サービスフィルタの設定に関するガイドライン
サービスフィルターを設定するためのステートメント階層
サービス フィルターを設定するには、 階層レベルで ステートメントを含め ます 。service-filter service-filter-name
[edit firewall family (inet | inet6)]
[edit] firewall { family (inet
|inet6
) {service-filter
service-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
この ステートメントでサポートされる個々のステートメントについては、このトピックで別途説明し、サービス フィルターの設定と適用の例を示します。service-filter service-filter-name
サービス フィルター プロトコル ファミリー
IPv4トラフィック()およびIPv6トラフィック()のみをフィルタリングするようにサービスフィルターを設定できます。family inet
family inet6
他のプロトコルファミリーは、サービスフィルターではサポートされていません。
サービスフィルタ名
または ステートメントの下には、サービス フィルターを作成するステートメントと名前を付けるステートメントを含めることができます。family inet
family inet6
service-filter service-filter-name
フィルター名には、文字、数字、およびハイフン(-)を含めることができ、最大 64 文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。
サービスフィルターの用語
ステートメントの下には、フィルター用語を作成したり、名前を付けたりするステートメントを含めることができます。service-filter service-filter-name
term term-name
ファイアウォールフィルターには、少なくとも 1 つの条件を設定する必要があります。
ファイアウォールフィルター内の各用語に固有の名前を指定する必要があります。条件名には、文字、数字、およびハイフン(-)を含めることができ、最大 64 文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。
ファイアウォールフィルター設定内で用語を指定する順序は重要です。ファイアウォールフィルターの用語は、設定された順序で評価されます。既定では、新しい用語は常に既存のフィルターの最後に追加されます。コンフィグレーション モード コマンドを使用して、 ファイアウォール フィルターの条件の順序を変更することができます。
insert
サービスフィルター一致条件
サービスフィルター条件は、標準のステートレスファイアウォールフィルターでサポートされている IPv4 および IPv6 一致条件のサブセットのみをサポートします。
一致条件( 、 、 または 一致条件)でIPv6アドレスを指定する場合は、RFC 4291、 IPバージョン6アドレッシングアーキテクチャに記述されたテキスト表現の構文を使用してください。address
destination-address
source-address
IPv6アドレスの詳細については、 ルーティングデバイス用Junos OSルーティングプロトコルライブラリの「IPv6の概要」を参照してください。https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/index.html
サービスフィルター終了アクション
サービスフィルター条件を設定する場合、以下のフィルター終了アクションのいずれかを指定する必要があります。
service
skip
これらのアクションは、サービス フィルターに固有です。
サービスフィルターの用語は、標準のステートレスファイアウォールフィルターでサポートされているIPv4およびIPv6の非終了アクションのサブセットのみをサポートします。
count counter-name
log
port-mirror
sample
サービスフィルターは、この アクションをサポートしていません。next