address address [ except ]
|
exceptオプションが含まれていない場合は、IPv6 送信元または宛先アドレスフィールドと一致します。オプションが含まれている場合は、IPv6送信元または宛先アドレス フィールドを一致しません。
|
apply-groups
|
構成データを継承するグループを指定します。複数のグループ名を指定できます。継承の優先度の順に列挙する必要があります。最初のグループの設定データは、その後のグループのデータよりも優先されます。
|
apply-groups-except
|
構成データを継承しないグループを指定します。複数のグループ名を指定できます。
|
destination-address address [ except ]
|
exceptオプションが含まれていない場合は、IPv6 宛先アドレスフィールドと一致します。オプションが含まれている場合は、IPv6宛先アドレス フィールドを一致しません。
同じ用語にaddress and destination-address match 条件を指定することはできません。
|
destination-class class-names
|
1つ以上の指定された宛先クラス名 (宛先にグループ化し、クラス名を指定した一連のプレフィックス) と一致します。
詳細については、「アドレスクラスに基づいたファイアウォールフィルターの一致条件」を参照してください。
|
destination-class-except class-names
|
指定された1つ以上の宛先クラス名と一致しません。詳細についてはdestination-class 、照合条件を参照してください。
|
destination-port number
|
宛先ポートフィールドとして UDP または TCP を入力します。
同じ用語にport and destination-port match 条件を指定することはできません。
この照合条件を構成する場合は、同じ用語で条件をnext-header udp設定next-header tcpして、ポートで使用されるプロトコルを指定することをお勧めします。
注: Junos OS 進化するには、同じ用語next-headerで match ステートメントを設定する必要があります。
数値の代わりに、次のいずれかの同義語を指定できます (ポート番号も表示されています)。afsbgpbiffbootpcbootps (1483)、(179)、(512)、(68)、(514)、(2401)、(67)(53)(2105)、(2106)、(512)、(79)、(20)、(80)、 cmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttps (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)(389)、(646)、(513)、(434)、(635)、(639)、(639)、 identimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgm 138)、(137)、(139)、(2049)、(119)、(518)、(123)(110)、(1723)、(515)(1813)、(1812)、(520)、(2108)、(2) netbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmp (161)、(161)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)(69)、(525)、(513)、(177) snmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp
|
destination-port-except number
|
UDP または TCP 宛先ポートフィールドと一致しません。詳細についてはdestination-port 、照合条件を参照してください。
|
destination-prefix-list prefix-list-name [ except ]
|
オプションが含まれていない場合は 、IPv6 宛先プレフィックスと指定されたリストを照合します。 except オプションが含まれている場合は、IPv6 宛先プレフィックスを指定されたリストと一致しません。
プレフィックスリストは、 [edit policy-options prefix-list prefix-list-name階層レベルで定義されています。
|
extension-headers header-type
|
次のヘッダー値を識別することで、パケットに含まれている拡張ヘッダータイプと一致します。
注: この照合条件は、MX シリーズルーターの MPCs でのみサポートされています。
パケットの最初のフラグメントで、このフィルターは、すべての拡張ヘッダータイプで一致を検索します。フラグメントヘッダーを持つパケットが検出されると (それ以降のフラグメント)、他の拡張ヘッダーの位置は予測できないため、このフィルターでは次の拡張ヘッダータイプの一致のみが検索されます。
数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。ah(51), destination (60), esp (50), fragment (44), hop-by-hop (0), mobility (135), またroutingは (43).
