ファイアウォールフィルターの一致条件およびアクション(QFX10000スイッチ)

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

イングレスIPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス、および IPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

destination-mac-address mac-address

パケットの宛先MAC（メディアアクセス制御）アドレス

イングレスポートとVLAN。

ポートとVLANを出力します。

destination-port value

TCPまたはUDP宛先ポートフィールド。通常、この一致は protocol 一致ステートメントと組み合わせて指定します。次の既知のポートでは、テキスト同義語を指定できます(ポート番号もリストされています)。

afs (1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67)、

cmd (514)、 cvspserver (2401)、

dhcp (67)、 domain (53)、

eklogin (2105)、 ekshell (2106)、 exec (512)、

finger (79)、 ftp (21)、 ftp-data (20)、

http (80)、 https (443)、

ident (113)、 imap (143)、

kerberos-sec (88)、 klogin (543)、 kpasswd (761)、 krb-prop (754)、 krbupdate (760)、 kshell (544)、

ldap (389)、 login (513)、

mobileip-agent (434)、 mobilip-mn (435)、 msdp (639)、

netbios-dgm (138)、 netbios-ns (137)、 netbios-ssn (139)、 nfsd (2049)、 nntp (119)、 ntalk (518)、 ntp (123)、

pop3 (110)、 pptp (1723)、 printer (515)、

radacct (1813)、radius (1812)、 rip (520)、 rkinit (2108)、

smtp (25)、 snmp (161)、 snmptrap (162)、 snpp (444)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、

tacacs-ds (65)、 talk (517)、 telnet (23)、 tftp (69)、 timed (525)、

who (513)、

xdmcp (177)、

zephyr-clt (2103)、zephyr-hm (2104)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールドです。頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

dscp value

差別化されたサービス コード ポイント（DSCP）です。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

• be- ベスト エフォート(デフォルト)

• ef (46)- RFC 3246, An Expeded Forwarding PHBで定義されています。

• af11 (10)、 af12 (12)、 af13 (14);

  af21 (18)、 af22 (20)、 af23 (22);

  af31 (26)、 af32 (28)、 af33 (30);

  af41 (34)、 af42 (36)、 af43 (38)

  これらの 4 つのクラスは、各クラスに 3 つのドロップ優先順位があり、合計 12 のコード ポイントがあり、 RFC 2597, Assure Forwarding PHB で定義されています。

• cs0、 cs1、 cs2、 cs3、 cs4、 cs5、 cs6、 cs7、 cs5

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレスポート、VLAN、およびIPv4(inet)インターフェイス。

ether-type value

パケットのイーサネット タイプ フィールドです。EtherType 値は、イーサネット フレームで転送されるプロトコルを指定します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

• aarp (0x80F3)- イーサタイプ値 AARP

• appletalk (0x809B)- EtherType 値 アップルトーク

• arp (0x0806)- イーサタイプ値ARP

• fcoe (0x8906)- イーサタイプ値 FCoE

• fip (0x8914)- イーサタイプ値 FIP

• ipv4 (0x0800)- イーサタイプ値 IPv4

• ipv6 (0x08DD)- イーサタイプ値 IPv6

• mpls-multicast (0x8848)- EtherType値MPLSマルチキャスト

• mpls-unicast (0x8847)- イーサタイプ値MPLSユニキャスト

• oam (0x88A8)- イーサタイプ値 OAM

• ppp (0x880B)- イーサタイプ値 PPP

• pppoe-discovery (0x8863)- EtherType値PPPoEディスカバリーステージ

• pppoe-session (0x8864)- EtherType 値 PPPoE セッション ステージ

• sna (0x80D5)- イーサタイプ値 SNA

イングレスポートとVLAN。

ポートとVLANを出力します。

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

• best-effort

• fcoe

• network-control

• no-loss

エグレス IPv4(inet)および IPv6(inet6)インターフェイス

fragment-flags value

IP フラグメント化フラグ。数値の代わりに、以下のテキスト同義語(16進数値も記載されています)のいずれかを指定することができます。

• is-fragment

• dont-fragment (0x4000)

