ファイアウォールフィルターの設定

スイッチにファイアウォールフィルターを設定して、レイヤー3(ルーティング)インターフェイスに出入りするトラフィックを制御することができます。ファイアウォールフィルターを使用するには、フィルターを設定してから、レイヤー3インターフェイスに適用する必要があります。

ファイアウォールフィルターの設定

ファイアウォールフィルターを設定するには：

ファミリーアドレスタイプ、フィルター名、条件名、および少なくとも1つの一致条件(例えば、特定の送信元アドレスを含むパケットでの一致)を設定します。
IPv4またはIPv6のファミリーアドレスタイプを指定します。inetinet6

フィルター名と用語名には、文字、数字、ハイフン(-)を含めることができ、最大 64 文字まで使用可能です。各フィルター名は一意である必要があります。フィルターには 1 つ以上の用語を含めることができ、各用語名はフィルター内で一意である必要があります。
追加の一致条件を設定します。たとえば、特定の送信元ポートを含むパケットに一致します。
1 つのfromステートメントで 1 つ以上の一致条件を指定できます。一致するためには、パケットが条件のすべての条件に一致する必要があります。ステートメントはオプションですが、用語に含まれる場合、空にすることはできません。from そのfromステートメントを省略すると、すべてのパケットが一致したと見なされます。
ファイアウォールフィルターを複数のインターフェイスに適用し、各インターフェイスに固有のカウンターを確認できるようにするには、オプションを設定します。interface-specific
各ファイアウォールフィルター条件で、パケットがその条件のすべての条件に一致する場合に実行するアクションを指定します。アクションとアクション修飾子を指定できます。
- フィルターアクションを指定するには、たとえば、フィルター条件の条件に一致するパケットを破棄するには、以下のようにします。
  用語ごとに指定できるアクション(、、、、または )は 1 つだけです。acceptdiscardrejectrouting-instancevlan
- アクション修飾子を指定するには、たとえば、転送クラスへのパケットをカウントして分類します。たとえば、以下のように表示されます。
thenステートメントを省略した場合、またはアクションを指定しない場合、fromステートメントのすべての条件に一致するパケットが受け入れられます。ただし、ステートメントでは常にアクションを明示的に設定する必要があります。then 含めることができるアクションステートメントは 1 つだけですが、アクション修飾子の任意の組み合わせを使用できます。アクションまたはアクション修飾子を有効にするには、fromステートメント内のすべての条件が一致する必要があります。

注:
暗黙の廃棄は、ループバックインターフェイスに適用されるファイアウォールフィルターにも適用できますlo0。

注:

一致条件、アクション、アクション修飾子の完全なリストについては、を参照してください。ファイアウォールフィルターの一致条件とアクション(EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5700)OCX1100スイッチでは、IPv4およびIPv6インターフェイスに有効な一致条件のみを使用できることに注意してください。

ファイアウォールフィルターをレイヤー3（ルーティング）インターフェイスに適用

ファイアウォールフィルターをレイヤー3インターフェイスに適用するには:

フィルターが適用されるインターフェイスの設定におけるファイアウォールフィルターの意味のある説明を提供します。
ファイアウォールフィルターを適用して、レイヤー3インターフェイスに出入りするパケットをフィルタリングすることができます。
- ファイアウォールフィルターを適用して、レイヤー3インターフェイスに入るパケットをフィルタリングするには:
- ファイアウォールフィルターを適用して、レイヤー3インターフェイスから出るパケットをフィルタリングするには:
注:
特定の方向(イングレスまたはエグレス)のインターフェイスに適用できるフィルターは1つだけです。

このページで

ファイアウォールフィルターの設定

ファイアウォールフィルターの設定

ファイアウォールフィルターをレイヤー3（ルーティング）インターフェイスに適用

関連項目