address address [ except ]
|
オプションが含まれていない限り、IPv6 送信元または宛先アドレス フィールドに except 一致します。オプションが含まれている場合、IPv6 送信元または宛先アドレス フィールドに一致しません。
|
apply-groups
|
設定データを継承するグループを指定します。複数のグループ名を指定できます。継承優先度順に一覧表示する必要があります。最初のグループの設定データは、後続のグループのデータよりも優先されます。
|
apply-groups-except
|
設定データを継承しないグループを指定します。複数のグループ名を指定できます。
|
destination-address address [ except ]
|
オプションが含まれていない限り、IPv6 宛先アドレス フィールドに except 一致します。オプションが含まれている場合、IPv6 宛先アドレス フィールドに一致しません。
同じ条件に address および destination-address 一致条件の両方を指定することはできません。
|
destination-class class-names
|
1 つ以上の指定された宛先クラス名(まとめてグループ化され、クラス名が付与された宛先プレフィックスのセット)に一致します。
詳細については、 アドレスクラスに基づくファイアウォールフィルター一致条件を参照してください。
|
destination-class-except class-names
|
1 つ以上の指定された宛先クラス名に一致しません。詳細については、 一致条件を destination-class 参照してください。
|
destination-port number
|
UDP または TCP 宛先ポート フィールドに一致します。
同じ条件に port および destination-port 一致条件の両方を指定することはできません。
この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。
注: Junos OS Evolvedでは、同じ条件で match ステートメントを設定 next-header する必要があります。
数値の代わりに、以下のテキスト シノニム(ポート番号も記載されています)のいずれかを指定します。afs (1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67) cmd 、(514) cvspserver 、(2401) dhcp 、(67)、 domain (53)、 eklogin (21 05、 ekshell (2106)、 exec (512)、 finger (79) ftp 、(21)、 ftp-data (20)、 http (80) https 、(443) ident 、(113)、 imap (143) kerberos-sec (88)、(543) kpasswd klogin 、(761)、 krb-prop (754)、 krbupdate (760) kshell 、(544) ldap 、(389) ldp 、(646) login 、(513) mobileip-agent 、(434) mobilip-mn 、(435) msdp 、(639) netbios-dgm 、(138) netbios-ns 、(137)、(139) netbios-ssn 、(2049) nfsd nntp 、(119)、(58) ntalk ntp (123)、 pop3 (110)、 pptp (1723)、 printer (515) radacct 、(1813) radius 、(1812) rip 、(520) rkinit 、(2108) smtp 、(25)、(161) snmp 、(162) snmptrap snpp 、(44 4)、 socks (1080) ssh 、(22)、 sunrpc (111) syslog 、(514) tacacs 、(49)、 tacacs-ds (65) talk 、(517) telnet 、(23)、(69) tftp 、 timed (525)、(513) who 、またはxdmcp (177)。
|
destination-port-except number
|
UDP または TCP 宛先ポート フィールドに一致しません。詳細については、 一致条件を destination-port 参照してください。
|
destination-prefix-list prefix-list-name [ except ]
|
オプションが含まれていない限り、IPv6 宛先プレフィックスを指定されたリストにexcept 一致させます。オプションが含まれている場合、IPv6 宛先プレフィックスを指定されたリストに一致しません。
プレフィックスリストは、 ] 階層レベルで [edit policy-options prefix-list prefix-list-name 定義されます。
|
extension-headers header-type
|
次のヘッダー値を識別することにより、パケットに含まれる拡張ヘッダータイプに一致します。
注: この一致条件は、MXシリーズルーターのMPCでのみサポートされています。
パケットの最初のフラグメントでは、フィルターは、任意の拡張機能ヘッダー タイプで一致するものを検索します。フラグメント ヘッダーを持つパケット(後続のフラグメント)が見つかった場合、フィルターは、他の拡張機能ヘッダーの場所が予測できないため、次の拡張ヘッダー タイプの一致のみを検索します。
数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah (51)、 destination (60)、 esp (50)、 fragment (44)、 hop-by-hop (0)、 mobility (135)、または routing (43)。
拡張ヘッダー オプションの 任意 の値に一致するには、テキスト 同義語 any を使用します。
MPCを搭載したMXシリーズルーターでは、対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。
|
first-fragment
|
パケットが最初のフラグメントの場合に一致します。
|
|
extension-headers-except header-type
|
パケットに含まれる拡張ヘッダー タイプに一致しません。詳細については、 一致条件を extension-headers 参照してください。
