Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの設定に関するガイドライン

このトピックでは、次の情報について説明します。

ファイアウォールフィルターを設定するためのステートメント階層

標準ファイアウォールフィルターを設定するには、以下のステートメントを含めることができます。IPv4 標準ファイアウォールフィルターの場合、 family inet ステートメントはオプションです。IPv6 標準ファイアウォールフィルターの場合、 family inet6 ステートメントは必須です。

ファイアウォールの設定は、以下の階層レベルのいずれかに含めることができます。

  • [edit]

  • [edit logical-systems logical-system-name]

注:

ステートレス ファイアウォール フィルタリングの場合、トンネル宛先へのネクストホップ インターフェイスであるインターフェイスの入力トラフィックに適用されるファイアウォール フィルターを介した出力トンネル トラフィックを許可する必要があります。ファイアウォールフィルターは、トンネルを経由してルーター(またはスイッチ)から出るパケットにのみ影響します。

注:

ACX7100プラットフォームでは、VPLS ファイアウォール フィルターは family VPLS ではなく family ethernet-switching で設定されます。管理フィルタはファミリ inet または inet6 で設定され、構文は次の形式です。

ファイアウォール フィルター プロトコル ファミリー

ファイアウォールフィルターの設定は、特定のプロトコルファミリーに固有です。firewall ステートメントの下に、トラフィックをフィルタリングするプロトコルファミリーを指定するステートメントのいずれかを含めます。

  • family any- プロトコル非依存トラフィックをフィルタリングします。

  • family inet:IPv4(インターネット プロトコル バージョン 4)トラフィックをフィルタリングします。

  • family inet6- インターネット プロトコル バージョン 6(IPv6)トラフィックをフィルタリングします。

  • family mpls- MPLS トラフィックをフィルタリングします。

  • family vpls- VPLS(仮想プライベートLANサービス)トラフィックをフィルタリングします。

  • family ccc- レイヤー 2 CCC(回線相互接続)トラフィックをフィルタリングします。

  • family bridge—MXシリーズ3Dユニバーサルエッジルーターのみのレイヤー2ブリッジングトラフィックをフィルタリングします。

  • family ethernet-switching- レイヤー 2(イーサネット)トラフィックをフィルタリングします。

family family-name ステートメントは、IPv4 以外のプロトコルファミリーを指定する場合にのみ必要です。IPv4ファイアウォールフィルターを設定するには、[edit firewall]階層レベルと[edit firewall family inet]階層レベルが同等であるため、family inetステートメントを含めずに、[edit firewall]階層レベルでフィルターを設定できます。

注:

ブリッジ ファミリー フィルターの場合、 ip-protocol 一致条件は IPv4 でのみサポートされ、IPv6 ではサポートされていません。これは、MX 3D MPCラインカードなど、Junos Trioチップセットをサポートするラインカードに適用されます。

ファイアウォールフィルターの名前とオプション

family family-name ステートメントの下には、ファイアウォールフィルターを作成したり、名前を付けるための filter filter-name ステートメントを含めることができます。フィルター名には、文字、数字、およびハイフン(-)を含めることができ、最大 64 文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。

[edit firewall family family-name filter filter-name]階層レベルでは、以下のステートメントはオプションです。

  • accounting-profile

  • instance-shared (MPCS(Modular Port Concentrators)を搭載したMXシリーズルーターのみ)

  • interface-specific

  • physical-interface-filter

ファイアウォールフィルターの用語

filter filter-name ステートメントの下には、フィルター用語を作成したり命名するための term term-name ステートメントを含めることができます。

  • ファイアウォールフィルターには、少なくとも 1 つの条件を設定する必要があります。

  • ファイアウォールフィルター内の各用語に固有の名前を指定する必要があります。条件名には、文字、数字、およびハイフン(-)を含めることができ、最大 64 文字まで使用可能です。名前にスペースを含めるには、名前全体を引用符(" ")で囲みます。

  • ファイアウォールフィルター設定内で用語を指定する順序は重要です。ファイアウォールフィルターの用語は、設定された順序で評価されます。既定では、新しい用語は常に既存のフィルターの最後に追加されます。insert 設定モード コマンドを使用して、ファイアウォール フィルターの条件の順序を変更することができます。

[edit firewall family family-name filter filter-name term term-name]階層レベルでは、filter filter-name ステートメントは、from または then ステートメントと同じ用語では無効です。この階層レベルに含まれる場合、 filter filter-name ステートメントはファイアウォールフィルターを入れ にするために使用されます。

ファイアウォールフィルター一致条件

ファイアウォールフィルターの一致条件は、フィルタリングされるトラフィックのタイプに固有です。

MPLSタグ付きのIPv4またはIPv6トラフィックを除き、 from ステートメントで条件の一致条件を指定します。MPLSタグ付きIPv4トラフィックの場合、 ip-version ipv4 ステートメントで条件のIPv4アドレス固有の一致条件を指定し、 protocol (tcp | udp) ステートメントで条件のIPv4ポート固有の一致条件を指定します。

MPLSタグ付きIPv6トラフィックの場合、 ip-version ipv6 ステートメントで条件のIPv6アドレス固有の一致条件を指定し、 protocol (tcp | udp) ステートメントで条件のIPv6ポート固有の一致条件を指定します。

