address address [ except ]
|
オプションが含まれていない限り、[IPv6 送信元または宛先アドレス] フィールドを except 照会します。オプションが含まれている場合は、[IPv6 送信元または宛先アドレス] フィールドと一致しません。
|
apply-groups
|
設定データを継承するグループを指定します。複数のグループ名を指定できます。継承優先度順にリストする必要があります。最初のグループの設定データは、後続のグループのデータよりも優先されます。
|
apply-groups-except
|
設定データを継承しないグループを指定します。複数のグループ名を指定できます。
|
destination-address address [ except ]
|
オプションが含まれていない場合は、IPv6 宛先アドレス フィールドを except 照会します。オプションが含まれている場合は、IPv6 宛先アドレス フィールドと一致しません。
同じ条件で条件とdestination-address 照合条件のaddress 両方を指定することはできません。
|
destination-class class-names
|
指定された 1 つ以上の宛先クラス名(グループ化された宛先プレフィックスのセットと指定されたクラス名)を照会します。
詳細については、「 アドレス クラスに基づいたファイアウォール フィルターの一致条件」を参照してください。
|
destination-class-except class-names
|
指定された宛先クラス名を 1 つ以上照会しないでください。詳細は照合条件をご destination-class 覧ください。
|
destination-port number
|
UDP または TCP 宛先ポート フィールドを照合します。
同じ条件で条件とdestination-port 照合条件のport 両方を指定することはできません。
この照合条件を設定する場合は、同じ条件で or next-header tcp 照合条件を設定next-header udp して、ポートで使用されているプロトコルを指定することをお勧めします。
注: Junos OS Evolved の場合、同じ条件で next-header match ステートメントを設定する必要があります。
数値の代わりに、次のいずれかのテキスト シノニムを指定できます(ポート番号も表示されます)。afs (1483)、 bgp (179) biff 、(512)、 bootpc (68)、(67) cmd bootps 、(514) cvspserver 、(2401) dhcp 、(67)、(53) domain 、(21) eklogin 05、 ekshell (2106)、 exec (512)、 finger (79)、 ftp (21) ftp-data 、(20) http 、(80)、 https (443) ident 、(113)、(143) imap 、 kerberos-sec (88)、(543) kpasswd klogin 、(761)、 krb-prop (754) krbupdate 、(760)、(544) ldap kshell 、(646) login ldp 、(513) mobileip-agent 、(434) mobilip-mn 、(435)、(639) msdp 、(138) netbios-dgm 、(137) netbios-ns 、(139) netbios-ssn 、(2049) nfsd 、(19) nntp ntalk ntp (123)、(110) pop3 pptp 、(1723)、 printer (515)、 radacct (1813) radius 、(1812) rip 、(520) rkinit 、(2108)、(25) smtp 、(161) snmp 、(162) snmptrap 、(44) snpp 4)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514) tacacs 、(49)、 tacacs-ds (65) talk 、(517) telnet 、(23)、(69) timed tftp 、(525)、(513) who 、またはxdmcp (177)
|
destination-port-except number
|
UDP または TCP 宛先ポート フィールドを照合しないでください。詳細は照合条件をご destination-port 覧ください。
|
destination-prefix-list prefix-list-name [ except ]
|
オプションが含まれていない限り、IPv6 宛先プレフィックスを指定されたリストにexcept 一致させます。オプションが含まれている場合は、IPv6 宛先プレフィックスを指定されたリストと一致させることはありません。
プレフィックス リストは、 ] 階層レベルで [edit policy-options prefix-list prefix-list-name 定義されます。
|
extension-headers header-type
|
次のヘッダー値を識別することで、パケットに含まれる拡張ヘッダーの種類を照会します。
注: この照合条件は、MX シリーズ ルーターの MPC でのみサポートされます。
パケットの最初のフラグメントでは、フィルターは、拡張ヘッダーの種類のいずれかの一致を検索します。フラグメント ヘッダーを持つパケット(後続のフラグメント)が見つかった場合、他の拡張ヘッダーの場所が予測できないため、フィルターは次の拡張ヘッダー タイプの一致のみを検索します。