• more-fragments (0x2000)

• reserved (0x8000)

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

hop-limit value

指定されたホップ制限またはホップ制限のセットに一致します。単一の値または0から255の値の範囲を指定してください。

ingressおよびegress IPv6(inet6)インターフェイス

icmp-code value

ICMP コード フィールドです。値の意味は関連する icmp-typeによって異なるため、 icmp-type の値と icmp-codeの値を指定する必要があります。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

• IPv4: parameter-problem—ip-header-bad (0)、 required-option-missing (1)

• IPv6: parameter-problem—ip6-header-bad (0)、 unrecognized-next-header (1)、 unrecognized-option (2)

• redirect—redirect-for-network (0)、 redirect-for-host (1)、 redirect-for-tos-and-net (2)、 redirect-for-tos-and-host (3)

• time-exceeded—ttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

• IPv4: 到達不能—network-unreachable (0)、 host-unreachable (1)、 protocol-unreachable (2)、 port-unreachable (3)、 fragmentation-needed (4)、 source-route-failed (5)、 destination-network-unknown (6)、 destination-host-unknown (7)、 source-host-isolated (8)、 destination-network-prohibited (9)、 destination-host-prohibited (10)、 network-unreachable-for-TOS (11)、 host-unreachable-for-TOS (12)、 communication-prohibited-by-filtering (13)、 host-precedence-violation (14)、 precedence-cutoff-in-effect (15)

• IPv6: 到達不能—address-unreachable (3)、 administratively-prohibited (1)、 no-route-to-destination (0)、 port-unreachable (4)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス

icmp-type value

ICMP メッセージ タイプ フィールドです。通常、 protocol 一致ステートメントと合わせてこの一致を指定して、ポートで使用されているプロトコルを決定します。数値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。

IPv4: echo-reply (0)、 destination unreachable (3)、 source-quench (4)、 redirect (5)、 echo-request (8)、 IPv4 (inet)-advertisement (9)、 IPv4 (inet)-solicit (10)、 time-exceeded (11)、 parameter-problem (12)、 timestamp (13)、 timestamp-reply (14)、 info-request (15)、 info-reply (16)、 mask-request (17)、 mask-reply (18)

IPv6: destination-unreachable (1)、 packet-too-big (2)、 time-exceeded (3)、 parameter-problem (4)、 echo-request (128)、 echo-reply (129)、 membership-query (130)、 membership-report (131)、 membership-termination (132)、 router-solicit (133)、 router-advertisement (134)、 neighbor-solicit (135)、 neighbor-advertisement (136)、 redirect (137)、 router-renumbering (138)、 node-information-request (139)、 node-information-reply (140)

icmp-code variableも参照してください。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

interface interface-name

論理ユニットを含む、パケットを受信したインターフェイス。ワイルドカード文字(*)は、インターフェイス名または論理ユニットの一部として含めることができます。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

ip-destination-address address

パケットの最終宛先ノード アドレスである IPv4 アドレス。

イングレスポート、エグレスポート、VLAN。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

ip-options

IP ヘッダーのオプション フィールドに何かが指定されている場合に一致を作成する any を指定します。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

ip-precedence ip-precedence-field

IP 優先度フィールドです。数字フィールド値の代わりに、以下のテキストシノニム（フィールド値も記載されています）のいずれかを指定します。critical-ecp (0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)、または routine (0x00)。

イングレスポートとVLAN。

ポートとVLANを出力します。

ip-protocol number

IP プロトコル フィールドです。

イングレスポートとVLAN。

ポートとVLANを出力します。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

イングレスポートとVLAN。

ポートとVLANを出力します。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

ip-version address

パケットの IP バージョン。この条件を使用して、レイヤー2ポートまたはVLANインターフェイスに到着するトラフィックのIPv4またはIPv6ヘッダーフィールドを照合します。

