アドレスフィールドに基づくファイアウォールフィルター一致条件
パケットアドレスフィールド(IPv4送信元と宛先アドレス、IPv6送信元と宛先アドレス、またはメディアアクセス制御(MAC)送信元と宛先アドレス)を、指定したアドレスまたはプレフィックス値に対して評価する ファイアウォールフィルター 一致条件を設定できます。
アドレスフィールドに基づくファイアウォールフィルター一致条件の「0/0 except」アドレスの暗黙一致
アドレスまたはアドレスプレフィックスのセットに基づくすべてのファイアウォールフィルター一致条件は、アドレス (IPv4またはVPLSトラフィックの場合)または (IPv6トラフィックの場合)の暗黙の一致に関連付けられます。0.0.0.0/0 except0:0:0:0:0:0:0:0/0 except その結果、指定されたアドレスフィールドが指定されたアドレスまたはアドレスプレフィックスのいずれとも一致しないパケットは、条件全体と一致しません。
アドレス フィールドとサブネット マスクまたはプレフィックスの照合
単一の一致条件を指定して、指定したアドレスプレフィックス内にある送信元アドレスまたは宛先アドレスを照合できます。
IPv4サブネットマスク表記
IPv4 アドレスの場合、プレフィックス長ではなくサブネット マスク値を指定できます。たとえば、以下のように表示されます。
[edit firewall family inet filter filter_on_dst_addr term term3 from] user@host# set address 10.0.0.10/255.0.0.255
プレフィックス表記
アドレス プレフィックスを指定するには、表記 / を使用します。prefixprefix-length 次の例では、宛先アドレスがプレフィックス と一致する場合、一致が発生します。10.0.0.0/8
[edit firewall family inet filter filter_on_dst_addr term term1 from] user@host# set destination-address 10.0.0.0/8
IPv4アドレスのデフォルトのプレフィックス長
IPv4 アドレスに指定 しない場合、プレフィックス長のデフォルトは になります。/prefix-length/32 以下の例は、デフォルトのプレフィックス値を示しています。
[edit firewall family inet filter filter_on_dst_addr term term2 from]
user@host# set destination-address 10
user@host# show
destination-address {
10.0.0.0/32;
}
IPv6アドレスのデフォルトのプレフィックス長
IPv6 アドレスに指定 しない場合、プレフィックス長のデフォルトは になります。/prefix-length/128 以下の例は、デフォルトのプレフィックス値を示しています。
[edit firewall family inet6 filter filter_on_dst_addr term term1 from]
user@host# set destination-address ::10
user@host# show
destination-address {
::10/128;
}
MACアドレスのデフォルトのプレフィックス長
VPLS、レイヤー2 CCC、またはレイヤー2ブリッジングパケットのMAC(メディアアクセス制御)アドレスに指定 しない場合、プレフィックス長はデフォルトで になります。/prefix-length/48 以下の例は、デフォルトのプレフィックス値を示しています。
[edit firewall family vpls filter filter_on_dst_mac_addr term term1 from]
user@host# set destination-mac-address 01:00:0c:cc:cc:cd
user@host# show
destination-address {
01:00:0c:cc:cc:cd/48;
}
住所フィールドと除外値との照合
アドレスフィールド一致条件では、 キーワードを含める ことで、指定したアドレスまたはプレフィックスに一致しないアドレスフィールドに対して一致が発生するように指定できます。except
- IPv4またはIPv6トラフィックでのIPアドレスの除外
- VPLSまたはレイヤー2ブリッジングトラフィックのIPアドレスを除外する
- VPLSまたはレイヤー2ブリッジングトラフィックのMACアドレスを除外する
- すべてのアドレスを除外するには、「0/0」アドレスに明示的に一致する必要があります
IPv4またはIPv6トラフィックでのIPアドレスの除外
以下の IPv4 および IPv6 一致条件では、 キーワードを含めて 、指定された IP アドレスまたはプレフィックスに一致しない IP アドレス フィールドに対して一致が発生するように指定できます。except
address address except- 送信元 IP アドレスまたは宛先 IP アドレスのいずれかが、指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。
source-address address except- 送信元 IP アドレスが指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。