数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。ah (51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)、または routing (43)
拡張ヘッダー オプション の値を 照会するには、テキスト シノニム any を使用します。
MPC を搭載した MX シリーズ ルーターの場合、対応する SNMP MIB を歩くことで、この条件を含む新しいファイアウォール フィルターを初期化します。
|
first-fragment
|
パケットが最初のフラグメントである場合に一致します。
|
|
extension-headers-except header-type
|
パケットに含まれる拡張ヘッダー タイプを照合しないでください。詳細は照合条件をご extension-headers 覧ください。
注: この照合条件は、MX シリーズ ルーターの MPC でのみサポートされます。
|
flexible-match-mask 値
|
bit-length
|
整数入力の長さ(1.32 ビット)、
(オプション)文字列入力の長さ(1.128 ビット)
|
bit-offset
|
(マッチスタート + バイト) オフセット (0.7) の後のビット オフセット
|
byte-offset
|
照会開始点の後のバイト・オフセット
|
flexible-mask-name
|
事前定義されたテンプレートフィールドから柔軟な一致を選択
|
mask-in-hex
|
パケット データ内のビットをマスクして照合する
|
match-start
|
パケット内で一致する開始点
|
prefix
|
照合する値データ/文字列
|
詳細については、「 ファイアウォール フィルターの柔軟な一致条件 」を参照してください。
|
flexible-match-range 値
範囲は、次の形式を使用する必要があります。整数
|
bit-length
|
ビットで照合するデータの長さ(0..32)
|
bit-offset
|
(マッチスタート + バイト) オフセット (0.7) の後のビット オフセット
|
byte-offset
|
照会開始点の後のバイト・オフセット
|
flexible-range-name
|
事前定義されたテンプレートフィールドから柔軟な一致を選択
|
match-start
|
パケット内で一致する開始点
|
range
|
照合する値の範囲
|
range-except
|
この値の範囲を一致させる必要はありません。
|
詳細については、「 ファイアウォール フィルターの柔軟な一致条件 」を参照してください。
|
forwarding-class class
|
パケットの転送クラスを照会します。
、、best-effort expedited-forwarding またはを指定assured-forwarding しますnetwork-control 。
転送クラスとルーター内部出力キューの詳細については、「 転送クラスが出力キューにクラスを割り当てる方法について」を参照してください。
|
forwarding-class-except class
|
パケットの転送クラスを照会しないでください。詳細は照合条件をご forwarding-class 覧ください。
|
hop-limit hop-limit
|
指定されたホップ制限またはホップ制限のセットにホップ制限を照合します。で hop-limit 、単一の値または 0 から 255 までの値の範囲を指定します。
MX シリーズ ルーターの MIC または MPC でホストされるインターフェイスでのみサポートされます。
|
hop-limit-except hop-limit
|
指定されたホップ制限またはホップ制限のセットにホップ制限を照合しないでください。詳細は照合条件をご hop-limit 覧ください。
MX シリーズ ルーターの MIC または MPC でホストされるインターフェイスでのみサポートされます。
|
icmp-code message-code
|
[ICMP メッセージ コード] フィールドを照合します。
この照合条件を設定する場合は、同じ条件で next-header icmp or next-header icmp6 照合条件も設定することをお勧めします。
この照合条件を設定する場合は、同じ条件で icmp-type message-type 照合条件も設定する必要があります。ICMP メッセージ コードは、ICMP メッセージ タイプよりも具体的な情報を提供しますが、ICMP メッセージ コードの意味は、関連する ICMP メッセージ タイプによって異なります。
数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。キーワードは、関連付けられている ICMP タイプによってグループ化されます。
パラメータの問題:ip6-header-bad (0)、 unrecognized-next-header (1)、 unrecognized-option (2)
時間超過:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit (0)
宛先に到達不能:administratively-prohibited (1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)
