Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アドレスフィールドに基づいたファイアウォールフィルタマッチング条件

ファイアウォール フィルターの一致条件を設定して、指定したアドレスまたはプレフィックス値に対して、パケット のアドレス フィールド(IPv4 の送信元と宛先のアドレス、IPv6 の送信元と宛先のアドレス、または メディア アクセス制御(MAC)の送信元と宛先のアドレスなど)を評価します。

アドレス フィールドに基づいたファイアウォール フィルターの一致条件の「0/0 を除く」アドレスに暗黙的に一致

一連のアドレスまたはアドレス プレフィックスに基づくすべてのファイアウォール フィルターの一致条件は、アドレス(IPv4 または VPLS トラフィックの場合)または 0.0.0.0/0 except (IPv6 トラフィックの場合)の暗黙的な一致に関連付けられる 0:0:0:0:0:0:0:0/0 except 。その結果、指定されたアドレス フィールドが指定されたアドレスまたはアドレス プレフィックスの一致しないパケットは、用語全体と一致しません。

アドレスフィールドをサブネットマスクまたはプレフィックスに一致させる

単一の検索条件を指定して、送信元アドレスまたは宛先アドレスが指定したアドレスプレフィックス内にあることを照合できます。

IPv4 サブネットマスク表記

IPv4 アドレスの場合は、プレフィックス長ではなく、サブネットマスク値を指定できます。たとえば、以下のように記述します。

プレフィックス表記

アドレス プレフィックスを指定するには、 / という表記を prefix 使用 prefix-length します。次の例では、宛先アドレスがプレフィックスと一致する場合に一致が起こります 10.0.0.0/8

IPv4 アドレスのデフォルトプレフィックス長

IPv4 アドレスを指定しない場合、プレフィックス長は /prefix-length デフォルト /32 で . 次の例は、デフォルトのプリフィックス値を示しています。

IPv6 アドレスのデフォルトプレフィックス長

IPv6 アドレスを指定しない場合、プレフィックス長は /prefix-length デフォルト /128 で . 次の例は、デフォルトのプリフィックス値を示しています。

MAC アドレスのデフォルトプレフィックス長

VPLS、レイヤー 2 CCC、またはレイヤー 2 ブリッジング パケットの メディア アクセス制御(MAC)アドレスを指定しない場合、プレフィックス長は /prefix-length デフォルトで /48 . 次の例は、デフォルトのプリフィックス値を示しています。

アドレスフィールドと除外された値の一致

アドレス フィールドの一致条件については、指定したアドレスまたはプレフィックスと一致しないアドレス フィールドで一致が起こらなを指定するキーワードを except 含めできます。

IPv4 または IPv6 トラフィックでの IP アドレスの除外

以下の IPv4 および IPv6 の一致条件に対して、指定された IP アドレスまたはプレフィックスと一致しない IP アドレス フィールドで一致が発生すると指定するキーワードを except 含めできます。

  • address address except—送信元 IP アドレスまたは宛先 IP アドレスが、指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。

  • source-address address except—送信元 IP アドレスが指定されたアドレスまたはプレフィックスと一致しない場合に一致します。

  • destination-address address except—宛先 IP アドレスが指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。

次の例では、プレフィックスに該当する IPv4 宛先アドレス(に該当するアドレスを除く)に 172.0.0.0/8 対して一致が起こります 172.16.0.0/16 。他のすべてのアドレスは暗黙的にこの条件に一致しません。

次の例では、プレフィックスに含されていないすべてのIPv4宛先アドレスで一致が起こります 10.1.1.0/24

VPLS またはレイヤー2ブリッジングトラフィックでの IP アドレスの除外

MX シリーズ ルーターでのみ、以下の VPLS およびレイヤー 2 ブリッジングの一致条件について、指定された IP アドレスまたはプレフィックスと一致しない IP アドレス フィールドに一致が発生すると指定するキーワードを except 指定できます。

  • ip-address address except—送信元 IP アドレスまたは宛先 IP アドレスが、指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。

  • source-ip-address address except—送信元 IP アドレスが指定されたアドレスまたはプレフィックスと一致しない場合に一致します。

  • destination-ip-address address except—宛先 IP アドレスが指定されたアドレスまたはプレフィックスと一致しない場合、一致が発生します。