destination-address address except- 宛先 IP アドレスが指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。
次の例では、 に該当するアドレスを除き、 プレフィックスに該当するすべての IPv4 宛先アドレスが一致します。172.0.0.0/8172.16.0.0/16 他のすべてのアドレスは、暗黙的にこの条件に一致しません。
[edit firewall family inet filter filter_on_dst_addr term term1 from]
user@host# set destination-address 172.16.0.0/16 except
user@host# set destination-address 172.0.0.0/8
user@host# show
destination-address {
172.16.0.0/16 except;
172.0.0.0/8;
}
次の例では、 プレフィックス 内にない IPv4 宛先アドレスの一致が発生します。10.1.1.0/24
[edit firewall family inet filter filter_on_dst_addr term term24 from]
user@host# set destination-address 0.0.0.0/0
user@host# set destination-address 10.1.1.0/24 except
user@host# show
destination-address {
0.0.0.0/0;
10.1.1.0/24 except;
}
VPLSまたはレイヤー2ブリッジングトラフィックのIPアドレスを除外する
MX シリーズ ルーター上の以下の VPLS およびレイヤー 2 ブリッジング一致条件でのみ、 キーワードを含める ことで、指定された IP アドレスまたはプレフィックスに一致しない IP アドレス フィールドに対して一致が発生するように指定できます。except
ip-address address except- 送信元 IP アドレスまたは宛先 IP アドレスのいずれかが、指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。
source-ip-address address except- 送信元 IP アドレスが指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。
destination-ip-address address except- 宛先 IP アドレスが指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。
以下の MX シリーズ ルーターで VPLS トラフィックをフィルタリングする例では、送信元 IP アドレスが の 例外範囲内にあり、宛先 IP アドレスが一致する 場合、一致が発生します。55.0.1.0/255.0.255.05172.16.5.0/8
[edit]
firewall {
family vpls {
filter fvpls {
term 1 {
from {
ip-address {
55.0.0.0/8;
55.0.1.0/255.0.255.0 except;
}
}
then {
count from-55/8;
discard;
}
}
}
}
}
VPLSまたはレイヤー2ブリッジングトラフィックのMACアドレスを除外する
以下の VPLS またはレイヤー 2 ブリッジング トラフィック一致条件では、 キーワードを含めて 、指定された MAC アドレスまたはプレフィックスに一致しない MAC アドレス フィールドに対して一致が発生するように指定できます。except
source-mac-address address except- 送信元 MAC アドレスが指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。
destination-mac-address address except- 宛先MACアドレスのいずれかが指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。
すべてのアドレスを除外するには、「0/0」アドレスに明示的に一致する必要があります
1 つ以上のアドレス例外 一致条件(キーワードを使用する アドレス一致条件)で構成されるファイアウォール フィルター一致条件を指定し、 一致可能な アドレス一致条件を指定しない場合、設定されたどのプレフィックスにも一致しないパケットは全体的な一致操作に失敗します。except プレフィックスリストにないアドレスに一致するように、アドレス例外一致条件のファイアウォールフィルター条件を設定するには、条件が一致するアドレスを含むように、 の 明示的な一致を含めます。0/0
以下のIPv4トラフィックのファイアウォールフィルターの例では、条件は一致するトラフィックを破棄できず、 運用モードコマンドの出力からカウンターがありません。from-trusted-addressesINTRUDERS-COUNTshow firewall
[edit]
user@host# show policy-options
prefix-list TRUSTED-ADDRESSES {
10.2.1.0/24;
192.168.122.0/24;
}
[edit firewall family inet filter protect-RE]
user@host# show
term from-trusted-addresses {
