Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォール フィルターの設定に関するガイドライン

このトピックでは、以下の情報について説明します。

ファイアウォール フィルターの設定に関するステートメント階層

標準のファイアウォール フィルタを設定するには、次のステートメントを含めることができます。IPv4 標準ファイアウォール フィルターの場合、 family inet ステートメントはオプションです。IPv6 標準ファイアウォール フィルターの場合、 family inet6 ステートメントは必須です。

ファイアウォールの設定は、次のいずれかの階層レベルに含めることができます。

  • [edit]

  • [edit logical-systems logical-system-name]

注:

ステートレス ファイアウォール フィルタリングの場合、トンネル宛先に向かうネクスト ホップ インターフェイスであるインターフェイス上の入力トラフィックに適用されるファイアウォール フィルタを介して、出力トンネル トラフィックを許可する必要があります。ファイアウォール フィルターは、トンネルを通過してルーター(またはスイッチ)から出たパケットにのみ影響を与えます。

ファイアウォール フィルター プロトコル ファミリー

ファイアウォール フィルタの設定は、特定のプロトコル ファミリーに固有のものです。ステートメントの下に firewall 、トラフィックをフィルタリングするプロトコル ファミリーを指定するには、次のいずれかのステートメントを含めます。

  • family any—プロトコル非依存トラフィックをフィルタリングします。

  • family inet—インターネット プロトコル バージョン 4(IPv4)トラフィックをフィルタリングします。

  • family inet6—インターネット プロトコル バージョン 6(IPv6)トラフィックをフィルタリングします。

  • family mpls—MPLS トラフィックをフィルタリングします。

  • family vpls— VPLS(仮想プライベートLANサービス)トラフィックをフィルタリングします。

  • family ccc—レイヤー 2 回線クロス接続(CCC)トラフィックをフィルタリングします。

  • family bridge—MX シリーズ 3D ユニバーサル エッジ ルーターのみのレイヤー 2 ブリッジング トラフィックをフィルタリングします。

  • family ethernet-switching—レイヤー 2(イーサネット)トラフィックをフィルタリングします。

ステートメントは family family-name 、IPv4 以外のプロトコル ファミリーを指定する場合にのみ必要です。IPv4 ファイアウォール フィルタを設定するには、ステートメントを含めずに[edit firewall]階層レベルでフィルタをfamily inet設定できます。これは、レベルと[edit firewall family inet]階層レベルが同じであるため[edit firewall]です。

注:

ブリッジ ファミリー フィルターの ip-protocol 場合、一致条件は IPv4 に対してのみサポートされ、IPv6 ではサポートされません。これは、MX 3D MPC ライン カードなどの Junos Trio チップセットをサポートするライン カードに適用されます。

ファイアウォール フィルターの名前とオプション

ステートメントの下には family family-name 、ファイアウォール フィルターを作成して名前を付けるステートメントを含 filter filter-name めることができます。フィルター名には、文字、数字、ハイフン(-)を含め、最大 64 文字の長さを指定できます。名前にスペースを含める場合は、名前全体を引用符 (" ") で囲みます。

階層レベルでは [edit firewall family family-name filter filter-name] 、以下のステートメントはオプションです。

  • accounting-profile

  • instance-shared (MPCS(モジュラー ポート コンセントレータ)を備えた MX シリーズ ルーターのみ)

  • interface-specific

  • physical-interface-filter

ファイアウォール フィルター条件

ステートメントの下には filter filter-name 、フィルタ条件を作成して名前を付けるステートメントを含 term term-name めることができます。

  • ファイアウォール フィルターでは、少なくとも 1 つの条件を設定する必要があります。

  • ファイアウォール フィルター内の各条件に一意の名前を指定する必要があります。名前という用語には、文字、数字、ハイフン(-)を含めることができ、最大 64 文字の長さを指定できます。名前にスペースを含める場合は、名前全体を引用符 (" ") で囲みます。

  • ファイアウォール フィルタ設定で条件を指定する順序は重要です。ファイアウォール フィルタ条件は、設定順に評価されます。デフォルトでは、新しい条件は常に既存のフィルタの末尾に追加されます。設定モード コマンドを insert 使用して、ファイアウォール フィルタの条件を並べ替えることができます。

[edit firewall family family-name filter filter-name term term-name]階層レベルでは、filter filter-nameステートメントは or then ステートメントと同じ用語fromでは無効です。この階層レベルに含まれる場合、ステートメントはファイアウォール フィルターのfilter filter-nameネストに使用されます。

ファイアウォール フィルターの一致条件

ファイアウォール フィルターの一致条件は、フィルター処理されるトラフィックのタイプに固有のものです。

MPLS タグ付き IPv4 または IPv6 トラフィックを除き、ステートメントの下で条件の照合条件を from 指定します。MPLS タグ付き IPv4 トラフィックの場合は、ステートメントの下で用語の IPv4 アドレス固有の照会条件を指定し、ステートメントの下 ip-version ipv4 で用語の IPv4 ポート固有の照会条件を protocol (tcp | udp) 指定します。

MPLS タグ付き IPv6 トラフィックの場合は、ステートメントの下で用語の IPv6 アドレス固有の照会条件を指定し、ステートメントの下で ip-version ipv6 用語の IPv6 ポート固有の照会条件を protocol (tcp | udp) 指定します。

