ファイアウォール フィルターの一致条件とアクション(QFX10000 スイッチ)

destination-address ip-address

IP 宛先アドレス フィールドは、最終宛先ノードのアドレスです。

イングレスIPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

エグレスIPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリック用イングレス IRB インターフェイス(該当する場合)

destination-mac-address mac-address

パケットの MAC(宛先メディア アクセス制御)アドレス。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

destination-port value

TCP または UDP 宛先ポート フィールド。通常、この一致を match ステートメントと protocol 組み合わせて指定します。以下の既知のポートでは、テキストシノニムを指定できます(ポート番号も表示されます)。

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

EVPN/VXLANファブリック用イングレスIRBインターフェイス(該当する場合)

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールド。頻繁に使用するプレフィックス リスト エイリアスの下で IP アドレス プレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

dscp value

DSCP(差別化サービス コード ポイント) DiffServ プロトコルは、IP ヘッダーでサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCP は、16 進形式、バイナリ形式、または 10 進形式で指定できます。

数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。

• be—ベスト エフォート(デフォルト)

• ef (46)RFC 3246、 An Expedited Forwarding PHB で定義されています。

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  これらの 4 つのクラスは、各クラスで 3 つのドロップ優先度を持ち、合計 12 のコード ポイントで、RFC 2597、Assured Forwarding PHB で定義されています。

• cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス。

ether-type value

パケットのイーサネット タイプ フィールド。EtherType 値は、イーサネット フレームで転送されるプロトコルを指定します。数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。

• aarp (0x80F3)—EtherType 値 AARP

• appletalk (0x809B)— イーサタイプの価値 AppleTalk

• arp (0x0806)—EtherType 値 ARP

• fcoe (0x8906)—EtherType 値 FCoE

• fip (0x8914)—EtherType 値 FIP

• ipv4 (0x0800)—EtherType 値 IPv4

• ipv6 (0x08DD)—EtherType 値 IPv6

• mpls-multicast (0x8848)—EtherType 値 MPLS マルチキャスト

• mpls-unicast (0x8847)—EtherType 値 MPLS ユニキャスト

• oam (0x88A8)—EtherType 値 OAM

• ppp (0x880B)—イーサタイプ値PPP

• pppoe-discovery (0x8863)—EtherType Value PPPoE Discovery Stage

• pppoe-session (0x8864)—EtherType 値 PPPoE セッション ステージ

• sna (0x80D5)—EtherType 値 SNA

イングレス ポートと VLAN。

エグレス ポートと VLAN。

forwarding-class class

パケットを次のデフォルト転送クラスまたはユーザー定義転送クラスのいずれかに分類します。

• best-effort

• fcoe

• network-control

• no-loss

エグレス IPv4(inet)および IPv6(inet6)インターフェイス。

fragment-flags value

IP フラグメント化フラグ。数値の代わりに、次のいずれかのテキストシノニムを指定できます(16 進値も表示されます)。

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

hop-limit value

指定されたホップ制限またはホップ制限のセットを照合します。単一の値または 0 から 255 までの値の範囲を指定します。

イングレスおよびエグレス IPv6(inet6)インターフェイス。

icmp-code value

ICMP コード フィールド。値の意味は、関連icmp-typeする値に依存するため、値とともにicmp-typeicmp-codeを指定する必要があります。数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。キーワードは、関連付けられている ICMP タイプによってグループ化されます。

• IPv4:パラメータの問題—ip-header-bad (0)required-option-missing (1)

• IPv6: パラメーターの問題—ip6-header-bad (0) , , unrecognized-next-header (1)unrecognized-option (2)

• redirect—redirect-for-network (0) 、 、 redirect-for-tos-and-net (2)redirect-for-host (1)redirect-for-tos-and-host (3)

• time-exceeded——ttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: 到達不能 —network-unreachable (0) 、 、 host-unreachable (1)、 protocol-unreachable (2)、 、 port-unreachable (3)、 fragmentation-needed (4)、 source-route-failed (5)、 destination-network-unknown (6)、 destination-host-unknown (7)、 、 source-host-isolated (8)、 、 、 host-precedence-violation (14)host-unreachable-for-TOS (12)destination-host-prohibited (10)network-unreachable-for-TOS (11)communication-prohibited-by-filtering (13)destination-network-prohibited (9)precedence-cutoff-in-effect (15)

• IPv6: 到達不能—address-unreachable (3) 、 、 administratively-prohibited (1)、 no-route-to-destination (0)port-unreachable (4)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス

icmp-type value

ICMP メッセージ タイプ フィールド。通常、この一致を match ステートメントと protocol 組み合わせて指定して、ポートで使用されているプロトコルを決定します。数値の代わりに、次のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。