表 1 ファイアウォール フィルターを設定できるトラフィックの種類について説明します。

表 1: プロトコルファミリー別のファイアウォールフィルター一致条件

トラフィック タイプ

一致条件を指定する階層レベル

プロトコル非依存

[edit firewall family any filter filter-name term term-name]

一致条件の完全なリストについては、 プロトコル非依存型トラフィックのファイアウォールフィルター一致条件を参照してください。

IPv4

[edit firewall family inet filter filter-name term term-name]

一致条件の完全なリストについては、 IPv4トラフィックのファイアウォールフィルター一致条件を参照してください。

IPv6

[edit firewall family inet6 filter filter-name term term-name]

一致条件の完全なリストについては、 IPv6トラフィックのファイアウォールフィルター一致条件を参照してください。

MPLS

[edit firewall family mpls filter filter-name term term-name]

一致条件の完全なリストについては、 MPLS トラフィックのファイアウォールフィルター一致条件を参照してください

MPLS フローの IPv4 アドレス

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

一致条件の完全なリストについては、 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルター一致条件を参照してください。

MPLS フローの IPv4 ポート

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

一致条件の完全なリストについては、 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルター一致条件を参照してください。

MPLS フローの IPv6 アドレス

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

一致条件の完全なリストについては、 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルター一致条件を参照してください。

MPLS フローの IPv6 ポート

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

一致条件の完全なリストについては、 MPLS タグ付き IPv4 または IPv6 トラフィックのファイアウォールフィルター一致条件を参照してください。

VPLS

[edit firewall family vpls filter filter-name term term-name]

一致条件の完全なリストについては、 VPLSトラフィックのファイアウォールフィルター一致条件を参照してください

レイヤー 2 CCC

[edit firewall family ccc filter filter-name term term-name]

一致条件の完全なリストについては、 レイヤー2 CCCトラフィックのファイアウォールフィルター一致条件を参照してください。

レイヤー 2 ブリッジング

(MXシリーズルーターおよびEXシリーズスイッチのみ)

[edit firewall family bridge filter filter-name term term-name]

[edit firewall family ethernet-switching filter filter-name term term-name] (EXシリーズスイッチのみ)

一致条件の完全なリストについては、 レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件を参照してください。

一致条件( addressdestination-address、または source-address 一致条件)で IPv6 アドレスを指定する場合は、RFC 4291、 IP バージョン 6 アドレッシング・アーキテクチャーで説明されているテキスト表現の構文  を使用してください。IPv6 アドレスの詳細については、「 IPv6 の概要 」および 「サポートされている IPv6 標準」を参照してください。

ファイアウォールフィルターアクション

ファイアウォールフィルター条件の then ステートメントの下で、条件に一致するパケットに対して実行するアクションを指定できます。

表 2 は、ファイアウォールフィルターの条件で指定できるアクションの種類をまとめたものです。

表 2: ファイアウォールフィルターアクションのカテゴリー

アクションの種類

説明

コメント

終了

特定のパケットに対するファイアウォール フィルターのすべての評価を停止します。ルーター(またはスイッチ)は指定されたアクションを実行し、パケットの検査に追加の用語は使用されません。

ファイアウォールフィルターの条件に指定できる 終了アクション は1つだけです。フィルター条件内で複数の 終了アクション を指定しようとすると、最新の 終了アクション が既存の 終了アクションに置き換わります。ただし、1 つの用語に 1 つ以上の 非終了アクション を指定して、1 つの終了アクションを指定することができます。たとえば、用語内では、countsyslogaccept を指定できます。終了アクションを含む用語の数に関係なく、システムが用語内の終了アクションを処理すると、ファイアウォールフィルター全体の処理が停止します。

ファイアウォールフィルターの終了アクションをご覧ください。

非終端

パケットに対して他の機能(カウンターのインクリメント、パケットヘッダーに関する情報のロギング、パケットデータのサンプリング、システムログ機能を使用したリモートホストへの情報の送信など)を実行しますが、追加の用語はパケットの検査に使用されます。

すべての非終了アクションには、暗黙的な accept アクションが含まれます。この受け入れアクションは、同じ条件で他の終了アクションが設定されていない場合に実行されます。

ファイアウォールフィルター非終了アクションを参照してください。

フロー制御

標準のファイアウォールフィルターの場合のみ、 next term アクションはルーター(またはスイッチ)にパケットに対して設定されたアクションを実行するように指示し、フィルターを終了するのではなく、フィルター内の次の条件を使用してパケットを評価します。next term アクションが含まれている場合、一致するパケットがファイアウォール フィルターの次の条件に対して評価されます。それ以外の場合、一致するパケットはファイアウォールフィルター内の後続の条件に対して評価されません。

たとえば、非終了アクション countで用語を設定すると、用語のアクションが暗黙的な discard から暗黙的な acceptに変更されます。next termアクションにより、ファイアウォールフィルターの評価が継続されます。

同じフィルター条件内で、next term  アクション と終了アクションを 設定 することはでき ません。ただし、同じフィルター条件内の別の非終了アクションで次の用語アクションを設定できます。

標準 のファイアウォールフィルター設定ごとに、 最大 1024のnext term  アクション がサポートされています。この制限を超える標準ファイアウォールフィルターを設定した場合、候補の設定はコミットエラーになります。

注:

Junos OS Evolved では、 はアクションの最終項として表示することはnext termできません。設定した一致条件なしで next term がアクションとして指定されるフィルター項はサポートされていません。