ファイアウォールフィルターがプロトコルをテストする方法について
ファイアウォールフィルターで match 条件を確認する場合、スイッチは指定されたフィールドのみをテストします。明示的に設定していないフィールドは暗黙的にテストされません。たとえば、合致条件を指定した場合、 source-port sshプロトコルが TCP であるかどうかを判断するための暗黙のテストは行われません。この場合、スイッチは、 22想定外の IP ヘッダーに続く2バイトフィールドにおいて、値 (10 進数) を持つパケットを照合します。TCP パケットに一致することを保証するには、 ip-protocol tcp照合条件も指定します。
次の照合条件については、同じ用語でプロトコルの一致条件を明示的に指定する必要があります。
destination-port—プロトコルまたはプロトコルtcpを指定しますudp。icmp-code—プロトコルとicmpicmp-typeを指定します。icmp-type—プロトコルまたはプロトコルicmpを指定しますicmp6。source-port—プロトコルまたはプロトコルtcpを指定しますudp。tcp-flags—プロトコルを指定tcpします。