ファイアウォールフィルターの構成

スイッチでファイアウォールフィルタを設定して、レイヤー 3(ルート)インターフェイスに入る、またはレイヤー 3 から出るトラフィックを制御できます。ファイアウォールフィルタを使用するには、フィルタを設定してからレイヤー 3 インターフェイスに適用する必要があります。

ファイアウォールフィルターの構成

ファイアウォールフィルターを構成するには、次のようにします。

ファミリーアドレスタイプ、フィルター名、条件名、および少なくとも 1 つの一致条件を設定します。たとえば、特定の送信元アドレスを含むパケットで一致します。
IPv4 またはinet IPv6 のinet6ファミリーアドレスタイプを指定します。

フィルターと用語の名前には、文字、数字、ハイフン (-) を使用できます。また、最大64文字の長さを指定できます。各フィルター名は一意にする必要があります。フィルターには1つまたは複数の条件を含めることができ、各用語名はフィルター内で一意にする必要があります。
その他の照合条件を構成します。たとえば、特定の発信元ポートを含むパケットに一致させます。
1つのfromステートメントの中で検索条件を指定できます。一致と見なされるためには、パケットは条件に合致していることが必要です。fromステートメントはオプションですが、条件に含まれている場合、空にすることはできません。fromステートメントを省略すると、すべてのパケットが一致したと見なされます。
ファイアウォールフィルターを複数のインターフェイスに適用し、各インターフェイスに固有のカウンターを表示できるようにするにinterface-specificは、以下のオプションを構成します。
各ファイアウォールフィルター条件で、パケットがその条件に合致している場合に実行するアクションを指定します。アクションモディファイアとアクション修飾子は、以下のように指定できます。
- フィルタの条件に一致するパケットを破棄するなど、フィルタアクションを指定するには、次のようにします。
  1つの条件に、複数のアクションaccept( discard、 rejectrouting-instance、、、 vlanまたは) を指定することはできません。
- パケットを転送クラスにカウントおよび分類するなど、アクション修飾子を指定します。たとえば、以下のように記述します。
thenステートメントを省略した場合、またはアクションを指定しなかった場合は、 fromステートメント内のすべての条件に一致するパケットが受け付けられます。ただし、 then文でアクションを明示的に設定する必要があります。1つの action 文を含めることはできませんが、アクション修飾子を任意に組み合わせて使用することもできます。アクションまたはアクション修飾子を有効にするには、 fromステートメント内のすべての条件が一致している必要があります。

注:
暗黙の破棄は、 lo0ループバックインターフェイスに適用されるファイアウォールフィルターにも適用できます。

注:

一致条件、アクション、アクションの完全なリストについては、を参照ファイアウォールフィルタマッチング条件とアクション (QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650) してください。OCX1100 スイッチでは、IPv4 および IPv6 インターフェイスに対して有効な一致条件のみを使用できます。

レイヤー 3 (ルーティング) インターフェイスへのファイアウォールフィルタの適用

レイヤー3インターフェイスにファイアウォールフィルタを適用するには、次のようにします。

フィルタを適用するインターフェイスの構成に、ファイアウォールフィルターの意味のある説明を入力してください。
ファイアウォールフィルタを適用して、レイヤー 3 インターフェイスで受信または終了するパケットをフィルターできます。
- レイヤー3インターフェイスに入るパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。
- レイヤー3インターフェイスを終了させるパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。
注:
特定の方向 (受信または送信) では、1つのフィルターのみをインターフェイスに適用できます。

このページで

ファイアウォールフィルターの構成

ファイアウォールフィルターの構成

レイヤー 3 (ルーティング) インターフェイスへのファイアウォールフィルタの適用

関連項目