ファイアウォールフィルターの一致条件とアクション(QFX10000スイッチ)

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレスフィールド。

イングレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス、および IPv6(inet6)インターフェイス。

EVPN/VXLANファブリック用イングレスIRBインターフェイス(該当する場合)

destination-mac-address mac-address

パケットの宛先 MAC(メディア アクセス制御)アドレス。

イングレスポートとVLAN。

エグレスポートとVLAN。

destination-port value

TCP または UDP 宛先ポート フィールド。通常、 一致ステートメントと合わせてこの一致を protocol 指定します。以下のウェルノウンポートでは、テキストシノニムを指定できます(ポート番号も記載されています)。

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513),

xdmcp (177),

zephyr-clt (2103), zephyr-hm (2104)

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレスポート、VLAN、IPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

該当する場合は、EVPN/VXLANファブリック用イングレスIRBインターフェイス

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールド。頻繁に使用するプレフィックスリストエイリアスの下で、IPアドレスプレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレスポート、VLAN、IPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

dscp value

差別化されたサービス コード ポイント(DSCP) DiffServ プロトコルは、IP ヘッダーのサービスタイプ(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCP は、16 進、2 進、または 10 進形式で指定できます。

数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

• beベストエフォート(デフォルト)

• ef (46)RFC 3246、 Expedited Forwarding PHBで定義されています。

• af11 (10), af12 (12), af13 (14);

  af21 (18), af22 (20), af23 (22);

  af31 (26), af32 (28), af33 (30);

  af41 (34), af42 (36), af43 (38)

  これらの 4 つのクラスは、各クラスで 3 つのドロップ優先度を持ち、合計 12 のコード ポイントに対して、RFC 2597、Assured Forwarding PHB で定義されています。

• cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレスポート、VLAN、IPv4(inet)インターフェイス。

ether-type value

パケットのイーサネット タイプ フィールド。EtherType 値は、どのプロトコルがイーサネット フレームで転送されているかを指定します。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

• aarp (0x80F3)—EtherType 値 AARP

• appletalk (0x809B)イーサタイプ値AppleTalk

• arp (0x0806)—EtherType 値 ARP

• fcoe (0x8906)—EtherType 値 FCoE

• fip (0x8914)— EtherType 値 FIP

• ipv4 (0x0800)—EtherType 値 IPv4

• ipv6 (0x08DD)—EtherType 値 IPv6

• mpls-multicast (0x8848)— EtherType 値 MPLS マルチキャスト

• mpls-unicast (0x8847)— EtherType Value MPLS ユニキャスト

• oam (0x88A8)—EtherType 値 OAM

• ppp (0x880B)-イーサタイプ値PPP

• pppoe-discovery (0x8863)—EtherType 値 PPPoE 検出ステージ

• pppoe-session (0x8864)—EtherType 値 PPPoE セッション ステージ

• sna (0x80D5)-EtherType 値SNA

イングレスポートとVLAN。

エグレスポートとVLAN。

forwarding-class class

パケットを以下のデフォルト転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

• best-effort

• fcoe

• network-control

• no-loss

エグレス IPv4(inet)および IPv6(inet6)インターフェイス。

fragment-flags value

IP フラグメント化フラグ。数値の代わりに、以下のテキスト シノニム(16 進値も記載されています)のいずれかを指定します。

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

イングレスポート、VLAN、IPv4(inet)インターフェイス。

hop-limit value

指定されたホップ制限またはホップ制限のセットに一致します。単一の値または 0~255 の値の範囲を指定します。

Ingressおよびegress IPv6(inet6)インターフェイス。

icmp-code value

ICMP コード フィールドです。値の意味は関連 icmp-typeするによって異なるため、 の値 icmp-type と に を icmp-code指定する必要があります。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連付けられている ICMP タイプによってグループ化されます。

• IPv4: parameter-problem—ip-header-bad (0)、 required-option-missing (1)

• IPv6: parameter-problem—ip6-header-bad (0), , unrecognized-next-header (1)unrecognized-option (2)

• redirectredirect-for-host (1)、redirect-for-network (0) 、 redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

• time-exceeded—ttl-eq-zero- during-reassembly (1)、 ttl-eq-zero-during-transit (0)

• IPv4: unreachable—network-unreachable (0) 、 host-unreachable (1)、 protocol-unreachable (2)、 port-unreachable (3)、 fragmentation-needed (4)、 source-route-failed (5)、 destination-network-unknown (6)、 destination-host-unknown (7)、 、 destination-network-prohibited (9)、 destination-host-prohibited (10)host-precedence-violation (14)source-host-isolated (8)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)precedence-cutoff-in-effect (15)

• IPv6: unreachable—address-unreachable (3)、 administratively-prohibited (1)、 、 no-route-to-destination (0)port-unreachable (4)