注: この一致条件は、MXシリーズルーターのMPCでのみサポートされています。
|
flexible-match-mask value
|
bit-length
|
整数入力の長さ(1..32ビット)、
(オプション)文字列入力の長さ(1..128 ビット)
|
bit-offset
|
(match-start + バイト)オフセット(0..7)の後のビット オフセット
|
byte-offset
|
一致開始ポイント後のバイト オフセット
|
flexible-mask-name
|
定義済みテンプレート フィールドから柔軟に一致するものを選択します。
|
mask-in-hex
|
一致させるパケット データ内のビットをマスクアウトする
|
match-start
|
パケットで一致させる開始ポイント
|
prefix
|
一致させる値データ/文字列
|
詳細については、 ファイアウォールフィルターフレキシブル一致条件 を参照してください。
|
flexible-match-range value
範囲は、次の形式を使用する必要があります。Integer-Integer
|
bit-length
|
一致させるデータの長さ(ビット単位)(0..32)
|
bit-offset
|
(match-start + バイト)オフセット(0..7)の後のビット オフセット
|
byte-offset
|
一致開始ポイント後のバイト オフセット
|
flexible-range-name
|
定義済みテンプレート フィールドから柔軟に一致するものを選択します。
|
match-start
|
パケットで一致させる開始ポイント
|
range
|
一致させる値の範囲
|
range-except
|
この値の範囲に一致しません
|
詳細については、 ファイアウォールフィルターフレキシブル一致条件 を参照してください。
|
forwarding-class class
|
パケットの転送クラスに一致します。
、 、 best-effort expedited-forwarding 、 または を指定assured-forwarding しますnetwork-control 。
転送クラスとルーター内部出力キューについては、 転送クラスが出力キューに クラスを割り当てる方法についてを参照してください。
|
forwarding-class-except class
|
パケットの転送クラスに一致しません。詳細については、 一致条件を forwarding-class 参照してください。
|
hop-limit hop-limit
|
指定されたホップ制限またはホップ制限のセットにホップ制限を一致させます。の場合 hop-limit 、単一の値または 0~255 の値の範囲を指定します。
MXシリーズルーターのMICまたはMPCでのみホストされているインターフェイスでサポートされています。
|
hop-limit-except hop-limit
|
指定されたホップ制限またはホップ制限のセットにホップ制限を一致しません。詳細については、 一致条件を hop-limit 参照してください。
MXシリーズルーターのMICまたはMPCでのみホストされているインターフェイスでサポートされています。
|
icmp-code message-code
|
ICMP メッセージ コード フィールドに一致します。
この一致条件を設定した場合、同じ条件で または next-header icmp6 一致条件も設定next-header icmp することをお勧めします。
この一致条件を設定した場合、同じ条件で 一致条件も設定 icmp-type message-type する必要があります。ICMP メッセージ コードは ICMP メッセージ タイプよりも具体的な情報を提供しますが、ICMP メッセージ コードの意味は関連する ICMP メッセージ タイプに依存します。
数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連付けられている ICMP タイプによってグループ化されます。
parameter-problem:ip6-header-bad (0)、 unrecognized-next-header (1)、 unrecognized-option (2)
time-exceeded:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit (0)
宛先-到達不能:administratively-prohibited (1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)
|
icmp-code-except message-code
|
ICMP メッセージ コード フィールドに一致しません。詳細については、 一致条件を icmp-code 参照してください。
|
icmp-type message-type
|
ICMP メッセージ タイプ フィールドに一致します。
この一致条件を設定した場合、同じ条件で または next-header icmp6 一致条件も設定next-header icmp することをお勧めします。
注: Junos OS Evolvedでは、同じ条件で match ステートメントを設定 next-header する必要があります。
数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。certificate-path-advertisement (149)、(148) certificate-path-solicitation 、 destination-unreachable (1)、 echo-reply (129) echo-request 、(128) home-agent-address-discovery-reply 、(145) home-agent-address-discovery-request 、(144) inverse-neighbor-discovery-advertisement 、(142) inverse-neighbor-discovery-solicitation 、(141) membership-query 、(130) membership-report 、(131)、(132) membership-termination 、(147) mobile-prefix-advertisement-reply 、(146) mobile-prefix-solicitation 、(146) neighbor-advertisement 136、(135) neighbor-solicit 、(140) node-information-reply 、 node-information-request (139) packet-too-big 、(2)、 parameter-problem (4)、 private-experimentation-100 (100) private-experimentation-101 、(101) private-experimentation-200 、(200) private-experimentation-201 、(201) redirect 、(137)、(134) router-advertisement 、(138) router-renumbering 、(133)、 router-solicit または time-exceeded (3)。
