IPv6トラフィックのファイアウォールフィルター一致条件

exceptオプションが含まれていない限り、IPv6送信元または宛先アドレスフィールドが一致します。オプションが含まれている場合、IPv6 送信元または宛先アドレス フィールドが一致しません。

設定データを継承するグループを指定します。複数のグループ名を指定できます。継承する優先度順に一覧化する必要があります。最初のグループの設定データは、以降のグループのデータよりも優先されます。

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

exceptオプションが含まれていない限り、IPv6宛先アドレスフィールドに一致します。オプションが含まれている場合、IPv6宛先アドレスフィールドに一致しません。

同じ条件に addressおよびdestination-address 一致条件を両方指定することはできません。

1 つ以上の指定された宛先クラス名（まとめてグループ化され、クラス名が付与された宛先プレフィックスのセット）に一致します。

詳細については、アドレス クラスに基づくファイアウォールフィルター一致条件を参照してください。

1つ以上の指定された宛先クラス名に一致しません。詳細については、 destination-class一致条件を参照してください。

UDPまたはTCP宛先ポート フィールドに一致します。

同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

数値の代わりに、以下のテキスト シノニム（ポート番号も記載されています）のいずれかを指定します。afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

UDPまたはTCP宛先ポートフィールドに一致しません。詳細については、 destination-port一致条件を参照してください。

exceptオプションが含まれていない限りIPv6宛先プレフィックスを指定されたリストに一致させます。オプションが含まれている場合、指定されたリストのIPv6宛先プレフィックスに一致しません。

プレフィックスリストは、 [edit policy-options prefix-list prefix-list-name] 階層レベルで定義されます。

次のヘッダー値を識別することによって、パケットに含まれる拡張ヘッダーの種類に一致します。

パケットの最初のフラグメントで、フィルターはいずれかの拡張ヘッダー タイプで一致を検索します。フラグメント ヘッダーを持つパケット(後続のフラグメント)が見つかった場合、他の拡張ヘッダーの位置は予測できないため、フィルターは次の拡張ヘッダー タイプの一致のみを検索します。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。ah (51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)、または routing (43)。

拡張ヘッダー オプションの 任意の 値に一致するには、テキスト シノニム anyを使用します。

MPCを搭載したMXシリーズルーターでは、対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。

IPv6 パケットのヘッダーにある 20 ビットのフローラベルフィールドに一致します。値の範囲は 0x1 から 0xFFFFF です。

フローラベル と ネクストヘッダー の一致条件は共存できません。これらの一致条件は、一度にいずれか 1 つだけ適用できます。フローラベルを有効にし、ネクストヘッダーを無効にするには、次の設定を適用します。set firewall v6-flowlabel-enable.

次の表は、 フローラベル 一致条件と ネクストヘッダー 条件の動作をまとめたものです。

通常の フローラベル 値に加えて、一致を設定する際にマスク値を使用できます。マスク値は、指定された フローラベル 値の特定のビットと一致します。

パケットに含まれている拡張ヘッダーの種類に一致しません。詳細については、 extension-headers一致条件を参照してください。

整数入力の長さ(1..32ビット);

(オプション)文字列入力の長さ (1..128 ビット)