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス

icmp-type value

ICMP メッセージ タイプ フィールドです。通常、 一致ステートメントと組み合わせてこの一致を protocol 指定して、ポートで使用されているプロトコルを決定します。数値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。

IPv4: echo-reply (0)、 、 、 destination unreachable (3)、 source-quench (4)、 、 redirect (5)、 echo-request (8)、 、 timestamp (13)info-reply (16)time-exceeded (11)mask-request (17)parameter-problem (12)info-request (15)timestamp-reply (14)IPv4 (inet)-advertisement (9)IPv4 (inet)-solicit (10)mask-reply (18)

IPv6: destination-unreachable (1)、 、 packet-too-big (2)、 、 time-exceeded (3)、 、 parameter-problem (4)、 echo-request (128)、 echo-reply (129)、 、 router-advertisement (134)neighbor-solicit (135)membership-report (131)router-solicit (133)node-information-request (139)membership-termination (132)neighbor-advertisement (136)redirect (137)router-renumbering (138)membership-query (130)node-information-reply (140)

詳細については、 も icmp-code variable参照してください。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレスポート、VLAN、IPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

interface interface-name

論理ユニットを含む、パケットを受信するインターフェイス。インターフェイス名または論理ユニットの一部としてワイルドカード文字(*)を含めることができます。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

ip-destination-address address

パケットの最終宛先ノードアドレスである IPv4 アドレス。

イングレスポート、エグレスポート、VLAN。

EVPN/VXLANファブリック用イングレスIRBインターフェイス(該当する場合)

ip-options

IP ヘッダーの オプション フィールドに何かを指定した場合に、一致を作成するように指定 any します。

イングレスポート、VLAN、IPv4(inet)インターフェイス。

ip-precedence ip-precedence-field

IP 優先度フィールド。数値フィールド値の代わりに、以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp (0xa0) flash 、(0x60) flash-override 、(0x80) immediate 、(0x40) internet-control 、(0xc0) net-control 、(0xe0) priority 、(0x20)、または routine (0x00)。

イングレスポートとVLAN。

エグレスポートとVLAN。

ip-protocol number

IPプロトコルフィールド。

イングレスポートとVLAN。

エグレスポートとVLAN。

EVPN/VXLANファブリック用イングレスIRBインターフェイス(該当する場合)

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレスポートとVLAN。

エグレスポートとVLAN。

EVPN/VXLANファブリック用イングレスIRBインターフェイス(該当する場合)

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー2ポートまたはVLANインターフェイスに到着するトラフィックのIPv4またはIPv6ヘッダーフィールドを一致させます。

イングレスポートとVLAN。

エグレスポートとVLAN。

is-fragment

この条件を使用すると、IP ヘッダーで More Fragments フラグが有効になっている場合、またはフラグメント オフセットがゼロでない場合に一致します。

イングレスポート、VLAN、IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

learn-1p-priority number

指定された IEEE 802.1p VLAN 優先度ビットを範囲内 0-7で照合します。

イングレスポートとVLAN。

エグレスポートとVLAN。

learn-vlan-id number

通常の VLAN の ID または外部(サービス)VLAN の ID(Q-in-Q VLAN の場合)を照合します。フィルター メモリを最も効率的に使用し、可能なフィルターの数を最大化するには、内部(顧客)VLAN ID で一致させる場合に user-id 加えて、この条件を使用します。許容される値は 1~4095 です。

イングレスポートとVLAN。

エグレスポートとVLAN。

EVPN/VXLANファブリック用イングレスIRBインターフェイス(該当する場合)

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

エグレス IPv4(inet)および IPv6(inet6)インターフェイス。

next-header value

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキスト シノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

イングレス IPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス。

packet-length number

パケット長(バイト単位) 0~65535の数字を入力する必要があります。

イングレスポート、VLAN、IPv4(inet)、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

precedence value

IPヘッダーのサービスタイプ(ToS)バイトのIP優先度ビット。(このバイトは、DiffServ DSCP にも使用できます)。数値の代わりに、以下のテキスト シノニム(数値も記載されています)のいずれかを指定します。

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

イングレス IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

protocol type

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキスト シノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112), sctp (132)

イングレス IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

source-address ip-address

IP 送信元アドレス フィールドは、パケットを送信したノードのアドレスです。

イングレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

EVPN/VXLANファブリック用イングレスIRBインターフェイス(該当する場合)

source-mac-address mac-address

パケットの MAC(送信元メディア アクセス制御)アドレス。

イングレスポートとVLAN。

エグレスポートとVLAN。

source-port value

TCP または UDP 送信元ポート。通常、 一致ステートメントと合わせてこの一致を protocol 指定します。数値フィールドの代わりに、 の下 destination-portに記載されているテキスト同義語の1つを指定できます。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレスポート、VLAN、IPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

