Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

単純なフィルターの設定に関するガイドライン

シンプルフィルタを設定するためのステートメント階層

単純なフィルターを設定するには、[edit firewall family inet]階層レベルで simple-filter simple-filter-name ステートメントを含めます。

simple-filter simple-filter-name ステートメントでサポートされる個々のステートメントについては、このトピックでは別途説明し、シンプルなフィルターの設定と適用の例では説明しています。

シンプル フィルター プロトコル ファミリー

IPv4トラフィック(family inet)のみをフィルタリングするシンプルフィルターを設定できます。単純なフィルターでは、他のプロトコルファミリーはサポートされていません。

単純なフィルター名

family inet ステートメントの下には、単純なフィルターを作成したり名前を付けたりするための simple-filter simple-filter-name ステートメントを含めることができます。フィルター名には、文字、数字、およびハイフン(-)を含めることができ、最大 64 文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。

単純なフィルター項目

simple-filter simple-filter-name ステートメントの下には、フィルター用語を作成したり命名するための term term-name ステートメントを含めることができます。

  • ファイアウォールフィルターには、少なくとも 1 つの条件を設定する必要があります。

  • ファイアウォールフィルター内の各用語に固有の名前を指定する必要があります。条件名には、文字、数字、およびハイフン(-)を含めることができ、最大 64 文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。

  • ファイアウォールフィルター設定内で用語を指定する順序は重要です。ファイアウォールフィルターの用語は、設定された順序で評価されます。既定では、新しい用語は常に既存のフィルターの最後に追加されます。insert 設定モード コマンドを使用して、ファイアウォール フィルターの条件の順序を変更することができます。

シンプル フィルターは、next term アクションをサポート していません

単純なフィルター一致条件

シンプルフィルター条件は、標準のステートレスファイアウォールフィルターでサポートされている IPv4 一致条件のサブセットのみをサポートします。

標準のステートレス ファイアウォール フィルターとは異なり、単純なフィルターには次の制限が適用されます。

  • 拡張キューイングDPCを搭載したMX シリーズルーターおよびEXシリーズスイッチでは、シンプルフィルターはforwarding- class一致条件をサポート していません

  • シンプルフィルターは、各フィルター条件に対して1つの source-address プレフィックスと1つの destination-address プレフィックスのみをサポートします。複数のプレフィックスを設定した場合、最後のプレフィックスのみが使用されます。

  • シンプル フィルター は、1 つの条件で複数の送信元アドレスと宛先アドレスをサポートしていません 。複数のアドレスを設定した場合は、最後のアドレスのみが使用されます。

  • 単純フィルターは、protocol-except一致条件や exception キーワードなどの 否定一致条件をサポートしていません

  • シンプル フィルターは、 source-port 一致条件と destination-port 一致条件の値の範囲のみをサポートします。たとえば、 source-port 400-500destination-port 600-700 を設定できます。

  • シンプル フィルターは、連続してい ないマスク値をサポートしません

表 1 に、単純なフィルター一致条件を示します。

表 1: 単純なフィルター一致条件

一致条件

説明

destination-address destination-address

IP 宛先アドレスに一致します。

destination-port number

TCPまたはUDP宛先ポートフィールド。

この一致条件を設定した場合、ポートで使用されているプロトコルを特定するために、 protocol 一致ステートメントも設定することを推奨します。

数値の代わりに、以下のテキストエイリアス(ポート番号も記載されています)のいずれかを指定します。afs( 1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67)、 cmd (514)、 cvspserver (2401)、 dhcp (67)、 domain (53)、 eklogin (2105)、 ekshell (2106)、 exec (512)、 finger (79)、 ftp (21)、 ftp-data (20)、 http (80)、 https (443)、 ident (113)、 imap (143)、 kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110)、 pptp (1723)、 printer (515)、 radacct (1813)、 radius (1812)、 rip (520)、 rkinit (2108)、 smtp (25)、 snmp (161)、 snmptrap (162)、 snpp (444)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、 tacacs-ds (65)、 talk (517)、 telnet (23)、 tftp (69)、 timed (525)、 who (513)、または xdmcp (177)。

forwarding-class class

パケットの転送クラスに一致します。

assured-forwardingbest-effortexpedited-forwarding、 またはnetwork-control を指定します。

転送クラスとルーター内出力キューについては、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。

protocol number

IP プロトコル フィールドです。数値の代わりに、以下のテキストエイリアス(フィールド値も記載されています)のいずれかを指定します。ah( 51)、 dstopts (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 ospf (89)、 pim (103)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp (17)、または vrrp (112)。

source-address ip-source-address

IP 送信元アドレスに一致します。

source-port number

UDPまたはTCP送信元ポート フィールドに一致します。

この一致条件を設定した場合、ポートで使用されているプロトコルを特定するために、 protocol 一致ステートメントも設定することを推奨します。

数値フィールドの代わりに、 destination-port にリストされているテキスト エイリアスの 1 つを指定できます。

単純なフィルター終了アクション

シンプル フィルター は、acceptrejectdiscardなどの明示的に構成可能な終了アクションをサポートしていません。シンプル フィルターで設定された条件は、常にパケットを受け入れます。

シンプル フィルターは、next アクションをサポート していません

単純なフィルター非終了アクション

シンプル フィルターは、次の非終了アクションのみをサポートします。

  • forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)

    注:

    拡張キューイングDPCを搭載したMXシリーズルーターおよびEXシリーズスイッチでは、転送クラスは from 一致条件としてサポートされません。

  • loss-priority (high | low | medium-high | medium-low)

シンプル フィルターは、パケットで他の機能(カウンターのインクリメント、パケット ヘッダーに関する情報のロギング、パケット データのサンプリング、システム ログ機能を使用したリモート ホストへの情報の送信など)を実行するアクションをサポートしていません。

関連項目