Extension header オプションの任意の値と一致させるには、 anyテキストシノニムを使用します。
MPCs を使用した MX シリーズルーターの場合は、この条件を含む新しいファイアウォールフィルターを、対応する SNMP MIB をたどることで初期化します。
|
first-fragment
|
パケットが最初のフラグメントである場合に一致します。
|
|
extension-headers-except header-type
|
パケットに含まれている拡張ヘッダータイプと一致しません。詳細についてはextension-headers 、照合条件を参照してください。
注: この照合条件は、MX シリーズルーターの MPCs でのみサポートされています。
|
flexible-match-mask value
|
bit-length
|
整数入力の長さ (1.. 32 ビット)。
ナ文字列入力の長さ (1 ~ 128 ビット)
|
bit-offset
|
(Match-start + byte) オフセットの後のビットオフセット (0.. 7)
|
byte-offset
|
対戦開始点の後のバイトオフセット
|
flexible-mask-name
|
定義済みのテンプレートフィールドから柔軟に一致するものを選択
|
mask-in-hex
|
一致させるパケットデータのビットをマスクする
|
match-start
|
パケットで一致させる開始ポイント
|
prefix
|
一致させる値データ/文字列
|
, 「ファイアウォールフィルタ」を参照してください。詳細は柔軟なマッチング条件
|
flexible-match-range value
範囲には、以下の形式を使用する必要があります。整数-整数
|
bit-length
|
ビット単位で一致するデータの長さ (0 ~ 32)
|
bit-offset
|
(Match-start + byte) オフセットの後のビットオフセット (0.. 7)
|
byte-offset
|
対戦開始点の後のバイトオフセット
|
flexible-range-name
|
定義済みのテンプレートフィールドから柔軟に一致するものを選択
|
match-start
|
パケットで一致させる開始ポイント
|
range
|
一致させる値の範囲
|
range-except
|
この範囲の値と一致させない
|
, 「ファイアウォールフィルタ」を参照してください。詳細は柔軟なマッチング条件
|
forwarding-class class
|
パケットの転送クラスに一致します。
、 assured-forwardingbest-effort、またはnetwork-controlを指定します。 expedited-forwarding
転送クラスとルーター内部出力キューの詳細については、「転送クラスが出力キューにクラスを割り当てる方法を理解する」を参照してください。
|
forwarding-class-except class
|
パケットの転送クラスと一致しません。詳細についてはforwarding-class 、照合条件を参照してください。
|
hop-limit hop-limit
|
ホップ制限を指定したホップ制限またはホップ制限セットに一致させます。[ hop-limit] には、0 ~ 255 の1つの値または範囲内の値を指定します。
MX シリーズルーターでのみ、Mic または MPCs でホストされているインターフェイスに対応しています。
|
hop-limit-except hop-limit
|
ホップ制限を指定されたホップ制限またはホップ制限セットに一致させないでください。詳細についてはhop-limit 、照合条件を参照してください。
MX シリーズルーターでのみ、Mic または MPCs でホストされているインターフェイスに対応しています。
|
icmp-code message-code
|
ICMP メッセージのコードフィールドと一致します。
この照合条件を構成する場合は、 next-header icmp or next-header icmp6条件を同じ用語で設定することをお勧めします。
この照合条件を構成する場合は、同じ用語でicmp-type message-type対戦条件も設定する必要があります。Icmp メッセージコードは、ICMP メッセージタイプよりも具体的な情報を提供しますが、ICMP メッセージコードの意味は、関連付けられている ICMP メッセージタイプによって異なります。
数値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。キーワードは、関連づけられている ICMP タイプによってグループ化されます。
パラメーターの問題:ip6-header-badunrecognized-next-header(0)、(1)、(2) unrecognized-option
時間超過:ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit(1)、(0)
宛先-到達不能:administratively-prohibitedaddress-unreachableno-route-to-destination (1)、(3)、(0)、(4) port-unreachable
|
icmp-code-except message-code
|
ICMP メッセージコードフィールドと一致しません。詳細についてはicmp-code 、照合条件を参照してください。
|
icmp-type message-type
|