表 1 は、ファイアウォール フィルターを設定できるトラフィックのタイプを示しています。

表 1: ファイアウォール フィルタの一致条件(プロトコル ファミリー別)

トラフィック タイプ

照合条件が指定された階層レベル

プロトコル非依存

[edit firewall family any filter filter-name term term-name]

一致条件の完全なリストについては、「 プロトコル非依存トラフィックのファイアウォール フィルターの一致条件」を参照してください。

IPv4

[edit firewall family inet filter filter-name term term-name]

一致条件の完全なリストについては、「 IPv4 トラフィックのファイアウォール フィルターの一致条件」を参照してください。

IPv6

[edit firewall family inet6 filter filter-name term term-name]

一致条件の完全なリストについては、「 IPv6 トラフィックのファイアウォール フィルターの一致条件」を参照してください。

MPLS

[edit firewall family mpls filter filter-name term term-name]

一致条件の完全なリストについては、「 MPLS トラフィックのファイアウォール フィルターの一致条件」を参照してください。

MPLS フロー内の IPv4 アドレス

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

一致条件の完全なリストについては、「 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォール フィルターの照合条件」を参照してください。

MPLS フロー内の IPv4 ポート

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

一致条件の完全なリストについては、「 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォール フィルターの照合条件」を参照してください。

MPLS フロー内の IPv6 アドレス

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

一致条件の完全なリストについては、「 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォール フィルターの照合条件」を参照してください。

MPLS フロー内の IPv6 ポート

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

一致条件の完全なリストについては、「 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォール フィルターの照合条件」を参照してください。

VPLS

[edit firewall family vpls filter filter-name term term-name]

一致条件の完全なリストについては、「 VPLS トラフィックのファイアウォール フィルターの一致条件」を参照してください。

レイヤー 2 CCC

[edit firewall family ccc filter filter-name term term-name]

一致条件の完全なリストについては、「 レイヤー 2 CCC トラフィックのファイアウォール フィルターの一致条件」を参照してください。

レイヤー 2 ブリッジング

(MX シリーズ ルーターおよび EX シリーズ スイッチのみ)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (EX シリーズ スイッチのみ)

一致条件の完全なリストについては、「 レイヤー 2 ブリッジング トラフィックのファイアウォール フィルターの一致条件」を参照してください。

IPv6 アドレスを照合条件( address、、 destination-address、または source-address 照合条件)で指定する場合は、RFC 4291、 IP バージョン 6 アドレッシング アーキテクチャで説明されているテキスト表現の構文を使用します。IPv6 アドレスの詳細については、 IPv6 の概要サポートされている IPv6 標準を参照してください。

ファイアウォール フィルター アクション

ファイアウォール フィルター条件の then ステートメントの下で、条件に一致するパケットに対して実行するアクションを指定できます。

表 2 は、ファイアウォール フィルタ条件で指定できるアクションのタイプをまとめたものです。

表 2: ファイアウォール フィルター アクション カテゴリ

アクションのタイプ

説明

コメント

終了

特定のパケットのファイアウォール フィルターのすべての評価を停止します。ルーター(またはスイッチ)は指定されたアクションを実行し、パケットの検査に追加の条件は使用されません。

ファイアウォール フィルタ条件では、 終端処理を 1 つだけ指定できます。ただし、1 つの終端処理 以外 のアクションを 1 つの条件で 1 つ以上指定することはできます。たとえば、条件内で、 と syslogcount指定acceptできます。終端処理を含む条件の数に関係なく、システムが期間内に終了アクションを処理すると、ファイアウォール フィルター全体の処理が停止します。

ファイアウォール フィルター終端処理を参照してください。

終端処理なし

パケットに関するその他の機能(カウンターの増加、パケット ヘッダーに関する情報のロギング、パケット データのサンプリング、システム ログ機能を使用したリモート ホストへの情報の送信など)を実行しますが、追加の条件はパケットの検査に使用されます。

終端処理以外のすべてのアクションには、暗黙的な受け入れアクションが含まれます。この受け入れアクションは、同じ条件で他の終端アクションが設定されていない場合に実行されます。

ファイアウォール フィルターの非終端処理を参照してください。

フロー制御

標準のファイアウォール フィルターの場合のみ、 next term このアクションはルーター(またはスイッチ)にパケットに対して設定されたアクションを実行するよう指示し、フィルタを終了するのではなく、フィルタの次の項を使用してパケットを評価します。アクションが next term 含まれている場合、一致するパケットはファイアウォール フィルタの次の項に対して評価されます。それ以外の場合、一致するパケットはファイアウォール フィルター内の後続の条件に対して評価されません。

たとえば、終端処理以外のアクション countを使用して用語を構成すると、その語のアクションは暗黙的から暗黙的 discard に変更されます accept。このアクションにより next term 、ファイアウォール フィルターの継続的な評価が強制されます。

同じフィルタ条件でnext term終了アクションを使用してアクションを設定することはできません。ただし、同じフィルタ条件の別の終端処理以外のアクションを使用して、次の項アクションを設定できます。

標準のファイアウォール フィルター構成ごとに最大 1024 next term 個のアクションがサポートされます。この制限を超える標準ファイアウォール フィルタを設定すると、候補の設定でコミット エラーが発生します。

注:

Junos OS Evolvedでは、 next term アクションの最後の期間として表示できません。アクションとして指定されているが next term 、一致条件が設定されていないフィルタ条件はサポートされていません。