|
icmp-code-except message-code
|
[ICMP メッセージ コード] フィールドを照合しないでください。詳細は照合条件をご icmp-code 覧ください。
|
icmp-type message-type
|
[ICMP メッセージ タイプ] フィールドを照合します。
この照合条件を設定する場合は、同じ条件で next-header icmp or next-header icmp6 照合条件も設定することをお勧めします。
注: Junos OS Evolved の場合、同じ条件で next-header match ステートメントを設定する必要があります。
数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。certificate-path-advertisement (149)、(148) certificate-path-solicitation destination-unreachable 、(129) echo-reply 、 echo-request (128) home-agent-address-discovery-reply 、(145)、 home-agent-address-discovery-request (144) inverse-neighbor-discovery-advertisement 、(141) inverse-neighbor-discovery-solicitation 、 membership-query (130) membership-report 、(131)、(132) membership-termination 、(147) mobile-prefix-advertisement-reply 、(146)、(146) neighbor-advertisement mobile-prefix-solicitation 136、(135) neighbor-solicit 、(140) node-information-reply 、 node-information-request (139)、 packet-too-big (2)、(4) parameter-problem 、 private-experimentation-100 (100) private-experimentation-101 、(101) private-experimentation-200 、(201) private-experimentation-201 、(137) redirect 、(134) router-advertisement 、(138) router-renumbering 、(133) router-solicit 、またはtime-exceeded (3)
private-experimentation-201 (201)では、角括弧内の値の範囲を指定することもできます。
|
icmp-type-except message-type
|
[ICMP メッセージ タイプ] フィールドを照合しないでください。詳細は照合条件をご icmp-type 覧ください。
|
interface interface-name
|
パケットが受信したインターフェイスを照合します。
注: 存在しないインターフェイスでこの照合条件を設定した場合、その条件はどのパケットとも一致しません。
|
interface-group group-number
|
パケットが受信した論理インターフェイスを、指定されたインターフェイス グループまたは一連のインターフェイス グループに照合します。で group-number 、1 つの値またはから 0 までの値の範囲を 255 指定します。
論理インターフェイスをインターフェイス グループgroup-number に割り当てるには、階層レベルでをgroup-number [interfaces interface-name unit number family family filter group] 指定します。
詳細については、 一連のインターフェイス グループで受信したパケットのフィルタリングの概要を参照してください。
|
interface-group-except group-number
|
パケットが受信した論理インターフェイスを、指定されたインターフェイス グループまたは一連のインターフェイス グループに一致させることはありません。詳細は照合条件をご interface-group 覧ください。
|
interface-set interface-set-name
|
パケットが受信したインターフェイスを、指定されたインターフェイス セットに一致させます。
インターフェイス セットを定義するには、ステートメントを interface-set 階層レベルに [edit firewall] 含めます。
詳細については、「 インターフェイス セットで受信したパケットのフィルタリングの概要」を参照してください。
|
ip-options values
|
8 ビット IP オプション フィールド(存在する場合)を、指定された値または値のリストと照合します。
数値の代わりに、次のいずれかのテキスト シノニムを指定できます(オプション値も表示されます)。loose-source-route (131)、 record-route (7)、 router-alert (148)、 security (130)、 stream-id (136)strict-source-route 、(137)、または timestamp (68)