ICMP メッセージタイプフィールドと一致します。
この照合条件を構成する場合は、 next-header icmp or next-header icmp6条件を同じ用語で設定することをお勧めします。
注: Junos OS 進化するには、同じ用語next-headerで match ステートメントを設定する必要があります。
数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。certificate-path-advertisementcertificate-path-solicitationdestination-unreachableecho-replyecho-request (149)、(148)、(129)、(128)、(144)、(144)、(142)、(130)、(131)、(132)、(147)、(146)、(146) home-agent-address-discovery-replyhome-agent-address-discovery-requestinverse-neighbor-discovery-advertisementinverse-neighbor-discovery-solicitationmembership-querymembership-reportmembership-terminationmobile-prefix-advertisement-replymobile-prefix-solicitationneighbor-advertisementneighbor-solicit (136)、(135)、(140)、(2)、(4)、(100)、(200)、(200)、(201)、(134)、(138)、(133)、(3) node-information-replynode-information-requestpacket-too-bigparameter-problemprivate-experimentation-100private-experimentation-101private-experimentation-200private-experimentation-201redirectrouter-advertisementrouter-renumberingrouter-solicittime-exceeded
( private-experimentation-201 201) の場合は、角括弧内に値の範囲を指定することもできます。
|
icmp-type-except message-type
|
ICMP メッセージタイプフィールドと一致しません。詳細についてはicmp-type 、照合条件を参照してください。
|
interface interface-name
|
パケットが受信されたインターフェイスと一致します。
注: 存在しないインターフェイスでこの一致条件を設定した場合、条件はパケットと一致しません。
|
interface-group group-number
|
パケットを受信した論理インターフェイスと、指定したインターフェイスグループまたは一連のインターフェイスグループに一致させます。group-number「」では、1つの値または0 ~ 255の範囲を指定します。
インターフェイスグループgroup-numberに論理インターフェイスを割り当てるにはgroup-number 、 [interfaces interface-name unit number family family filter group]階層レベルでを指定します。
詳細については、「一連のインターフェイスグループで受信したパケットのフィルタリングの概要」を参照してください。
|
interface-group-except group-number
|
パケットを受信した論理インターフェイスと、指定されたインターフェイスグループまたはインターフェイスグループのセットには一致しません。詳細についてはinterface-group 、照合条件を参照してください。
|
interface-set interface-set-name
|
パケットを受信したインターフェイスを指定されたインターフェイス セットに一致します。
インターフェイス セットを定義するには、ステートメント interface-set を階層レベルに [edit firewall] 含てます。
詳細については、「インターフェイスセットで受信したパケットのフィルタリングの概要」を参照してください。
|
ip-options values
|
8 ビット IP オプション フィールド(存在する場合)を、指定された値または値のリストに一致します。
数値の代わりに、次のいずれかのテキストシノニムを指定できます (オプション値も表示されます)。loose-source-routerecord-routerouter-alertsecurity (131)、(7)、(148)、(130)、(136)、(137)、または stream-idstrict-source-routetimestamp (68)。
IPオプション の任意 の値を一致するには、テキスト シノニムを使用 any します。複数の値を 一 致するには、角括弧内の値のリストを指定します(' [ および ' ] 。値の範囲に一致させるには、値[ value1-value2 ]の指定を使用します。
たとえば、一致条件は 、またはの値、または0から147の他の値を含むIPオプション ip-options [ 0-147 ]loose-source-route フィールドで record-routesecurity 一致します。ただし、この一致条件は、値のみを含む IP オプション フィールド router-alert では一致しません(148)。