MX シリーズルーター上でVPLSトラフィックをフィルタリングする次の例では、送信元IPアドレスが例外範囲に該当し、宛先IPアドレスが一致した場合に一致が 55.0.1.0/255.0.255.0 起こります 5172.16.5.0/8

VPLS またはレイヤー2ブリッジングトラフィックでの MAC アドレスの除外

以下の VPLS またはレイヤー 2 ブリッジング トラフィックの一致条件では、指定された MAC アドレス フィールドまたはプレフィックスと一致しない MAC アドレス MAC アドレス フィールドに一致が発生すると指定するキーワードを含 except めできます。

  • source-mac-address address except—送信元のアドレスまたはプレフィックスとMAC アドレスが一致しない場合、一致が起こります。

  • destination-mac-address address except—宛先アドレスまたはプレフィックスとMAC アドレスが一致しない場合、一致が発生します。

すべてのアドレスを除外するには、「0/0」アドレスで明示的に一致する必要があります

1 つ以上のアドレス例外の一致条件(キーワードを使用するアドレス一致条件)で構成されているファイアウォール フィルターの一致条件を指定したが、一致するアドレス一致条件がない場合、設定済みのプレフィックスの一致しないパケットは、全体の一致操作に失敗します。 except アドレス例外の一致条件のファイアウォール フィルタ条件を設定して、プレフィックス リストに含されていないアドレスと一致する場合は、条件に一致するアドレスを含め、明示的に一致する条件を含 0/0 める必要があります。

次の例の IPv4 トラフィックファイアウォール フィルタでは、条件は一致するトラフィックを破棄しません。また、動作モード コマンドの出力からカウンターが from-trusted-addressesINTRUDERS-COUNTshow firewall 欠落しています

アドレス例外一致条件のフィルタ条件を、プレフィックス リストに含されていないすべてのアドレスと一致するには、一連の一致条件に明示的に一致を 0/0 含める:

送信元プレフィックス アドレスが照合条件に追加された場合、条件は一致するトラフィックを破棄し、侵入者カウント カウンターは動作モード コマンドの出力に 0.0.0.0/0from-trusted-addressesshow firewall 表示されます。

いずれかの IP アドレスフィールドと単一の値を対応させる

IPv4 および IPv6 トラフィック、および MX シリーズ ルーター上の VPLS およびレイヤー 2 ブリッジング トラフィックの場合のみ、単一の一致条件を使用して、単一のアドレスまたはプレフィックス値を送信元または宛先の IP アドレス フィールドに一致できます。

IPv4 または IPv6 トラフィックのいずれかの IP アドレスフィールドに対応する

IPv4 または IPv6 トラフィックの場合、単一の照合条件を使用して、送信元または宛先の IP アドレスフィールドのいずれかと同じアドレスまたはプレフィックスの値を指定することができます。条件と一致条件に同じアドレスを指定するフィルタ条件を個別に作成する代わりに、条件 source-addressdestination-address の一致のみを address 使用します。送信元 IP アドレスまたは宛先 ip アドレスが、指定したアドレスまたはプレフィックスと一致する場合に、一致が発生します。

キーワードと一致条件を使用すると、送信元 IP アドレスと宛先 IP アドレスの両方が、例外が適用される前に指定された値と一致すると、一致 exceptaddress が起こります。

ファイアウォール フィルタ条件で、 または 一致条件のいずれかを指定する場合は、 source-addressdestination-address 一致条件も address 指定できません。

VPLS またはレイヤー2ブリッジングトラフィックのいずれかの IP アドレスフィールドに合わせる

MX シリーズルーター上のVPLSまたはレイヤー2ブリッジング トラフィックでは、単一の一致条件を使用して、送信元または宛先のIPアドレス フィールドの一致と同じアドレスまたはプレフィックス値を指定できます。条件と一致条件に同じアドレスを指定するフィルタ条件を個別に作成する代わりに、条件 source-ip-addressdestination-ip-address の一致のみを ip-address 使用します。送信元 IP アドレスまたは宛先 ip アドレスが、指定したアドレスまたはプレフィックスと一致する場合に、一致が発生します。

キーワードと一致条件を使用すると、送信元 IP アドレスと宛先 IP アドレスの両方が、例外が適用される前に指定された値と一致すると、一致 exceptip-address が起こります。

ファイアウォール フィルタ条件で、 または 一致条件のいずれかを指定する場合は、 source-ip-addressdestination-ip-address 一致条件も ip-address 指定できません。