（match-start + バイト）オフセット（0..7）の後のビットオフセット

一致開始ポイント後のバイトオフセット

定義済みテンプレートフィールドから柔軟な一致を選択します。

一致するパケットデータ内のマスクアウトビット

パケットで一致させる開始ポイント

一致する値データ/文字列

詳細については、ファイアウォールフィルターの柔軟な一致条件を参照してください。

一致させるデータの長さ（ビット単位）（0..32）

（match-start + バイト）オフセット（0..7）の後のビットオフセット

一致開始ポイント後のバイトオフセット

定義済みテンプレートフィールドから柔軟な一致を選択します。

パケットで一致させる開始ポイント

一致させる値の範囲

値のこの範囲に一致しません

詳細については、ファイアウォールフィルターの柔軟な一致条件を参照してください。

パケットの転送クラスに一致します。

assured-forwarding、best-effort、expedited-forwarding、 またはnetwork-control を指定します。

転送クラスとルーター内出力キューについては、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

パケットの転送クラスに一致しません。詳細については、 forwarding-class一致条件を参照してください。

ホップ制限を、指定されたホップ制限またはホップ制限のセットに一致させます。hop-limitの場合、0～255 の単一の値または値の範囲を指定します。

MXシリーズルーターのMICまたはMPCでホストされているインターフェイスでのみサポートされます。

指定されたホップ制限またはホップ制限のセットにホップ制限を一致させません。詳細については、 hop-limit一致条件を参照してください。

MXシリーズルーターのMICまたはMPCでホストされているインターフェイスでのみサポートされます。

ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。

この一致条件を設定する場合、同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

• parameter-problem：ip6-header-bad( 0)、 unrecognized-next-header (1)、 unrecognized-option (2)

• time-exceeded：ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

• 宛先到達不能:administratively-prohibited( 1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

ICMPメッセージコードフィールドに一致しません。詳細については、 icmp-code一致条件を参照してください。

ICMPメッセージタイプフィールドに一致します。

この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。certificate-path-advertisement (149)、 certificate-path-solicitation (148)、 destination-unreachable (1)、 echo-reply (129)、 echo-request (128)、 home-agent-address-discovery-reply (145)、 home-agent-address-discovery-request (144)、 inverse-neighbor-discovery-advertisement (142)、 inverse-neighbor-discovery-solicitation (141)、 membership-query (130)、 membership-report (131)、 membership-termination (132)、 mobile-prefix-advertisement-reply (147)、 mobile-prefix-solicitation (146)、 neighbor-advertisement (1) 36)、 neighbor-solicit (135)、 node-information-reply (140)、 node-information-request (139)、 packet-too-big (2)、 parameter-problem (4)、 private-experimentation-100 (100)、 private-experimentation-101 (101)、 private-experimentation-200 (200)、 private-experimentation-201 (201)、 redirect (137)、 router-advertisement (134)、 router-renumbering (138)、 router-solicit (133)、または time-exceeded (3)。

private-experimentation-201 (201) の場合、角括弧内の値の範囲を指定することもできます。

ICMPメッセージタイプフィールドに一致しません。詳細については、 icmp-type一致条件を参照してください。

パケットを受信したインターフェイスに一致します。

指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスを一致させます。[ group-number] には、単一の値、または 0 から 255 の値の範囲を指定します。

インターフェイスグループ に論理インターフェイスを割り当てるにはgroup-number、 階[interfaces interface-name unit number family family filter group]層レベルgroup-numberで を指定します。

詳細については、インターフェイスグループのセットで受信したパケットのフィルタリングの概要を参照してください。

指定されたインターフェイスグループまたはインターフェイス グループのセットにパケットを受信した論理インターフェイスを一致させません。詳細については、 interface-group一致条件を参照してください。

指定されたインターフェイスセットにパケットを受信したインターフェイスを一致させます。

インターフェイスセットを定義するには、 階[edit firewall]層レベルに ステートinterface-setメントを含めます。

詳細については、インターフェイス セットで受信したパケットのフィルタリングの概要を参照してください。

指定された値または値のリストに、8ビットIPオプション フィールドを一致させます。

数値の代わりに、以下のテキスト同義語（オプション値も記載されています）のいずれかを指定することができます。loose-source-route (131)、record-route (7)、router-alert (148)、security (130)、stream-id (136)、strict-source-route (137)、またはtimestamp (68).