イングレスポートとVLAN。

ポートとVLANを出力します。

is-fragment

この条件を使用すると、IPヘッダーでMore Fragmentsフラグが有効になっている場合、またはフラグメントオフセットがゼロではない場合に一致します。

イングレスポート、VLAN、およびIPv4(inet)インターフェイス。

エグレス IPv4(inet)インターフェイス

learn-1p-priority number

0-7の範囲で指定されたIEEE 802.1p VLAN優先度ビットに一致します。

イングレスポートとVLAN。

ポートとVLANを出力します。

learn-vlan-id number

通常のVLANのIDまたは外部(サービス)VLANのID(Q-in-Q VLANの場合)に一致します。フィルターメモリを最も効率的に使用し、可能なフィルターの数を最大化するには、内部(顧客)VLAN IDでマッチングする場合に user-id に加えて、この条件を使用します。許容値は 1 から 4095 です。

イングレスポートとVLAN。

ポートとVLANを出力します。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

エグレス IPv4(inet)および IPv6(inet6)インターフェイス

next-header value

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)、icmp (1)、 icmp6 (58)、 igmp (2)、 ipip (4)、 tcp (6)、 egp (8)、 udp (17)、 ipv6 (41)、 routing (43)、 fragment (44)、rsvp (46)、 gre (47)、 esp (50)、 ah (51)、 icmp6 (58)、 no-next-header (59)、 dstopts (60)、 ospf (89)、 pim (103)、 vrrp (112)、 sctp (132)

ingress IPv6(inet6)インターフェイス

エグレス IPv6(inet6)インターフェイス

packet-length number

パケットの長さ (バイト単位)。0 から 65535 までの数値を入力する必要があります。

イングレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

precedence value

IPヘッダーのサービスタイプ(ToS)バイトのIP優先順位ビット。(このバイトは、DiffServ DSCP にも使用できます)。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

• routine (0)

• priority (1)

• immediate (2)

• flash (3)

• flash-override (4)

• critical-ecp (5)

• internet-control (6)

• net-control (7)

ingress IPv4(inet)インターフェイス

エグレス IPv4(inet)インターフェイス

protocol type

IPv4 または IPv6 プロトコル値。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)、icmp (1)、 icmp6、 igmp (2)、 ipip (4)、 tcp (6)、 egp (8)、 udp (17)、 ipv6 (41)、 routing (43)、 fragment (44)、rsvp (46)、 gre (47)、 esp (50)、 ah (51)、 icmp6 (58)、 no-next-header (59)、 dstopts (60)、 ospf (89)、 pim (103)、 vrrp (112)、 sctp (132)

ingress IPv4(inet)インターフェイス

エグレス IPv4(inet)インターフェイス

source-address ip-address

パケットを送信したノードのアドレスである IP 送信元アドレス フィールド。

イングレスIPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイスと IPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

source-mac-address mac-address

パケットの送信元メディアアクセス制御(MAC)アドレス

イングレスポートとVLAN。

ポートとVLANを出力します。

source-port value

TCP または UDP 送信元ポート通常、この一致は protocol 一致ステートメントと組み合わせて指定します。数値 フィールドの代わりに、 の下に記載されているテキスト シノニムの 1 つを指定しますdestination-port。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

source-prefix-list prefix-list

IP ソース プレフィックス リスト頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

tcp-established

確立されたTCP接続のパケットに一致します。この条件は、TCP 接続の設定に使用されたパケット以外のパケットに一致します。つまり、スリーウェイ ハンドシェイク パケットは一致しません。

tcp-established を指定すると、スイッチはプロトコルが TCPであることを暗示的に検証しません。protocol tcp一致条件も指定する必要があります。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

tcp-flags value

1 つ以上の TCP フラグ:

• ack (0x10)

• fin (0x01)

• push (0x08)

• rst (0x04)

• syn (0x02)

• urgent (0x20)