アドレスフィールドを非連続プリフィックスに対応させる

IPv4 トラフィックのみの場合、IP 送信元または宛先アドレスフィールドを指定した接頭辞に一致させるには、単一の対戦条件を指定してください。プレフィックスは連続している必要はありません。つまり、 または一致条件の下のプレフィックスは、隣接している必要はないし、隣接 source-addressdestination-address している必要はないです。

次の例では、宛先アドレスがプレフィックスまたはプレフィックスのいずれかと一致 10.0.0.0/8 した場合に一致が起 192.168.0.0/32 こります。

一致条件内でプレフィックスを指定した順序は重要ではありません。パケットは、対戦条件のすべてのプレフィックスに対して評価され、一致が発生したかどうかを判断します。プレフィックスが重複している場合は、一致が発生したかどうかを判断するために、最長一致ルールが使用されます。無条件プレフィックスの一致条件には暗黙的なステートメントが含まれています。つまり、一致条件に含まれるプレフィックスと一致しないプレフィックスは、明示的に一致しない 0/0 except と見なされます。

プレフィックスは順序に依存しないし、最長一致ルールを使用します。そのため、長いプレフィックスは、指定したタイプが同じ限り短いルールが短くなります except 。これは、より長いプレフィックスに一致するものが短い方に一致することがあるからです。

次の例について考えてみます。

一致条件 source-address 内では、2 つのアドレスは無視されます。この 172.16.3.0/16 値は、同じタイプのアドレスに入 172.16.0.0/10 るため、無視されます。明示的 10.2.2.2 except な一致値によってサブスになっているため、この値は 0.0.0.0/0 except 無視されます。

以下の発信元 IP アドレスが、このファイアウォールフィルターによって評価されることを想定してみてください。

  • 送信元 IP アドレス —このアドレスはプレフィックスと一致し、ステートメント内の 172.16.1.2172.16.0.0/10 アクション then が実行されます。

  • 送信元 IP アドレス 172.16.2.2 — このアドレスはプレフィックスと一致 172.16.2.0/24 します。このプレフィックスは無効化(つまりキーワードを含む)ため except 、明示的に不 一致が 発生します。フィルターの次の用語がある場合は、評価されます。条件がこれ以上存在しない場合、パケットは破棄されます。

  • 送信元 IP アドレス 10.1.2.3 — このアドレスは、状態に含まれるどのプレフィックスにも一致 source-address しません。その代わり、一致条件で設定されたプレフィックスのリストの最後にある暗黙的な値と一致し、不一致と 0.0.0.0/0 exceptsource-address 見なされます。

    ステートメント 172.16.3.0/24 はアドレスに入るという理由で無視されます 172.16.0.0/10 。両方とも同じタイプです。

    ステートメントは、match 条件の下で設定されたプレフィックス リストの最後にある明示的なステートメントによって 10.2.2.2 except0.0.0.0/0 except 下に置き出されるため、 source-address 無視されます。

ベスト プラクティス:

ファイアウォール フィルタ条件に一致条件が含まれる場合、後続の条件に同じアドレスの一致条件が含まれる場合、パケットは、すべての相互条件によって評価される前に、後者によって処理される場合があります from address addressfrom source-address address 。その結果、その間に拒否されるパケットが受け入れられる場合があります。または、受け入れられるパケットが拒否される場合があります。

これが発生しないようにするには、以下の手順を実行することをお勧めします。一致条件を含むファイアウォール フィルタ条件ごとに、その条件を 2 つの個別 from address address の条件に置き換える: これは一致条件を含むもう1つの条件と、一致 from source-address address 条件を含む from destination-address address もう1つの要素です。

アドレスフィールドとプレフィックスリストの対応付け

ルーティング ポリシー ステートメントで使用するための IPv4 または IPv6 アドレス プレフィックスのリストを定義するか、パケット アドレス フィールドを評価するステートレス ファイアウォール フィルター一致条件を定義できます。

IPv4 または IPv6 アドレス プレフィックスのリストを定義するには、 ステートメントを含 prefix-list prefix-list める。

以下の階層レベルのステートメントを含めることができます。

  • [edit policy-options]

  • [edit logical-systems logical-system-name policy-options]

プレフィックスリストを定義したら、IPv4 または IPv6 アドレスプレフィックスに基づいて、ファイアウォールフィルタマッチング条件を指定するときに、その一覧を使用できます。