IPv4: echo-reply (0)、 、 destination unreachable (3)、 、 source-quench (4)、 redirect (5)、 echo-request (8)、 IPv4 (inet)-advertisement (9)、 IPv4 (inet)-solicit (10)、 、 timestamp-reply (14)mask-request (17)parameter-problem (12)timestamp (13)info-request (15)info-reply (16)time-exceeded (11)mask-reply (18)

IPv6: destination-unreachable (1) , packet-too-big (2), time-exceeded (3), , parameter-problem (4), , echo-request (128), , membership-termination (132)membership-report (131)router-renumbering (138)membership-query (130)router-advertisement (134)node-information-request (139)router-solicit (133)neighbor-solicit (135)neighbor-advertisement (136)redirect (137)echo-reply (129)node-information-reply (140)

詳細は、 を icmp-code variable参照してください。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

interface interface-name

論理ユニットを含め、パケットを受信するインターフェイス。インターフェイス名または論理ユニットの一部としてワイルドカード文字(*)を含めることができます。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

ip-destination-address address

パケットの最終宛先ノード アドレスである IPv4 アドレス。

イングレス ポート、エグレス ポート、VLAN。

EVPN/VXLAN ファブリック用イングレス IRB インターフェイス(該当する場合)

ip-options

IP ヘッダーのオプション フィールドに何かが指定されている場合に一致を作成するように指定 any します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

ip-precedence ip-precedence-field

IP precedence フィールド。数値フィールド値の代わりに、以下のいずれかのテキストシノニムを指定できます(フィールド値も表示されます)。critical-ecp (0xa0) flash 、(0x60) flash-override 、(0x80) immediate 、(0x40) internet-control 、(0xc0) net-control 、(0xe0) priority 、(0x20)、または routine (0x00)。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

ip-protocol number

IP プロトコル フィールド。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

EVPN/VXLAN ファブリック用イングレス IRB インターフェイス(該当する場合)

ip-source-address アドレス

パケットを送信する送信元ノードの IPv4 アドレス。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

EVPN/VXLAN ファブリック用イングレス IRB インターフェイス(該当する場合)

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー 2 ポートまたは VLAN インターフェイスに到着するトラフィックの IPv4 または IPv6 ヘッダー フィールドを照合します。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

is-fragment

この条件を使用すると、IP ヘッダーで [その他のフラグメント] フラグが有効になっている場合、またはフラグメント オフセットが 0 でない場合に一致が発生します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

learn-1p-priority number

指定された範囲の IEEE 802.1p VLAN 優先度ビットを 0-7照合します。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

learn-vlan-id number

通常の VLAN の ID または外部(サービス)VLAN の ID を照合します(Q-in-Q VLAN の場合)。フィルター メモリを最も効率的に使用し、可能なフィルターの数を最大化するには、内部(顧客)VLAN ID で一致させる場合に user-id 加えて、この条件を使用します。許容値は 1~4095 です。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

EVPN/VXLAN ファブリック用イングレス IRB インターフェイス(該当する場合)

loss-priority (low | medium-low | medium-high | high)

パケット 損失優先度(PLP)を設定します。

エグレス IPv4(inet)および IPv6(inet6)インターフェイス。

next-header value

IPv4 または IPv6 プロトコル値。数値の代わりに、次のいずれかのテキスト シノニムを指定できます(数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

イングレス IPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス。

packet-length number

パケット長(バイト) 0~65535 の数値を入力する必要があります。

イングレス ポート、VLAN、IPv4(inet)、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

precedence value

IP ヘッダーのサービス タイプ(ToS)バイトの IP 優先度ビット。(このバイトは DiffServ DSCP にも使用できます)。数値の代わりに、次のいずれかのテキスト シノニムを指定できます(数値も表示されます)。

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

イングレス IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

protocol type

IPv4 または IPv6 プロトコル値。数値の代わりに、次のいずれかのテキスト シノニムを指定できます(数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

イングレス IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

source-address ip-address

IP 送信元アドレス フィールドは、パケットを送信したノードのアドレスです。

イングレスIPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリック用イングレス IRB インターフェイス(該当する場合)

source-mac-address mac-address

パケットの MAC(送信元メディア アクセス制御)アドレス。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

source-port value

TCP または UDP 送信元ポート。通常、この一致を match ステートメントと protocol 組み合わせて指定します。数値フィールドの代わりに、 の下にリストされている destination-portテキストシノニムのいずれかを指定できます。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリック用イングレス IRB インターフェイス(該当する場合)

source-prefix-list prefix-list

IP 送信元プレフィックス リスト。頻繁に使用するプレフィックス リスト エイリアスの下で IP アドレス プレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

tcp-established

確立された TCP 接続のパケットを照合します。この条件は、TCP 接続のセットアップに使用されるパケット以外のパケットと一致します。つまり、3 方向ハンドシェイク パケットは一致しません。