private-experimentation-201 (201)では、角括弧内の値の範囲を指定することもできます。
|
icmp-type-except message-type
|
ICMP メッセージ タイプ フィールドに一致しません。詳細については、 一致条件を icmp-type 参照してください。
|
interface interface-name
|
パケットを受信したインターフェイスに一致します。
注: 存在しないインターフェイスでこの一致条件を設定した場合、条件はどのパケットにも一致しません。
|
interface-group group-number
|
指定されたインターフェイス グループまたはインターフェイス グループのセットに、パケットを受信した論理インターフェイスに一致します。に対して group-number 、単一の値または から までの 0 値の範囲を 255 指定します。
インターフェイスグループgroup-number に論理インターフェイスを割り当てるには、 階層レベルで をgroup-number [interfaces interface-name unit number family family filter group] 指定します。
詳細については、 一連のインターフェイス グループで受信したパケットのフィルタリングの概要を参照してください。
|
interface-group-except group-number
|
指定されたインターフェイス グループまたはインターフェイス グループのセットに、パケットを受信した論理インターフェイスに一致しません。詳細については、 一致条件を interface-group 参照してください。
|
interface-set interface-set-name
|
指定されたインターフェイス セットにパケットを受信したインターフェイスに一致します。
インターフェイス セットを定義するには、 階層レベルで interface-set ステートメントを [edit firewall] 含めます。
詳細については、 インターフェイス セットで受信したパケットのフィルタリングの概要を参照してください。
|
ip-options values
|
8 ビット IP オプション フィールドが存在する場合は、指定された値または値のリストに一致します。
数値の代わりに、以下のテキスト シノニム(オプション値も記載されています)のいずれかを指定します。loose-source-route (131)、 record-route (7)、 router-alert (148)、 security (130)、 stream-id (136)、strict-source-route (137)、または timestamp (68)。
IP オプション の任意 の値に一致するには、テキスト 同義語 any を使用します。複数の値に一致するには、角括弧内の値のリストを指定します('[ ' と '] ')。値の 範囲 に一致するには、値指定を使用します [ value1-value2 ] 。
例えば、一致条件ip-options [ 0-147 ] は、 、 、record-route または security の値、または 0~147 のその他の値を含む loose-source-route IP オプション フィールドで一致します。ただし、この一致条件は、値(148)のみを router-alert 含む IP オプション フィールドでは一致しません。
ほとんどのインターフェイスでは、1 つ以上の特定の IP オプション値(以外any の値)で一致を指定ip-option するフィルター条件により、カーネルがパケット ヘッダーの IP オプション フィールドを解析できるように、パケットがルーティング エンジンに送信されます。
1 つ以上の特定の IP オプション値で一致をip-option 指定するファイアウォール フィルター条件では、同じ条件で終了アクションも指定しない限り、 、 log 、または syslog 非終了アクションを指定count discard できません。この動作により、ルーター上のトランジット インターフェイスに適用されるフィルターのパケットの二重カウントが防止されます。
カーネルで処理されたパケットは、システムボトルネックが発生した場合に破棄されることがあります。一致したパケットがパケット転送エンジンに送信されるようにするには、 一致条件を ip-options any 使用します。
MX シリーズ ルーターの 10 ギガビット イーサネット モジュラー ポート コンセントレータ(MPC)、100 ギガビット イーサネット MPC、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、60 ギガビット イーサネット拡張キューイング MPC は、IPv4 パケット ヘッダーの IP オプション フィールドを解析できます。これらのMPCに設定されたインターフェイスでは、 一致条件を使用してip-options 一致したすべてのパケットが処理のためにパケット転送エンジンに送信されます。
|
ip-options-except values
|
指定された値または値のリストに IP オプション フィールドに一致しません。の指定 values の詳細については、 一致条件を ip-options 参照してください。
|
is-fragment
|
パケットがフラグメントの場合に一致します。
|
|
last-fragment
|
パケットが最後のフラグメントである場合に一致します。
|
|
loss-priority level
|
PLP(パケット損失の優先度)レベルに一致します。
1 つのレベルまたは複数のレベルを指定します。low 、 、 medium-low medium-high 、または high .