IP オプション の値 を照会するには、テキストシノニム any を使用します。複数の値を照合するには、角括弧('および'[ ')内の値のリストを] 指定します。値の 範囲 を照会するには、値の仕様を使用します [ value1-value2 ] 。
例えば、照会条件ip-options [ 0-147 ] は、0 から 147 までの 、、またはsecurity 値、またはその他の値を含む loose-source-route record-route IP オプション・フィールドで照会されます。ただし、この照合条件は、値(148)のみを router-alert 含む IP オプション フィールドでは一致しません。
ほとんどのインターフェイスでは、1 つ以上の特定の IP オプション値(以外any の値)で一致を指定ip-option するフィルタ条件により、カーネルがパケット ヘッダーの IP オプション フィールドを解析できるように、パケットがルーティング エンジンに送信されます。
1 つ以上の特定の IP オプション値に対してip-option 一致を指定するファイアウォール フィルター条件では、同じ条件で終端処理アクションも指定しない限り、 、またはsyslog 終端処理以外のアクションを指定count log discard することはできません。この動作により、ルーター上のトランジット インターフェイスに適用されたフィルタのパケットの二重カウントが防止されます。
カーネルで処理されたパケットは、システムのボトルネックが発生した場合にドロップされる可能性があります。一致したパケットが(ハードウェアでパケット処理が実装されている)パケット転送エンジンに送信されるようにするには、照合条件を使用します ip-options any 。
MX シリーズ ルーターの 10 ギガビット イーサネット モジュラー ポート コンセントレータ(MPC)、100 ギガビット イーサネット MPC、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、60 ギガビット イーサネット拡張キューイング MPC は、IPv4 パケット ヘッダーの IP オプション フィールドを解析できます。これらの MPC 上で設定されたインターフェイスでは、照合条件を使用してip-options 照合されたすべてのパケットがパケット転送エンジンに送信されて処理されます。
|
ip-options-except values
|
指定された値または値のリストに IP オプション フィールドを照会しないでください。の指定 values の詳細については、照合条件を ip-options 参照してください。
|
is-fragment
|
パケットがフラグメントの場合に一致します。
|
|
last-fragment
|
パケットが最後のフラグメントである場合に一致します。
|
|
loss-priority level
|
パケット 損失優先度(PLP)レベルを一致させます。
単一レベルまたは複数レベルを指定します。low 、 medium-low 、 medium-high 、または high 。
M120およびM320ルーターでサポートされています。拡張 CFEB(CFEB-E)を搭載した M7i および M10i ルーター。MXシリーズルーターとEXシリーズスイッチです
FPC(Enhanced II Flexible PIC Concentrators)を備えた M320、MX シリーズ、T シリーズ ルーター、EX シリーズ スイッチの IP トラフィックの場合、指定された 4 つのレベルのいずれかを使用して PLP 設定をコミットするには、階層レベルにステートメント[edit class-of-service] を含めるtri-color 必要があります。ステートメントがtri-color 有効でない場合は、レベルとlow レベルのみを設定high できます。これは、すべてのプロトコル ファミリーに適用されます。
ステートメントの詳細 tri-color については、「 3 色マーキング ポリサーの設定と適用」を参照してください。動作集約(BA)分類子を使用して受信パケットの PLP レベルを設定する方法については、「 転送クラスが出力キューにクラスを割り当てる方法について」を参照してください。
|
loss-priority-except level
|
PLP レベルを一致させる必要はありません。詳細は照合条件をご loss-priority 覧ください。
|
next-header header-type
|
パケットの最初の 8 ビット次ヘッダー フィールドを照合します。ファイアウォールの一致条件の next-header サポートは、Junos OS リリース 13.3R6 以降で利用できます。
IPv6 では、一致条件を持つファイアウォール フィルターを payload-protocol 構成する際には next-header 、用語ではなく用語を使用することをお勧めします。どちらかを使用できますが、 payload-protocol 実際のペイロード プロトコルを使用して一致を見つけるのに対 next-header し、IPv6 ヘッダーに続く最初のヘッダーに表示されているものを取るだけで、実際のプロトコルである場合とできない可能性があるため、より信頼性の高い照合条件が提供されます。さらに、IPv6 で使用する場合 next-header 、高速フィルター ブロック ルックアップ プロセスはバイパスされ、代わりに標準フィルタが使用されます。