EVPN/VXLANファブリック用イングレスIRBインターフェイス(該当する場合)

source-prefix-list prefix-list

IP 送信元プレフィックス リスト。頻繁に使用するプレフィックスリストエイリアスの下で、IPアドレスプレフィックスのリストを定義できます。このリストを [edit policy-options] 階層レベルで定義します。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレスポート、VLAN、IPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

tcp-established

確立された TCP 接続のパケットを照合します。この条件は、TCP 接続の設定に使用されるパケット以外のパケットと一致します。つまり、3 方向のハンドシェイク パケットは一致しません。

を指定 tcp-establishedすると、スイッチはプロトコルがTCPであることを暗示的に確認しません。また、 一致条件も指定する protocol tcp 必要があります。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

tcp-flags value

1 つ以上の TCP フラグ:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

tcp-initial

接続の最初の TCP パケットに一致します。TCP フラグが設定されており、TCP フラグ SYN が設定されていない場合、 ACK 一致が発生します。

を指定 tcp-initialすると、スイッチはプロトコルがTCPであることを暗示的に確認しません。また、 一致条件も指定する protocol tcp 必要があります。

イングレスポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス。

traffic-class value

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィッククラス フィールドは、DSCP(DiffServ コード ポイント)値を指定するために使用されます。このフィールドは以前は IPv4 のサービスタイプ(ToS)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 と同じです。

以下のテキスト シノニム(フィールド値も記載されています)のいずれかを指定できます。

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56), ef (46)

イングレス IPv6(inet6)インターフェイス。

エグレス IPv6(inet6)インターフェイス。

ttl value

10進数のIP TTL(Time-to-Live)フィールド。値は 1~255 です。

イングレス IPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス。

EVPN/VXLANファブリック用イングレスIRBインターフェイス(該当する場合)

user-vlan-id number

Q-in-Q VLAN 内の内部(顧客)VLAN の ID を照合します。フィルター メモリを最も効率的に使用し、可能なフィルターの数を最大化するには、 と learn-vlan-id を組み合わせて外部(サービス)VLAN ID に一致させます。許容される値は 1~4095 です。

イングレスポートとVLAN。

エグレスポートとVLAN。

accept

パケットを受け入れます。これは、条件に一致するパケットのデフォルトアクションです。

discard

インターネット制御メッセージ プロトコル(ICMP)メッセージを送信せずに、通知なくパケットを破棄します。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4 メッセージ(タイプ 3)を送信します。拒否されたパケットをログに記録するには、 アクション修飾子を syslog 設定します。

以下のいずれかのメッセージ・タイプを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, または tcp-reset.

を指定 tcp-resetした場合、パケットが TCP パケットである場合、システムは TCP リセットを送信します。それ以外の場合は何も送信しません。

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」はデフォルト メッセージ「通信管理上フィルタリングされた」と共に送信されます。

routing-instance instance-name

一致したパケットを仮想ルーティング インスタンスに転送します。(サポートされているインスタンス タイプは virtual-router.)のみです。パケットはデフォルトのインスタンスに転送できます。

vlan VLAN-name

一致したパケットを特定の VLAN に転送します。

count counter-name

条件に一致するパケット数をカウントします。

forwarding-class class

パケットを以下のデフォルト転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

ルーティング エンジンにパケットのヘッダー情報を記録します。この情報を表示するには、 動作モード コマンドを show firewall log 入力します。

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

policer policer-name

(レート制限を適用するために)ポリサーにパケットを送信します。

イングレス/エグレス ポート、VLAN、IPv4(inet)、IPv6(inet6)ファイアウォール フィルターにポリサーを指定できます。

port-mirror

(ELS プラットフォーム)階層レベルでポートミラーリングインスタンス [edit forwarding-options port-mirroring] で設定された出力インターフェイスにトラフィックをミラーリング(コピーパケット)します。

イングレス/エグレスポート、VLAN、IPv4(inet)、IPv6(inet6)ファイアウォールフィルターにポートミラーリングを指定できます。

port-mirror-instance port-mirror-instance-name

(ELS プラットフォーム)階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします [edit forwarding-options port-mirroring] 。

イングレス/エグレスポート、VLAN、IPv4(inet)、IPv6(inet6)ファイアウォールフィルターにポートミラーリングを指定できます。

syslog

このパケットのアラートをログに記録します。

three-color-policer three-color-policer-name

3 カラー ポリサーにパケットを送信します(レート制限を適用するため)。

イングレス/エグレス ポート、VLAN、IPv4(inet)、IPv6(inet6)フィルターに 3 色のポリサーを指定できます。