M120およびM320ルーターでサポートされています。Enhanced CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。MXシリーズルーターとEXシリーズスイッチです
拡張 II FPC(フレキシブル PIC コンセントレータ)を搭載した M320、MX シリーズ、T シリーズ ルーター、EX シリーズ スイッチの IP トラフィックの場合、指定された 4 つのレベルのいずれかを持つ PLP 設定をコミットするには、 階層レベルに [edit class-of-service] ステートメントを含めるtri-color 必要があります。ステートメントがtri-color 有効でない場合、 および low レベルのみを設定high できます。これは、すべてのプロトコルファミリーに適用されます。
ステートメントの詳細 tri-color については、 トライカラーマーキングポリサーの設定と適用を参照してください。受信パケットの PLP レベルを設定する BA(動作集約)分類子の使用については、 転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。
|
loss-priority-except level
|
PLP レベルに一致しません。詳細については、 一致条件を loss-priority 参照してください。
|
next-header header-type
|
パケットの最初の 8 ビットネクスト ヘッダー フィールドに一致します。ファイアウォールの一致条件の next-header サポートは、Junos OS リリース 13.3R6 以降で利用できます。
注:
MXプラットフォームは、 next-header パケットの最初のネクストヘッダー(NH)と一致し、最後の payload-protocol NHと一致する一致があります。EVO-PTX プラットフォームは前回の NH で一致を next-header サポートしましたが、最初の NH プラットフォームではサポートされていませんでした。最も一般的な使用事例は、前回の NH と一致しており、これは PTX プラットフォームにネイティブなものでした。next-header これは最初のNHと一致し、最後のNHとpayload-protocol 一致し、MXプラットフォームと同じように動作します。WANインターフェイスのファイアウォールでIPv6フィルター next-header 句を使用している場合は、新しい動作に合わせてファイアウォールを確認および変更する必要があります。この変更は、Junos OS Evolvedバージョンに導入されました。
パケットの最初の 8 ビットネクスト ヘッダー フィールドに一致します。
数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。ah (51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58) icmpv6 、(58)、 igmp (2)、(4) ipip 、(4) ipv6 1)、 mobility (135)、 no-next-header (59) ospf 、(89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、(17) udp 、または vrrp (112)。
注:
-
next-header icmp6 一 next-header icmpv6 致条件が同じ機能 next-header icmp6 を実行します。は推奨オプションです。 next-header icmpv6 はJunos OS CLIで非表示になっています。
-
Junos OS Evolved実行されているQFX5000シリーズデバイスでは、 next-header ERACLv6では一致はサポートされず、代わりに 一致を payload-protocol 設定する必要があります。
|
next-header-except header-type
|
IPv6 ヘッダーとペイロード間のヘッダーのタイプを識別する 8 ビットネクスト ヘッダー フィールドに一致しません。詳細については、 一致タイプを next-header 参照してください。
|
packet-length bytes
|
受信したパケットの長さに一致します(バイト単位)。長さはパケットヘッダーを含むIPパケットのみを指し、レイヤー2のカプセル化オーバーヘッドは含まれません。
|
packet-length-except bytes
|
受信したパケットの長さに一致しません(バイト単位)。詳細については、 一致タイプを packet-length 参照してください。
|
payload-protocol protocol-type
|
ペイロード プロトコル タイプに一致します。
数値の protocol-type 代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。以下のいずれかを指定します。ah (51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、(58、 icmp6 igmp (2)、 ipip (4)、 ipv6 (41) no-next-header 、 ospf (89) pim 、(103) routing 、 rsvp (46) sctp 、(132) tcp 、(17) udp 、または vrrp (112)(dstopts(60)、フラグメント(44)、ホップバイホップ 0)、およびルーティングは、Junos OS リリース 16.1 以降では利用できません。
また、 条件を payload-protocol 使用して、Juniper Networks のファームウェアが解釈できない拡張ヘッダー タイプを一致させることができます。拡張ヘッダー値の範囲を角括弧内で指定できます。ファームウェアは、パケットで解釈できない最初の拡張機能ヘッダーの種類を見つけると、 payload-protocol 値がその拡張機能ヘッダーの種類に設定されます。ファイアウォール フィルターは、ファームウェアがパケットで解釈できない最初の拡張ヘッダー タイプのみを検査します。
注:
この一致条件は、MXシリーズルーターのMPCでのみサポートされています。対応するSNMP MIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。
注: payload-protocol はイングレスフィルターでのみ機能しますが、エグレスフィルターでは機能しません。エグレスフィルターの場合、 next-header を使用する必要があります。
|
payload-protocol-except protocol-type
|
ペイロード プロトコル タイプに一致しません。詳細については、 一致タイプを payload-protocol 参照してください。
注: この一致条件は、MXシリーズルーターのMPCでのみサポートされています
|
port number
|
