サービスフィルタの設定に関するガイドライン
サービスフィルターを設定するためのステートメント階層
サービス フィルターを設定するには、[edit firewall family (inet | inet6)]
階層レベルで service-filter service-filter-name
ステートメントを含めます。
[edit] firewall { family (inet
|inet6
) {service-filter
service-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
service-filter service-filter-name
ステートメントでサポートされる個々のステートメントについては、このトピックでは別途説明し、サービス フィルターの設定と適用の例を示します。
サービス フィルター プロトコル ファミリー
IPv4トラフィック(family inet
)とIPv6トラフィック(family inet6
)のみをフィルタリングするようにサービスフィルタを設定できます。他のプロトコルファミリーは、サービスフィルターではサポートされていません。
サービスフィルタ名
family inet
ステートメントまたは family inet6
ステートメントの下に、サービス フィルターを作成したり名前を付けたりするための service-filter service-filter-name
ステートメントを含めることができます。フィルター名には、文字、数字、およびハイフン(-)を含めることができ、最大 64 文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。
サービスフィルターの用語
service-filter service-filter-name
ステートメントの下には、フィルター用語を作成したり命名するための term term-name
ステートメントを含めることができます。
ファイアウォールフィルターには、少なくとも 1 つの条件を設定する必要があります。
ファイアウォールフィルター内の各用語に固有の名前を指定する必要があります。条件名には、文字、数字、およびハイフン(-)を含めることができ、最大 64 文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。
ファイアウォールフィルター設定内で用語を指定する順序は重要です。ファイアウォールフィルターの用語は、設定された順序で評価されます。既定では、新しい用語は常に既存のフィルターの最後に追加されます。
insert
設定モード コマンドを使用して、ファイアウォール フィルターの条件の順序を変更することができます。
サービスフィルター一致条件
サービスフィルター条件は、標準のステートレスファイアウォールフィルターでサポートされている IPv4 および IPv6 一致条件のサブセットのみをサポートします。
一致条件( address
、 destination-address
、または source-address
一致条件)で IPv6 アドレスを指定する場合は、RFC 4291、 IP バージョン 6 アドレッシング・アーキテクチャーで説明されているテキスト表現の構文 を使用してください。IPv6アドレスの詳細については、 ルーティングデバイス用Junos OSルーティングプロトコルライブラリの「IPv6の概要」を参照してください。
サービスフィルター終了アクション
サービスフィルター条件を設定する場合、以下のフィルター終了アクションのいずれかを指定する必要があります。
service
skip
これらのアクションは、サービス フィルターに固有です。
サービスフィルターの用語は、標準のステートレスファイアウォールフィルターでサポートされているIPv4およびIPv6の非終了アクションのサブセットのみをサポートします。
count counter-name
log
port-mirror
sample
サービス・フィルターは、 next ・アクションをサポートしていません。