BA(動作集約)分類子の使用については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

PLP レベルに一致しません。詳細については、 一致条件を loss-priority 参照してください。

パケットの最初の 8 ビットネクスト ヘッダー フィールドに一致します。ファイアウォールの一致条件の next-header サポートは、Junos OS リリース 13.3R6 以降で利用できます。

パケットの最初の 8 ビットネクスト ヘッダー フィールドに一致します。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah(51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58) icmpv6 、(58)、 igmp (2)、(4) ipip 、(4) ipv6 1)、 mobility (135)、 no-next-header (59) ospf 、(89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、(17) udp  、または vrrp(112)。

IPv6 ヘッダーとペイロード間のヘッダーのタイプを識別する 8 ビットネクスト ヘッダー フィールドに一致しません。詳細については、 一致タイプを next-header 参照してください。

受信したパケットの長さに一致します(バイト単位)。長さはパケットヘッダーを含むIPパケットのみを指し、レイヤー2のカプセル化オーバーヘッドは含まれません。

受信したパケットの長さに一致しません(バイト単位)。詳細については、 一致タイプを packet-length 参照してください。

ペイロード プロトコル タイプに一致します。

数値の protocol-type 代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。以下のいずれかを指定します。ah(51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、(58、 icmp6igmp (2)、 ipip (4)、 ipv6 (41) no-next-header、 ospf (89) pim 、(103) routing、 rsvp (46) sctp 、(132) tcp 、(17) udp 、または vrrp(112)(dstopts(60)、フラグメント(44)、ホップバイホップ 0)、およびルーティングは、Junos OS リリース 16.1 以降では利用できません。

また、 条件を payload-protocol 使用して、Juniper Networks のファームウェアが解釈できない拡張ヘッダー タイプを一致させることができます。拡張ヘッダー値の範囲を角括弧内で指定できます。ファームウェアは、パケットで解釈できない最初の拡張機能ヘッダーの種類を見つけると、 payload-protocol 値がその拡張機能ヘッダーの種類に設定されます。ファイアウォール フィルターは、ファームウェアがパケットで解釈できない最初の拡張ヘッダー タイプのみを検査します。

ペイロード プロトコル タイプに一致しません。詳細については、 一致タイプを payload-protocol 参照してください。

UDP または TCP 送信元または宛先ポート フィールドに一致します。

この一致条件を設定した場合、同じ条件で destination-port 一致条件または source-port 一致条件を設定することはできません。

この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。

数値の代わりに、 の下 destination-portに記載されているテキスト同義語の1つを指定します。

UDP または TCP 送信元または宛先ポート フィールドに一致しません。詳細については、 一致条件を port 参照してください。

オプションが含まれていない限り、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスをexcept一致させます。オプションが含まれている場合、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致しません。

プレフィックスリストは、 階層レベルで [edit policy-options prefix-list prefix-list-name] 定義されます。

アクションが適用されたフィルターから受信したパケットに service-filter-hit 一致します。

オプションが含まれていない限り、パケットを送信する送信元ノードの IPv6 アドレスに except 一致します。オプションが含まれている場合、パケットを送信する送信元ノードの IPv6 アドレスに一致しません。

同じ条件に address および source-address 一致条件の両方を指定することはできません。

1 つ以上の指定されたソース クラス名(まとめてグループ化され、クラス名が付与された送信元プレフィックスのセット)に一致します。

詳細については、 アドレスクラスに基づくファイアウォールフィルター一致条件を参照してください。

1 つ以上の指定されたソース クラス名に一致しません。詳細については、 一致条件を source-class 参照してください。

UDP または TCP 送信元ポート フィールドに一致します。

同じ条件に port および source-port 一致条件を指定することはできません。

この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。

数値の代わりに、 一致条件で記載されているテキスト同義語の1つを destination-port number 指定できます。

UDP または TCP 送信元ポート フィールドに一致しません。詳細については、 一致条件を source-port 参照してください。

オプションが含まれていない限り、パケット送信元フィールドの IPv6 アドレス プレフィックスにexcept一致します。オプションが含まれている場合、パケット送信元フィールドの IPv6 アドレス プレフィックスに一致しません。

階層レベルで定義されたプレフィックスリスト名を [edit policy-options prefix-list prefix-list-name] 指定します。

接続の最初のパケット以外の TCP パケットを照合します。これは(0x14)のテキスト同義語ですtcp-flags "(ack | rst)"。

この一致条件を設定した場合、同じ条件で 一致条件も設定 next-header tcp することをお勧めします。

TCP ヘッダーの 8 ビット TCP フラグ フィールドの下位 6 ビットの 1 つ以上に一致します。

個々のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは最初のパケットの後に送信されたすべてのパケットで設定されます。

ビットフィールド論理演算子を使用して、複数のフラグを文字列化できます。

組み合わせたビットフィールド一致条件については、 および tcp-initial 一致条件をtcp-established参照してください。

この一致条件を設定した場合、ポートでTCPプロトコルが使用されていることを指定するために、同じ条件で 一致条件を設定 next-header tcp することもお勧めします。

TCP 接続の最初のパケットに一致します。これは、 のテキスト同義語です tcp-flags "(!ack & syn)"。

この条件は、プロトコルがTCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で 一致条件も設定 next-header tcp することをお勧めします。

パケットのサービス クラス(CoS)優先度を指定する 8 ビット フィールドに一致します。

このフィールドは、以前は IPv4 のサービスタイプ(ToS)フィールドとして使用されていました。

から 063までの数値を指定できます。16進法で値を指定するには、プレフィックスとしてを含 0x めます。値を 2 進形式で指定するには、プレフィックスとして を含 b めます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

• RFC 3246、 Expedited Forwarding PHB(Per-Hop Behavior)は、1つのコードポイントを定義します。ef(46).

• RFC 2597、 Assured Forwarding PHB Groupは、4つのクラスを定義し、各クラスには3つのドロップ優先度を設定し、合計12のコードポイントを対象にしています。

  • af11(10)、 af12 (12)、 af13 (14)

  • af21(18)、 af22 (20)、 af23 (22)

  • af31(26)、 af32 (28)、 af33 (30)

  • af41(34)、 af42 (36)、 af43 (38)

パケットの CoS 優先度を指定する 8 ビット フィールドに一致しません。詳細については、 一致の説明を traffic-class 参照してください。