UDP または TCP 送信元または宛先ポート フィールドに一致します。
この一致条件を設定した場合、同じ条件で destination-port 一致条件または source-port 一致条件を設定することはできません。
この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。
注: Junos OS Evolvedでは、同じ条件で match ステートメントを設定 next-header する必要があります。
数値の代わりに、 の下 destination-port に記載されているテキスト同義語の1つを指定します。
|
port-except number
|
UDP または TCP 送信元または宛先ポート フィールドに一致しません。詳細については、 一致条件を port 参照してください。
|
prefix-list prefix-list-name [ except ]
|
オプションが含まれていない限り、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスをexcept 一致させます。オプションが含まれている場合、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致しません。
プレフィックスリストは、 階層レベルで [edit policy-options prefix-list prefix-list-name] 定義されます。
|
service-filter-hit
|
アクションが適用されたフィルターから受信したパケットに service-filter-hit 一致します。
|
source-address address [ except ]
|
オプションが含まれていない限り、パケットを送信する送信元ノードの IPv6 アドレスに except 一致します。オプションが含まれている場合、パケットを送信する送信元ノードの IPv6 アドレスに一致しません。
同じ条件に address および source-address 一致条件の両方を指定することはできません。
|
source-class class-names
|
1 つ以上の指定されたソース クラス名(まとめてグループ化され、クラス名が付与された送信元プレフィックスのセット)に一致します。
詳細については、 アドレスクラスに基づくファイアウォールフィルター一致条件を参照してください。
|
source-class-except class-names
|
1 つ以上の指定されたソース クラス名に一致しません。詳細については、 一致条件を source-class 参照してください。
|
source-port number
|
UDP または TCP 送信元ポート フィールドに一致します。
同じ条件に port および source-port 一致条件を指定することはできません。
この一致条件を設定した場合、ポートで使用されているプロトコルを next-header udp 指定するために、同じ条件で または next-header tcp 一致条件も設定することをお勧めします。
注: Junos OS Evolvedでは、同じ条件で または next-header tcp 一致ステートメントを設定next-header する必要があります。
数値の代わりに、 一致条件で記載されているテキスト同義語の1つを destination-port number 指定できます。
|
source-port-except number
|
UDP または TCP 送信元ポート フィールドに一致しません。詳細については、 一致条件を source-port 参照してください。
|
source-prefix-list name [ except ]
|
オプションが含まれていない限り、パケット送信元フィールドの IPv6 アドレス プレフィックスにexcept 一致します。オプションが含まれている場合、パケット送信元フィールドの IPv6 アドレス プレフィックスに一致しません。
階層レベルで定義されたプレフィックスリスト名を [edit policy-options prefix-list prefix-list-name] 指定します。
|
tcp-established
|
接続の最初のパケット以外の TCP パケットを照合します。これは(0x14 )のテキスト同義語ですtcp-flags "(ack | rst)" 。
注: この条件は、プロトコルがTCPであることを暗示的に確認しません。これを確認するには、 一致条件を protocol tcp 指定します。
この一致条件を設定した場合、同じ条件で 一致条件も設定 next-header tcp することをお勧めします。
|
tcp-flags flags
|
TCP ヘッダーの 8 ビット TCP フラグ フィールドの下位 6 ビットの 1 つ以上に一致します。
個々のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。
fin (0x01)
syn (0x02)
rst (0x04)
push (0x08)
ack (0x10)
urgent (0x20)
TCP セッションでは、SYN フラグは送信された最初のパケットでのみ設定され、ACK フラグは最初のパケットの後に送信されたすべてのパケットで設定されます。
ビットフィールド論理演算子を使用して、複数のフラグを文字列化できます。
組み合わせたビットフィールド一致条件については、 および tcp-initial 一致条件をtcp-established 参照してください。
この一致条件を設定した場合、ポートでTCPプロトコルが使用されていることを指定するために、同じ条件で 一致条件を設定 next-header tcp することもお勧めします。
|
tcp-initial
|
TCP 接続の最初のパケットに一致します。これは、 のテキスト同義語です tcp-flags "(!ack & syn)" 。
この条件は、プロトコルがTCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件で 一致条件も設定 next-header tcp することをお勧めします。
|
traffic-class number
|
パケットのサービス クラス(CoS)優先度を指定する 8 ビット フィールドに一致します。
このフィールドは、以前は IPv4 のサービスタイプ(ToS)フィールドとして使用されていました。
から 0 63 までの数値を指定できます。16進法で値を指定するには、プレフィックスとしてを含 0x めます。値を 2 進形式で指定するには、プレフィックスとして を含 b めます。
数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。
|
traffic-class-except number
|
パケットの CoS 優先度を指定する 8 ビット フィールドに一致しません。詳細については、 一致の説明を traffic-class 参照してください。
|