from {
source-prefix-list {
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
then {
count INTRUDERS-COUNT;
discard;
}
}
term other-icmp {
from {
protocol icmp;
}
then {
count VALID-COUNT;
accept;
}
}
term all {
then accept;
}
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 Filter: __default_bpdu_filter__
アドレス例外一致条件のフィルター項目がプレフィックスリストにないアドレスと一致するようにするには、一致条件のセットに の 明示的な一致を含めます。0/0
[edit firewall family inet filter protect-RE]
user@host# show term from-trusted-addresses
from {
source-prefix-list {
0.0.0.0/0;
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
一致条件に送信元プレフィックスアドレスを追加する と、条件は 一致するトラフィックを破棄し、INTRUDERS-COUNTカウンターが 運用モードコマンドの出力 に表示されます。0.0.0.0/0from-trusted-addressesshow firewall
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 INTRUDERS-COUNT 420 5 Filter: __default_bpdu_filter__
いずれかの IP アドレス フィールドを 1 つの値に一致させる
MX シリーズ ルーターの IPv4 および IPv6 トラフィック、および VPLS とレイヤー 2 ブリッジング トラフィックの場合のみ、単一の一致条件を使用して、送信元または宛先 IP アドレス フィールドのいずれかに単一のアドレスまたはプレフィックス値を一致させることができます。
IPv4またはIPv6トラフィックのIPアドレスフィールドのいずれかに一致
IPv4 または IPv6 トラフィックの場合、単一の一致条件を使用して、送信元または宛先 IP アドレス フィールドの一致と同じアドレスまたはプレフィックス値を指定できます。および 一致条件に同じアドレスを指定する個別のフィルター項目を作成する代わりに、 一致条件のみを使用します。source-addressdestination-addressaddress 送信元 IP アドレスまたは宛先 IP アドレス のいずれか が、指定されたアドレス または プレフィックスと一致する場合、一致が発生します。
キーワードを 一致条件とともに使用した場合、例外が適用される前に送信元 IP アドレスと宛先 IP アドレスの両方が指定された値に一致すると、一致が発生します。exceptaddress
または 一致条件のいずれかを指定するファイアウォールフィルター条件では、一致条件も指定できません。source-addressdestination-addressaddress
VPLSのIPアドレスフィールドまたはレイヤー2ブリッジングトラフィックのいずれかに一致
MX シリーズ ルーター上の VPLS またはレイヤー 2 ブリッジング トラフィックの場合のみ、単一の一致条件を使用して、送信元または宛先 IP アドレス フィールドの一致と同じアドレスまたはプレフィックス値を指定できます。および 一致条件に同じアドレスを指定する個別のフィルター項目を作成する代わりに、 一致条件のみを使用します。source-ip-addressdestination-ip-addressip-address 送信元 IP アドレスまたは宛先 IP アドレス のいずれか が、指定されたアドレス または プレフィックスと一致する場合、一致が発生します。
キーワードを 一致条件とともに使用した場合、例外が適用される前に送信元 IP アドレスと宛先 IP アドレスの両方が指定された値に一致すると、一致が発生します。exceptip-address
または 一致条件のいずれかを指定するファイアウォールフィルター条件では、一致条件も指定できません。source-ip-addressdestination-ip-addressip-address
住所フィールドと非連続プレフィックスの照合
IPv4トラフィックの場合のみ、IP送信元または宛先アドレスフィールドを指定された任意のプレフィックスに一致させる単一の一致条件を指定します。プレフィックスは連続している必要はありません。つまり、 または 一致条件下の プレフィックスは、互いに隣接または 隣接している必要はありません。source-addressdestination-address
次の例では、宛先アドレスがプレフィックスまたはプレフィックスのいずれかに一致する場合、一致が発生します。10.0.0.0/8192.168.0.0/32
[edit firewall family inet filter filter_on_dst_addr term term5 from]
user@host# set destination-address 10.0.0.0/8
user@host# set destination-address 192.168.0.0/32
user@host# show