ほとんどのインターフェイスでは、1 つ以上の特定の IP オプション値(以外の値)で一致を指定するフィルタ条件では、カーネルがパケット ヘッダーの IP オプション フィールドを解析できるよう、パケットが ルーティング エンジン に送信されます。 ip-optionany
1 つ以上の特定の IP オプション値で一致を指定するファイアウォール フィルタ条件では、同じ条件で終了アクションを指定しない限り、 を指定することはできません。 ip-optioncountlogsyslogdiscard この動作により、ルーター上の通過インターフェイスにフィルターを適用するためのパケット数が二重にカウントされなくなります。
カーネルで処理されるパケットは、システムのボトルネックが生じた場合にドロップすることができます。一致するパケットをパケット転送エンジンに送信する (パケット処理がハードウェアに実装されている) ようにするip-options anyには、match 条件を使用します。
MX シリーズ ルーターの 10 ギガビット イーサネット モジュラー ポート コンセントレータ(MPC)、100 ギガビット イーサネット MPC、60 ギガビット イーサネット MPC、60 ギガビット イーサネット キューイング イーサネット MPC、60 ギガビット イーサネット拡張キューイング MPC は、IPv4 パケット ヘッダーの IP オプション フィールドを解析できます。これらの MPCs で構成されているインターフェイスの場合、 ip-options match 条件を使用して照合されたすべてのパケットが、処理のためにパケット転送エンジンに送信されます。
|
ip-options-except values
|
IP オプションフィールドを指定した値または値リストと一致させないでください。を指定する方法のvalues詳細についip-optionsては、照合条件を参照してください。
|
is-fragment
|
パケットがフラグメントである場合に一致します。
|
|
last-fragment
|
パケットが最後のフラグメントである場合に一致します。
|
|
loss-priority level
|
パケット損失の優先度 (PLP) レベルと一致します。
1つまたは複数のレベルを指定します。low、 medium-low、 medium-high、またhighはです。
ネットワークルーター M120およびM320サポート。M7i CFEB(CFEB-E M10i使用したルーターのルーティングと設定)ネットワークMX シリーズルーターとEX シリーズです
M320、MX シリーズ、T Seriesルーター、EX シリーズスイッチで拡張IIフレキシブルPICコンセントレータ(FPC)を使用するIPトラフィックの場合、階層レベルでステートメントを含め、4つのレベルが指定された任意の tri-color PLP設定をコミットする必要があります。 [edit class-of-service]tri-color明細書が有効になっていない場合は、 highおよびlowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。
このtri-color文の詳細については、 Tricolor マーキングポリサーの設定と適用を参照してください。行動集約 (BA) 分類子を使用して受信パケットの PLP レベルを設定する方法については、「転送クラスによる出力キューへのクラスの割り当て方法を理解する」を参照してください。
|
loss-priority-except level
|
PLP レベルとは一致しません。詳細についてはloss-priority 、照合条件を参照してください。
|
next-header header-type
|
パケット内の最初の8ビットの次のヘッダーフィールドと一致します。ファイアウォールの一 next-header 致条件のサポートは、Junos OS リリース 13.3R6で提供されています。
IPv6 では、ファイアウォール フィルタを一致条件で設定する際には、その用語ではなく用語 payload-protocolnext-header を使用することをお勧めします。どちらの方法を使用するかは使用できます。ただし、実際のペイロード プロトコルを使用して一致を見つけるのに対して、信頼性の高い一致条件を提供します。一方 payload-protocol 、IPv6 ヘッダーの後の最初のヘッダーに表示される情報は、実際のプロトコルである場合と異なる可能性があります。 next-header さらに、IPv6 と一緒に使用すると、高速化フィルタ ブロックルックアップ プロセスは迂回され、代わりに使用される標準 next-header フィルタが使用されます。
パケット内の最初の8ビットの次のヘッダーフィールドと一致します。
数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。ahdstopsegpespfragment (51)、(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58)、(58)、(2)、(4)、(4) grehop-by-hopicmpicmp6icmpv6igmpipipipv6mobility 1)、(135)、(59)、(89)、(103)、(43)、(46)、(132)、(6)、(17)、(112) no-next-headerospfpimroutingrsvpsctptcpudp vrrp
