ビットフィールド値に基づくファイアウォールフィルター一致条件

ビットフィールド値の一致条件

表 1 は、パケット内の特定のビットフィールドが設定されているかどうかに基づくファイアウォールフィルター一致条件を一覧表示します。2 番目と 3 番目の列には、一致条件がサポートされているトラフィックのタイプがリストされています。

表 1: ファイアウォールフィルターのバイナリおよびビットフィールド一致条件
ビットフィールド一致条件	一致値	標準ステートレスファイアウォールフィルターのプロトコルファミリー	サービスフィルターのプロトコルファミリー
fragment-flags `flags`	IP ヘッダーの 3 ビット IP フラグメント化フラグフィールドの 16 進数値またはテキストエイリアス。	family inet	family inet
fragment-offset `value`	IP ヘッダーの 13 ビットフラグメントオフセットフィールドの 16 進数値またはテキストエイリアス。	family inet	family inet
tcp-flags `value`^†	TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの16進数値またはテキストエイリアス。	family inetfamily inet6family vplsfamily bridge	family inetfamily inet6
†Junos OS は、IPv4 トラフィックの TCP フラグを照合するときに、最初のフラグメントビットを自動的にチェックしません。IPv4トラフィックについてのみ最初のフラグメントビットを確認するには、一致条件を使用します。first-fragment

一般的なビットフィールド値または組み合わせの一致条件

一般的に使用される特定の値またはパケット内のビットフィールドの組み合わせが設定されているかどうかに基づくファイアウォールフィルター一致条件について説明します。表 2

テキスト同義語を使用して、一般的なビットフィールド一致を指定できます。前の例では、同じ一致条件としてを指定できます。tcp-initial

注:

一部の数値範囲およびビットフィールド一致条件では、テキスト同義語を指定できます。同義語の完全なリストについては:

J-Webインターフェイスを使用している場合は、適切なリストからシノニムを選択します。
CLI を使用している場合は、ステートメントの後に疑問符()を入力します。?from

表 2: 一般的な組み合わせに対するビットフィールド一致条件
一致条件	説明	標準ステートレスファイアウォールフィルターのプロトコルファミリー	サービスフィルターのプロトコルファミリー
first-fragment	フラグメントパケットの最初のフラグメントを示すビットフィールド一致条件のテキストエイリアス。fragment-offset 0	family inet	family inet
is-fragment	フラグメントパケットの追跡フラグメントを示すビットフィールド一致条件のテキストエイリアス。fragment-offset 0 except	family inet	family inet
tcp-established	ビットフィールド一致条件のエイリアスこれは、確立されたTCPセッションであるが、TCP接続の最初のパケットではないことを示しています。tcp-flags "(ack \| rst)"	family inetfamily inet6	—
tcp-initial	ビットフィールド一致条件のエイリアスこれは、TCP接続の最初のパケットであるが、確立されたTCPセッションではないことを示しています。tcp-flags "(!ack & syn)"	family inetfamily inet6	—

ビットフィールド値の論理演算子

に、ステートレスファイアウォールフィルター一致条件を指定する際に単一ビットフィールド値に適用できる論理演算子を示します。表 3演算子は、優先順位の高いものから低いものの順にリストされています。操作は左結合であり、操作は左から右に処理されます。

表 3: ビットフィールド論理演算子
優先順位	ビットフィールド論理演算子	説明
1	(`complex-match-condition`)	グループ化 - 括弧の外側の演算子が適用される前に、複合一致条件が評価されます。
2	! `match-condition`	否定 - 一致条件が false の場合、一致が発生します。
3	`match-condition-1` & `match-condition-2`または`match-condition-1` + `match-condition-2`	論理AND:両方の一致条件が真の場合、一致が発生します。
4	`match-condition-1` \| `match-condition-2`または`match-condition-1` , `match-condition-2`	論理論理和 - いずれかの一致条件が真の場合、一致が発生します。

単一のビットフィールド値またはテキストエイリアスでのマッチング

およびビットマッチ条件では、パケットフィールドの特定のビットが設定されているかどうかに基づいて、ファイアウォールフィルターの一致条件を指定できます。fragment-flagstcp-flags

1 ビットを指定する数値 - 1 ビットが設定されている数値を使用して、1 ビットフィールド一致条件を指定できます。一致条件に応じて、10進値、2進値、または16進値を指定できます。2 進数値を指定するには、番号に接頭部を付けて指定します。b 16 進数値を指定するには、プレフィックスを付けて数値を指定します。0x

次の例では、TCP フラグフィールドのビットが設定されている場合、一致が発生します。RST
1 ビットを指定するテキストエイリアス - 通常、二重引用符 (" ") で囲まれたテキストエイリアスを使用して、単一ビットフィールド一致条件を指定します。

次の例では、TCP フラグフィールドのビットが設定されている場合、一致が発生します。RST

複数のビットフィールド値またはテキストエイリアスでのマッチング

パケットフィールドの特定のビットセットが設定されているかどうかに基づいて、ファイアウォールフィルターの一致条件を指定できます。

複数のセットビットを指定する数値 - バイナリ表現に複数のセットビットが含まれる数値を指定する場合、値はセットビットの論理 AND として扱われます。

次の例では、2 つの一致条件は同じです。ビットのいずれかが設定されている場合、または設定されていない場合、一致が発生します。0x010x02
共通のビットフィールド一致を指定するテキストエイリアス - テキストエイリアスを使用して、一般的なビットフィールド一致を指定できます。これらの一致を 1 つのキーワードとして指定します。

次の例では、のエイリアスである条件は、接続の最初のパケット以外の TCP パケットで一致が発生することを指定します。tcp-established“(ack | rst)”

否定ビットフィールド値でのマッチング

一致を無効にするには、値の前に感嘆符を付けます。

次の例では、TCP フラグフィールドのビットが設定されている場合、一致が発生します。RST

2 つのビットフィールド値の論理 OR でのマッチング

( または ) を使用して、ビットフィールドが指定された 2 つのビットフィールド値のいずれかと一致する場合に一致が発生するように指定できます。|,

次の例では、パケットが TCP セッションの最初のパケットでない場合、一致が発生します。

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。TCPセッションの最初のパケットではないパケットでは、SYNフラグが設定されていないか、ACKフラグが設定されています。

2 つのビットフィールド値の論理 AND でのマッチング

( または ) を使用して、ビットフィールドが指定された 2 つのビットフィールド値の両方と一致する場合に一致が発生するように指定できます。&+

次の例では、パケットが TCP セッションの最初のパケットである場合、一致が発生します。

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。TCPセッションの最初のパケットであるパケットでは、SYNフラグが設定され、ACKフラグは設定されません。

ビットフィールド一致条件のグループ化

を使用して、括弧の外側の演算子が適用される前に、括弧内の複合一致条件が評価されるように指定できます。

次の例では、パケットが TCP リセットであるか、パケットが TCP セッションの最初のパケットでない場合、一致が発生します。

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。TCPセッションの最初のパケットではないパケットでは、SYNフラグは設定されず、ACKフィールドが設定されます。

このページで