パケットの最初の 8 ビット次ヘッダー フィールドを照合します。
数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。ah (51)、(60) dstops 、(8) egp 、(50) esp 、 fragment (44)、 gre (47)、 hop-by-hop (0) icmp 、(1)、 icmp6 (58) icmpv6 、(58)、 igmp (2)、(4) ipip 、(4) ipv6 1)、 mobility (135)、 no-next-header (59)、 ospf (89)、 pim (103)、 routing (43) rsvp 、(46)、 sctp (132) tcp 、(6)、 udp (17)、または vrrp (112)
注: next-header icmp6 next-header icmpv6 一致条件は同じ機能next-header icmp6 を実行します。推奨されるオプションnext-header icmpv6 は、Junos OS CLIでは表示されません。
|
next-header-except header-type
|
IPv6 ヘッダーとペイロード間のヘッダーのタイプを識別する 8 ビット次ヘッダー フィールドを照合しないでください。詳細については、照合タイプを next-header 参照してください。
|
packet-length bytes
|
受信パケットの長さをバイト単位で照合します。この長さは、パケット ヘッダーを含む IP パケットのみを指し、レイヤー 2 カプセル化オーバーヘッドは含まれません。
|
packet-length-except bytes
|
受信パケットの長さをバイト単位で照合しないでください。詳細については、照合タイプを packet-length 参照してください。
|
payload-protocol protocol-type
|
ペイロード プロトコル タイプを照合します。
数値の protocol-type 代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。次のいずれかを指定します。ah (51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、(58 igmp ) icmp6 (2)、(4) ipip 、 ipv6 (41)no-next-header 、 ospf (89) pim 、(103)routing 、 rsvp (46)、(132) sctp tcp 、(17) udp 、またはvrrp (112)(dstopts(60)、フラグメント(44)、ホップバイホップ 0)、ルーティングは、Junos OS リリース 16.1 以降では使用できません。
条件を payload-protocol 使用して、ジュニパーネットワークスのファームウェアが解釈できない拡張ヘッダー タイプを照合することもできます。角括弧内に拡張ヘッダー値の範囲を指定できます。ファームウェアは、パケットで解釈できない最初の拡張ヘッダーの種類を見つけると、値 payload-protocol がその拡張ヘッダーの種類に設定されます。ファイアウォール フィルターは、ファームウェアがパケットで解釈できない最初の拡張ヘッダー タイプのみを検査します。
注: この照合条件は、MX シリーズ ルーターの MPC でのみサポートされます。対応する SNMP MIB を歩いて、この条件を含む新しいファイアウォール フィルターを初期化します。
|
payload-protocol-except protocol-type
|
ペイロード プロトコル タイプを一致させる必要はありません。詳細については、照合タイプを payload-protocol 参照してください。
注: この照合条件は、MX シリーズ ルーターの MPC でのみサポートされます。
|
port number
|
UDP または TCP 送信元または宛先ポート フィールドを照合します。
この照合条件を設定した場合、同じ条件で destination-port 照合条件または source-port 照合条件を設定することはできません。
この照合条件を設定する場合は、同じ条件で or next-header tcp 照合条件を設定next-header udp して、ポートで使用されているプロトコルを指定することをお勧めします。
注: Junos OS Evolved の場合、同じ条件で next-header match ステートメントを設定する必要があります。
数値の代わりに、 の下にリストされている destination-port テキストシノニムのいずれかを指定できます。
|
port-except number
|
UDP または TCP 送信元または宛先ポート フィールドを一致させる必要はありません。詳細は照合条件をご port 覧ください。
|
prefix-list prefix-list-name [ except ]
|
オプションが含まれていない限り、送信元または宛先アドレス フィールドのプレフィックスを指定されたリスト内のexcept プレフィックスと照合します。オプションが含まれている場合は、送信元または宛先アドレス フィールドのプレフィックスを指定されたリスト内のプレフィックスと一致させることはありません。
プレフィックス リストは階層レベルで [edit policy-options prefix-list prefix-list-name] 定義されます。
|
service-filter-hit
|