IPオプションの任意の値に一致させるには、テキスト同義語any を使用します。複数の値に一致するには、角括弧内の値（「[」と「]」）のリストを指定します。値の範囲に一致するには、値指定[ value1-value2 ] を指定します。

例えば、一致条件ip-options [ 0-147 ] は 、loose-source-route、record-route または security値、あるいは0～147のその他の値を含むIPオプションフィールドで一致します。ただし、この一致条件は、 router-alert値（148）のみを含むIPオプション フィールドでは一致しません。

ほんどのインターフェイスでは、1つ以上の特定の IPオプション値（ 以外の値any）で 一ip-option致を指定するフィルター条件によって、カーネルがパケットヘッダーのIPオプションフィールドを解析できるように、パケットはルーティングエンジンに送信されます。

• 1つ以上の特定のIPオプション値で 一ip-option致を指定するファイアウォールフィルター条件では、同じ条件で discard終了アクションも指定しない限り、count、log、またはsyslog非終了アクションを指定できません。この動作では、ルーター上のトランジットインターフェイスに適用されるフィルターのパケットの二重カウントを防ぐことができます。

• カーネルで処理されたパケットは、システムボトルネックのケースでは破棄される場合があります。一致したパケットがパケット転送エンジンに送信されるようにするには、 ip-options any一致条件を使用します。

MXシリーズルーターの10ギガビットイーサネットMPC（モジュラー型ポートコンセントレータ）、100ギガビットイーサネットMPC、60ギガビットイーサネットMPC、60ギガビットキューイングイーサネットMPC、60ギガビットイーサネット拡張キューイングMPCは、IPv4パケットヘッダーのIPオプションフィールドを解析できます。これらのMPC で設定されたインターフェイスでは、 ip-options一致条件を使用して一致するすべてのパケットが処理のためパケット転送エンジンに送信されます。

指定された値または値のリストにIPオプション フィールドに一致しません。values の指定に関する詳細については、 ip-options一致条件を参照してください。

PLP（パケット損失の優先度）レベルに一致します。

単一のレベルまたは複数のレベルを指定します。low、medium-low、medium-high、またはhigh。

M120およびM320ルーターでサポートされています。拡張CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。およびMXシリーズルーターとEXシリーズスイッチ。

拡張II FPC(フレキシブルPICコンセントレータ)を搭載したM320、MX  シリーズ、Tシリーズルーター、EXシリーズスイッチのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするには、[edit class-of-service]階層レベルにtri-colorステートメントを含める必要があります。tri-colorステートメントが有効になっていない場合、highおよび lowレベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。

tri-colorステートメントに関する情報については、トライカラーマーキングポリサーの設定と適用を参照してください。動作集約(BA)分類子を使用して着信パケットのPLPレベルを設定する方法については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

PLPレベルに一致しません。詳細については、 loss-priority一致条件を参照してください。

パケットの最初の 8 ビットの Next Header フィールドに一致します。next-headerファイアウォール一致条件のサポートは、Junos OSリリース13.3R6以降で利用可能です。

パケットの最初の 8 ビットの Next Header フィールドに一致します。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。ah( 51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 mobility (135)、 no-next-header (59)、 ospf (89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp  (17)、または vrrp (112)。

IPv6ヘッダーとペイロード間のヘッダーのタイプを識別する8ビットのNext Headerフィールドに一致しません。詳細については、 next-header一致タイプを参照してください。

受信したパケットの長さに一致します（バイト単位）。長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。

受信したパケットの長さに一致しません（バイト単位）。詳細については、 packet-length一致タイプを参照してください。

ペイロードプロトコルタイプに一致します。

protocol-type数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。次のいずれかまたはセットを指定します。ah( 51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58、 igmp (2)、 ipip (4)、 ipv6 (41)、 no-next-header、 ospf (89)、 pim (103)、 routing、 rsvp (46)、 sctp (132)、 tcp (6)、 udp (17)、または vrrp (112)(dstopts(60)、フラグメント(44)、ホップバイホップ0)、およびルーティングはJunos OSリリース16.1以降では使用できません)。

また、 payload-protocol 条件を使用して、ジュニパーネットワークスのファームウェアが解釈できない拡張ヘッダータイプと一致させることもできます。拡張ヘッダー値の範囲を角括弧で囲んで指定できます。ファームウェアがパケットで解釈できない最初の拡張ヘッダーの種類を検出すると、 payload-protocol 値はその拡張ヘッダーの種類に設定されます。ファイアウォールフィルターは、ファームウェアがパケットで解釈できない最初の拡張ヘッダータイプのみを調べます。