注: next-header icmp6next-header icmpv6 match 条件は同じ機能を実行します。next-header icmp6は推奨されるオプションです。next-header icmpv6 Junos OS CLI で非表示になっています。
|
next-header-except header-type
|
IPv6 ヘッダーとペイロード間のヘッダーのタイプを識別する8ビットの「次ヘッダ」フィールドとは一致しません。詳細についてはnext-header 、「マッチングタイプ」を参照してください。
|
packet-length bytes
|
受信パケットの長さをバイト単位で照合します。長さはパケット ヘッダーを含む IP パケットのみを指し、レイヤー 2 のカプセル化オーバーヘッドは含されません。
|
packet-length-except bytes
|
受信パケットの長さがバイト数であるとは限りません。詳細についてはpacket-length 、「マッチングタイプ」を参照してください。
|
payload-protocol protocol-type
|
ペイロードプロトコルのタイプと一致します。
protocol-type数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。以下のセットを1つまたは複数指定します。ahdstoptsegpespfragment (51)、(60)、(8)、(50)、(44)、(47)、(0)、(1)、(58、 grehop-by-hopicmpicmp6igmp (2)、(41)、(89)、(103)、(46)、(132)、(6)、(112)(dstopts(60)、フラグメント ipipipv6no-next-headerospfpimroutingrsvpsctp (44)、ホップバイホップ tcpudp 0、ルーティングは、Junos OS リリース vrrp 16.1 以降では使用できません。
また、 payload-protocolこの条件を使用して、ジュニパーネットワークスファームウェアが解釈できない拡張ヘッダータイプに対応することもできます。角かっこで囲まれた範囲ヘッダーの値を指定できます。ファームウェアがパケット内で解釈できない先頭の拡張ヘッダータイプを検出した場合payload-protocol 、値はその拡張ヘッダータイプに設定されます。ファイアウォールフィルターは、そのファームウェアがパケット内で解釈できない、最初の拡張ヘッダータイプのみをチェックします。
注: この照合条件は、MX シリーズルーターの MPCs でのみサポートされています。この条件を含む新しいファイアウォールフィルターを初期化するには、対応する SNMP MIB を走査します。
|
payload-protocol-except protocol-type
|
ペイロードプロトコルタイプと一致しません。詳細についてはpayload-protocol 、「マッチングタイプ」を参照してください。
注: この照合条件は、MX シリーズルーターの MPCs でのみサポートされています。
|
port number
|
UDP または TCP 送信元または宛先ポートフィールドと一致します。
この照合条件を設定した場合、同一destination-portの用語で一致source-port条件またはマッチ条件を設定することはできません。
この照合条件を構成する場合は、同じ用語で条件をnext-header udp設定next-header tcpして、ポートで使用されるプロトコルを指定することをお勧めします。
注: Junos OS 進化するには、同じ用語next-headerで match ステートメントを設定する必要があります。
数値の代わりに、[] destination-portにリストされているいずれかのテキストシノニムを指定できます。
|
port-except number
|
UDP または TCP 送信元または宛先ポートフィールドとは一致しません。詳細についてはport 、照合条件を参照してください。
|
prefix-list prefix-list-name [ except ]
|
オプションが含まれていない場合は、送信元または宛先アドレスフィールドのプレフィックスを指定したリスト内のプレフィックスに一致させます。 except オプションを含める場合は、送信元または宛先アドレス フィールドのプレフィックスを、指定されたリストのプレフィックスと一致しません。
プレフィックスリストは、 [edit policy-options prefix-list prefix-list-name]階層レベルで定義されています。
|
service-filter-hit
|
service-filter-hit アクションが適用されたフィルターから受信したパケットを照合します。
|
source-address address [ except ]
|
exceptオプションが含まれていない場合、パケットを送信する送信元ノードの IPv6 アドレスと一致します。オプションが含まれている場合は、パケットを送信するソース ノードの IPv6 アドレスを一致しません。
同じ用語にaddress and source-address match 条件を指定することはできません。
|
source-class class-names
|