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

tcp-initial

接続の最初の TCP パケットに一致します。TCP フラグ SYN が設定され、TCP フラグ ACK が設定されていない場合、一致が発生します。

tcp-initial を指定すると、スイッチはプロトコルが TCPであることを暗示的に検証しません。protocol tcp一致条件も指定する必要があります。

イングレス ポート、VLAN、IPv4(inet)インターフェイス、IPv6(inet6)インターフェイス。

エグレス IPv4(inet)インターフェイス

traffic-class value

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィック クラス フィールドは、DSCP(DiffServ コード ポイント)値を指定するために使用されます。このフィールドは、以前は IPv4 の ToS(サービスタイプ)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。

以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

af11 (10)、 af12 (12)、 af13 (14)、 af21 (18)、 af22 (20)、 af23 (22)、 af31 (26)、 af32 (28)、 af33 (30)、 af41 (34)、 af42 (36)、 af43 (38)、 cs0 (0)、 cs1 (8)、 cs2 (16)、 cs3 (24)、 cs4 (32)、 cs5 (40)、 cs6 (48)、 cs7 (56)、 ef (46)

ingress IPv6(inet6)インターフェイス

エグレス IPv6(inet6)インターフェイス

ttl value

10進数のIPTTL(Time-to-live)フィールド。値は 1 から 255 です。

ingress IPv4(inet)インターフェイス

エグレス IPv4(inet)インターフェイス

EVPN/VXLAN ファブリックのイングレス IRB インターフェイス(該当する場合)

user-vlan-id number

Q-in-Q VLANの内部(顧客)VLANのIDに一致します。フィルター メモリを最も効率的に使用し、使用可能なフィルターの数を最大化するには、 learn-vlan-id と組み合わせて使用して、外部(サービス)VLAN ID を照合します。許容値は 1 から 4095 です。

イングレスポートとVLAN。

ポートとVLANを出力します。

accept

パケットを受け取ります。これは、条件に一致するパケットのデフォルトアクションです。

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。

reject message-type

パケットを破棄し、「宛先到達不能」ICMPv4メッセージ(タイプ3)を送信します。拒否されたパケットをログに記録するには、 syslog アクション修飾子を設定します。

以下のいずれかのメッセージ・タイプを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, または tcp-reset。

tcp-reset を指定した場合、パケットが TCP パケットの場合は TCP リセットを送信します。それ以外の場合は何も送信されません。

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」は、デフォルトのメッセージ「管理フィルタリングされた通信」とともに送信されます。

routing-instance instance-name

一致したパケットを仮想ルーティング インスタンスに転送します。(サポートされているインスタンスタイプは virtual-router のみです。パケットはデフォルトのインスタンスに転送できます。

vlan VLAN-name

一致したパケットを特定のVLANに転送します。

count counter-name

条件に一致するパケットの数をカウントします。

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

• best-effort

• fcoe

• mcast

• network-control

• no-loss

log

パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、 show firewall log 動作モード コマンドを入力します。

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。

policer policer-name

パケットをポリサーに送信します(レート制限を適用するため)。

イングレスおよびエグレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)ファイアウォールフィルターのポリサーを指定できます。

port-mirror

(ELSプラットフォーム) [edit forwarding-options port-mirroring] 階層レベルのポートミラーリングインスタンスで設定された出力インターフェイスにトラフィックをミラーリング(パケットをコピー)。

イングレスおよびエグレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)ファイアウォールフィルターのポートミラーリングを指定できます。

port-mirror-instance port-mirror-instance-name

(ELSプラットフォーム) [edit forwarding-options port-mirroring] 階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします。

イングレスおよびエグレスポート、VLAN、IPv4(inet)、およびIPv6(inet6)ファイアウォールフィルターのポートミラーリングを指定できます。

syslog

このパケットのアラートをログに記録します。

three-color-policer three-color-policer-name

3 カラー ポリサーにパケットを送信します(レート制限を適用するため)。

イングレスおよびエグレス ポート、VLAN、IPv4(inet)、および IPv6(inet6)フィルターに 3 色のポリサーを指定できます。