ペイロードプロトコルタイプに一致しません。詳細については、 payload-protocol一致タイプを参照してください。

UDPまたはTCP送信元または宛先ポート フィールドに一致します。

この一致条件を設定した場合、同じ条件で destination-port 一致条件またはsource-port 一致条件を設定できません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

数値の代わりに、destination-port の下に記載されているテキスト同義語の1つを指定します。

UDPまたはTCP送信元または宛先ポートフィールドに一致しません。詳細については、 port一致条件を参照してください。

exceptオプションが含まれていない限り、指定されたリスト のプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させます。オプションが含まれている場合、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させません。

プレフィックス リストは、 [edit policy-options prefix-list prefix-list-name]階層レベルで定義されます。

service-filter-hit アクションが適用されたフィルターから受信したパケットに一致します。

exceptオプションが含まれていない限り、パケットを送信する送信元ノードのIPv6 アドレスに一致します。オプションが含まれている場合、パケットを送信する送信元ノードのIPv6アドレスに一致しません。

同じ条件に addressおよびsource-address 一致条件を両方指定することはできません。

1 つ以上の指定された送信元クラス名（まとめてグループ化され、クラス名が付与された送信元プレフィックスのセット）に一致します。

詳細については、アドレス クラスに基づくファイアウォールフィルター一致条件を参照してください。

1 つ以上の指定された送信元クラス名に一致しません。詳細については、 source-class一致条件を参照してください。

UDPまたはTCP送信元ポート フィールドに一致します。

同じ項に portおよび source-port一致条件を指定することはできません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

数値の代わりに、 destination-port number一致条件で記載されているテキスト同義語の1つを指定します。

UDPまたはTCP送信元ポートフィールドに一致しません。詳細については、 source-port一致条件を参照してください。

exceptオプションが含まれていない限りパケット送信元フィールドのIPv6アドレスプレフィックスに一致します。オプションが含まれている場合、パケット送信元フィールドのIPv6アドレスプレフィックスに一致しません。

[edit policy-options prefix-list prefix-list-name]階層レベルで定義されたプレフィックスリスト名を指定します。

接続の最初のパケット以外の TCP パケットに一致します。これは、 tcp-flags "(ack | rst)" (0x14)のテキスト同義語です。

この一致条件を設定した場合、同じ条件で next-header tcp一致条件も設定することをお勧めします。

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

• fin (0x01)

• syn (0x02)

• rst (0x04)

• push (0x08)

• ack (0x10)

• urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

組み合わせたビットフィールド一致条件については、 tcp-establishedおよび tcp-initial一致条件を参照してください。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header tcp 一致条件を設定することもお勧めします。

TCP接続の最初のパケットに一致します。これは tcp-flags "(!ack & syn)"のテキスト同義語です。

この条件は、プロトコルが TCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で next-header tcp一致条件も設定することをお勧めします。

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールドに一致します。

このフィールドは、以前は IPv4 の type-of-service(ToS)フィールドとして使用されていました。

0から 63までの数値を指定できます。値を16進形式で指定するには、0x をプレフィックスに含めます。値を2進法で指定するには、 bをプレフィックスとして含めます。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

• RFC 3246, An Expeded Forwarding PHB（Per-Hop Behavior）は、1つのコード ポイントを定義します。ef (46)。

• RFC 2597, Assure Forwarding PHB Group は、合計12個の3つのコードポイントに対し、4つのクラスを定義します（各クラスには3つのドロップ優先順位があります）。

  • af11 (10), af12 (12), af13 (14)

  • af21 (18), af22 (20), af23 (22)

  • af31 (26), af32 (28), af33 (30)

  • af41 (34), af42 (36), af43 (38)

パケットのCoSプライオリティを指定する8ビットフィールドに一致しません。詳細については、 traffic-class 一致の説明を参照してください。