1つ以上の指定されたソースクラス名 (一連の送信元プレフィックスをグループ化し、クラス名を指定) と一致します。
詳細については、「アドレスクラスに基づいたファイアウォールフィルターの一致条件」を参照してください。
|
source-class-except class-names
|
指定された1つ以上のソースクラス名と一致しません。詳細についてはsource-class 、照合条件を参照してください。
|
source-port number
|
UDP または TCP 送信元ポートフィールドと一致させます。
port And source-port match 条件を同じ用語で指定することはできません。
この照合条件を構成する場合は、同じ用語で条件をnext-header udp設定next-header tcpして、ポートで使用されるプロトコルを指定することをお勧めします。
注: Junos OS 進化するためにnext-headerは、またはnext-header tcp同じ用語で match ステートメントを設定する必要があります。
数値の代わりに、 destination-port number一致条件としてリストされたいずれかのテキストシノニムを指定できます。
|
source-port-except number
|
UDP または TCP 送信元ポート フィールドを一致しません。詳細についてはsource-port 、照合条件を参照してください。
|
source-prefix-list name [ except ]
|
オプションが含まれていない場合は、 [パケットソース] フィールドの IPv6 アドレスプレフィックスと一致させます。 except オプションが含まれている場合は、パケット 送信元フィールドの IPv6 アドレス プレフィックスを一致しません。
[edit policy-options prefix-list prefix-list-name]階層レベルで定義された接頭辞リスト名を指定します。
|
tcp-established
|
接続の最初のパケット以外の TCP パケットを照合します。これは ( tcp-flags "(ack | rst)"0x14) のテキストシノニムです。
注: この状況では、プロトコルが TCP であることが暗黙的に確認されるわけではありません。これを確認するにはprotocol tcp 、照合条件を指定します。
この照合条件を構成する場合は、同じ用語でnext-header tcp照合条件も設定することをお勧めします。
|
tcp-flags flags
|
TCP ヘッダーの 8 ビット TCP フラグ フィールドで、低次 6 ビットの 1 つ以上を一致します。
個々のビットフィールドを指定するには、次のようなテキストシノニムまたは16進値を指定できます。
fin(0x01)
syn(0x02)
rst(0x04)
push(0x08)
ack(0x10)
urgent(0x20)
TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは初期パケットの後に送信されるすべてのパケットに設定されます。
ビットフィールド論理演算子を使用して、複数のフラグを連結することができます。
組み合わせビットフィールドの match 条件についてはtcp-established 、 tcp-initial 「and match 条件」を参照してください。
この照合条件を構成する場合は、同じ用語でnext-header tcp一致条件を設定して、TCP プロトコルがポートで使用されるように指定することをお勧めします。
|
tcp-initial
|
TCP 接続の最初のパケットと一致します。これは、のtcp-flags "(!ack & syn)"テキストシノニムです。
この状況では、プロトコルが TCP であることが暗黙的に確認されるわけではありません。この照合条件を構成する場合は、同じ用語でnext-header tcp照合条件も設定することをお勧めします。
|
traffic-class number
|
パケットのサービスクラス (CoS) の優先度を指定する8ビットのフィールドと一致します。
このフィールドは、IPv4 でサービスタイプ (ToS) フィールドとして以前に使用されていました。
From からの0数値を指定でき63ます。16進形式で値を指定するに0xは、接頭辞として含めます。バイナリ形式で値を指定するにはb 、接頭辞として含めます。
数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。
RFC 3246, An Expedited Forwarding PHB(Per-Hop Behavior)では、1 つのコード ポイントを定義しています。ef(46).
RFC 2597, Assured Forwarding PHB Groupでは、4 つのクラスを定義し、各クラスでは 3 つのドロップ precedence を、合計 12 のコード ポイントを定義しています。
af11 (10), af12 (12), af13 (14)
af21 (18), af22 (20), af23 (22)
af31 (26), af32 (28), af33 (30)
af41 (34), af42 (36), af43 (38)
|
traffic-class-except number
|
パケットの CoS 優先度を指定する8ビットのフィールドとは一致しません。詳細についてはtraffic-class 、「対応の説明」を参照してください。
|