アクションが適用されたフィルターから受信したパケットを service-filter-hit 照合します。
|
source-address address [ except ]
|
オプションが含まれていない限り、パケットを送信する送信元ノードの IPv6 アドレスを except 照会します。オプションが含まれている場合は、パケットを送信する送信元ノードの IPv6 アドレスを照会しないでください。
同じ条件で条件とsource-address 照合条件のaddress 両方を指定することはできません。
|
source-class class-names
|
指定された 1 つ以上のソース クラス名(一緒にグループ化され、指定されたクラス名が指定されたソース プレフィックスのセット)を照会します。
詳細については、「 アドレス クラスに基づいたファイアウォール フィルターの一致条件」を参照してください。
|
source-class-except class-names
|
指定された 1 つ以上のソース クラス名を照会しないでください。詳細は照合条件をご source-class 覧ください。
|
source-port number
|
UDP または TCP 送信元ポート フィールドを照合します。
同じ条件で port 条件と source-port 照合条件を指定することはできません。
この照合条件を設定する場合は、同じ条件で or next-header tcp 照合条件を設定next-header udp して、ポートで使用されているプロトコルを指定することをお勧めします。
注: Junos OS Evolved では、or match ステートメントをnext-header next-header tcp 同じ条件で設定する必要があります。
数値の代わりに、一致条件でリストされている destination-port number テキストシノニムのいずれかを指定できます。
|
source-port-except number
|
UDP または TCP 送信元ポート フィールドを一致させる必要はありません。詳細は照合条件をご source-port 覧ください。
|
source-prefix-list name [ except ]
|
オプションが含まれていない限り、パケット 送信元フィールドの IPv6 アドレス プレフィックスをexcept 照会します。オプションが含まれている場合は、パケット 送信元フィールドの IPv6 アドレス プレフィックスを照会しないでください。
階層レベルで定義されたプレフィックス リスト名を [edit policy-options prefix-list prefix-list-name] 指定します。
|
tcp-established
|
接続の最初のパケット以外の TCP パケットを照合します。これは(0x14 )のtcp-flags "(ack | rst)" テキストシノニムです。
注: この条件は、プロトコルが TCP であることを暗黙的にチェックしません。これを確認するには、照合条件を指定します protocol tcp 。
この照合条件を設定する場合は、同じ条件で next-header tcp 照合条件も設定することをお勧めします。
|
tcp-flags flags
|
TCP ヘッダーの 8 ビット TCP フラグ フィールドの下位 6 ビットの 1 つ以上を照合します。
個々のビット フィールドを指定するには、以下のテキスト シノニムまたは 16 進値を指定できます。
fin (0x01)
syn (0x02)
rst (0x04)
push (0x08)
ack (0x10)
urgent (0x20)
TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは最初のパケットの後に送信されるすべてのパケットで設定されます。
ビット フィールド論理演算子を使用して複数のフラグを文字列化できます。
組み合わせたビットフィールド照合条件については、and tcp-initial 照合条件をtcp-established 参照してください。
この照合条件を設定する場合は、同じ条件で照合条件を設定 next-header tcp して、TCP プロトコルがポートで使用されることを指定することをお勧めします。
|
tcp-initial
|
TCP 接続の最初のパケットを照合します。これはテキストシノニムです tcp-flags "(!ack & syn)" 。
この条件は、プロトコルが TCP であることを暗黙的にチェックしません。この照合条件を設定する場合は、同じ条件で next-header tcp 照合条件も設定することをお勧めします。
|
traffic-class number
|
パケットのサービス クラス(CoS)優先度を指定する 8 ビット フィールドを照会します。
このフィールドは、以前は IPv4 のサービスタイプ(ToS)フィールドとして使用されていました。
からまでの数値0 63 を指定できます。16 進形式で値を指定するには、プレフィックスとして含めます 0x 。バイナリ形式で値を指定するには、プレフィックスとして含めます b 。
数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。
|
traffic-class-except number
|
パケットの CoS 優先度を指定する 8 ビット フィールドを照合しないでください。詳細については、照合の説明を traffic-class 参照してください。
|