指定 tcp-establishedした場合、スイッチはプロトコルが TCP であることを暗黙的に検証しません。照合条件も指定する protocol tcp 必要があります。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

tcp-flags value

1 つ以上の TCP フラグ:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

tcp-initial

接続の最初の TCP パケットを照合します。TCP フラグが設定されていて、TCP フラグ SYN が設定されていない場合に ACK 、一致が発生します。

指定 tcp-initialした場合、スイッチはプロトコルが TCP であることを暗黙的に検証しません。照合条件も指定する protocol tcp 必要があります。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

traffic-class value

パケットのサービス クラス(CoS)優先度を指定する 8 ビット フィールド。トラフィッククラス フィールドを使用して、DiffServ コード ポイント(DSCP)値を指定します。このフィールドは、以前は IPv4 のサービス タイプ(ToS)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。

次のいずれかのテキスト シノニムを指定できます(フィールド値も表示されます)。

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

イングレス IPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス。

ttl value

10 進数の TTL(IP Time-to-Live)フィールド。値は 1~255 です。

イングレス IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

EVPN/VXLAN ファブリック用イングレス IRB インターフェイス(該当する場合)

user-vlan-id number

Q-in-Q VLAN の内部(顧客)VLAN の ID を照合します。フィルター メモリを最も効率的に使用し、可能なフィルターの数を最大化するには、外部(サービス)VLAN ID を一致させるために組 learn-vlan-id み合わせて使用します。許容値は 1~4095 です。

イングレス ポートと VLAN。

エグレス ポートと VLAN。

accept

パケットを受け入れます。これは、条件に一致するパケットのデフォルトアクションです。

discard

インターネット制御メッセージ プロトコル(ICMP)メッセージを送信せずに、通知なくパケットを破棄します。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4 メッセージを送信します(タイプ 3)。拒否されたパケットをログに記録するには、アクション修飾子を設定します syslog 。

以下のいずれかのメッセージ・タイプを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, または tcp-reset.

を指定 tcp-resetすると、パケットが TCP パケットである場合、システムは TCP リセットを送信します。それ以外の場合は何も送信しません。

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」はデフォルト メッセージ「管理上フィルタリングされた通信」と共に送信されます。

routing-instance instance-name

一致したパケットを仮想ルーティング インスタンスに転送します。(サポートされているインスタンスタイプは. virtual-routerパケットはデフォルト インスタンスに転送できます。

vlan VLAN-name

照合されたパケットを特定の VLAN に転送します。

count counter-name

条件に一致するパケット数をカウントします。

forwarding-class class

パケットを次のデフォルト転送クラスまたはユーザー定義転送クラスのいずれかに分類します。

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

ルーティング エンジンでパケットのヘッダー情報をログに記録します。この情報を表示するには、動作モード コマンドを show firewall log 入力します。

loss-priority (low | medium-low | medium-high | high)

パケット 損失優先度(PLP)を設定します。

policer policer-name

パケットをポリサーに送信します(レート制限を適用する目的で)。

イングレス/エグレス ポート、VLAN、IPv4(inet)、IPv6(inet6)ファイアウォール フィルターにポリサーを指定できます。

port-mirror

(ELS プラットフォーム)階層レベルで [edit forwarding-options port-mirroring] ポート ミラーリング インスタンスで設定された出力インターフェイスにトラフィックをミラーリング(コピー パケット)します。

受信/送信ポート、VLAN、IPv4(inet)、IPv6(inet6)ファイアウォール フィルターにポート ミラーリングを指定できます。

port-mirror-instance port-mirror-instance-name

(ELS プラットフォーム)階層レベルで設定されたポート ミラーリング インスタンスにトラフィックを [edit forwarding-options port-mirroring] ミラーリングします。

受信/送信ポート、VLAN、IPv4(inet)、IPv6(inet6)ファイアウォール フィルターにポート ミラーリングを指定できます。

syslog

このパケットのアラートをログに記録します。

three-color-policer three-color-policer-name

パケットを 3 カラー ポリサーに送信します(レート制限を適用する目的で)。

イングレス/エグレス ポート、VLAN、IPv4(inet)、IPv6(inet6)フィルターに 3 色のポリサーを指定できます。