destination-address {
destination-address 10.0.0.0/8;
destination-address 192.168.0.0/32;
}
一致条件内でプレフィックスを指定する順序は重要ではありません。パケットは、一致条件のすべてのプレフィックスに対して評価され、一致が発生するかどうかを判断します。プレフィックスが重複する場合は、最長一致ルールを使用して一致が発生するかどうかが判断されます。非連続プレフィックスの一致条件には、暗黙的な ステートメントが含まれています。これは、一致条件に含まれるどのプレフィックスにも一致しないプレフィックスは明示的に一致しないとみなされることを意味します。0/0 except
プレフィックスは順序に依存せず、最長一致ルールを使用するため、同じタイプである限り(指定した かどうかにかかわらず)、長いプレフィックスには短いプレフィックスが含まれます。except これは、長いプレフィックスに一致するものはすべて短いプレフィックスにも一致するためです。
次の例を考えてみます。
[edit firewall family inet filter filter_on_src_addr term term1 from]
source-address {
172.16.0.0/10;
172.16.2.0/24 except;
192.168.1.0;
192.168.1.192/26 except;
192.168.1.254;
172.16.3.0/24; # ignored
10.2.2.2 except; # ignored
}
一致条件内では、2 つのアドレスは無視されます。source-address この値は、同じ型であるアドレス に該当するため、無視されます。172.16.3.0/16172.16.0.0/10 この値は暗黙的な一致値に含まれるため、無視されます。10.2.2.2 except0.0.0.0/0 except
次の送信元 IP アドレスがこのファイアウォール フィルターによって評価されるとします。
送信元 IP アドレス —このアドレス はプレフィックスと一致する ため、 ステートメントの アクションが実行されます。172.16.1.2172.16.0.0/10then
送信元 IP アドレス —このアドレス はプレフィックスと一致します 。172.16.2.2172.16.2.0/24 このプレフィックスは否定される (つまり、キーワードを含む ) ため、明示的な 不一致 が発生します。except フィルター内の次の項が評価されます(存在する場合)。これ以降条件がない場合、パケットは破棄されます。
送信元 IP アドレス —このアドレス は、条件に含まれる どのプレフィックスにも一致しません。10.1.2.3source-address 代わりに、 一致条件下で設定されたプレフィックスリストの末尾にある暗黙的に一致するため、不一致と見なされます。0.0.0.0/0 exceptsource-address
この ステートメントは、どちらも同じ型であるアドレス に該当するため無視されます。172.16.3.0/24172.16.0.0/10
このステートメントは、 一致条件下で設定されたプレフィックスリストの末尾にある暗黙のステートメントに含まれているため、無視されます。10.2.2.2 except0.0.0.0/0 exceptsource-address
ファイアウォールフィルターの項に一致条件が含まれ 、後続の項に同じアドレスの一致条件が含まれる 場合、パケットは、介在する条件によって評価される前に、後者の項で処理される可能性があります。from address addressfrom source-address address その結果、中間の条件によって拒否されるべきパケットが代わりに受け入れられるか、受け入れられるべきパケットが代わりに拒否される可能性があります。
これを防ぐには、次の操作を行うことをお勧めします。一致条件を含む すべてのファイアウォールフィルター条件について、その用語を2つの個別の条件に置き換えます。from address address 1 つは一致条件を含み 、もう 1 つは一致条件を含みます 。from source-address addressfrom destination-address address
アドレスフィールドとプレフィックスリストの照合
IPv4またはIPv6アドレスプレフィックスのリストを定義して、ルーティングポリシーステートメント、またはパケットアドレスフィールドを評価するステートレスファイアウォールフィルター一致条件で使用できます。
IPv4またはIPv6アドレスプレフィックスのリストを定義するには、ステート メントを含めます。prefix-list prefix-list
prefix-list name {
ip-addresses;
apply-path path;
}
以下の階層レベルに ステートメントを含めることができます。
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
プレフィックスリストを定義した後、IPv4またはIPv6アドレスプレフィックスに基づいてファイアウォールフィルターの一致条件を指定する際に、そのプレフィックスリストを使用できます。
[edit firewall family family-name filter filter-name term term-name]
from {
source-prefix-list {
prefix-lists;
}
destination-prefix-list {
prefix-lists;
}
}