ファイアウォールフィルターがプロトコルをどのようにテストするかを理解する
ファイアウォールフィルターで一致条件を調べる場合、スイッチは指定したフィールドのみをテストします。明示的に設定しないフィールドは暗示的にテストしません。例えば、 の source-port ssh一致条件を指定した場合、プロトコルがTCPかどうかを判断する黙示的なテストはありません。この場合、スイッチは、推定IPヘッダーの後にある2バイトフィールドの22値が(10進数)のパケットが一致すると見なします。条件が TCP パケットで一致するようにするには、一致条件も指定 ip-protocol tcp します。
以下の一致条件では、同じ条件でプロトコル一致条件を明示的に指定する必要があります。
destination-port—プロトコルまたはプロトコルtcpudpを指定します。icmp-code—プロトコルicmpと を指定しますicmp-type。icmp-type—プロトコルまたはプロトコルicmpicmp6を指定します。source-port—プロトコルまたはプロトコルtcpudpを指定します。tcp-flags—プロトコルを指定しますtcp。