Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの一致条件およびアクション(PTXシリーズルーター)

ファイアウォールフィルターの一致条件およびアクション(PTXシリーズルーター)

ファイアウォールフィルターの各用語は、 一致条件アクションで構成されます。一致条件とは、一致と見なされるためにパケットに含まれる必要のあるフィールドと値です。match ステートメントでは、単一または複数の一致条件を定義できます。また、no match ステートメントを含めることもできます。その場合、条件はすべてのパケットに一致します。

パケットがフィルターに一致すると、ルーターは条件で指定されたアクションを実行します。さらに、アクション修飾子を指定して、パケットのカウント、ミラーリング、レート制限、分類を行うことができます。条件に一致する条件が指定されていない場合、ルーターはデフォルトでパケットを受け入れます。

PTX10003では、複数のファイアウォールフィルターを単一の入力リストまたは出力リスト(filter input-list and output-list)として単一のインターフェイスに適用できます。この方法では、フィルタリングタスクの設定は単一のファイアウォールフィルターでのみ管理できます。これにより、デバイスが多くのインターフェイスで設定されている場合に、大規模な環境で柔軟性が得られます。PTX10008でも同じことができますが、ルーターは単一の入力リストへの複数のファイアウォールフィルターの適用のみをサポートしています。

  • 表 1 は、ファイアウォールフィルターの設定時に指定できる一致条件を説明します。一部の数値範囲およびビットフィールド一致条件では、テキスト同義語を指定できます。一致条件のすべてのシノニムのリストを表示するには、ステートメントの適切な場所に ? を入力します。

  • 表 2 は、用語で指定できるアクションとアクション修飾子を示します。

表 1: サポートされている一致条件

一致条件

説明

サポートされているインターフェイス

address address [ except ]

exceptオプションが含まれていない限り、送信元または宛先アドレスフィールドに一致します。

IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

destination-address address [ except ]

exceptオプションが含まれていない限り、宛先アドレスフィールドに一致します。

同じ条件に address 一致条件と destination-address 一致条件を両方指定することはできません。

IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

destination-port number

UDPまたはTCP宛先ポート フィールドに一致します。また、ポートで使用されるプロトコルを指定するために、同じ条件で protocol udp または protocol tcp 一致ステートメントを設定する必要があります。

同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

数値の代わりに、以下のテキスト (ポート番号も記載されています)のいずれかを指定します。afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

IPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

destination-port-except number

UDPまたはTCP宛先ポートフィールドに一致しません。詳細については、 destination-port一致条件を参照してください。

IPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

destination-prefix-list name [ except ]

except オプションが含まれていない限り、リスト内の宛先プレフィックスに一致します。頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

IPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

dscp number

DSCP(差別化されたサービスコードポイント)に一致します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

  • be- ベスト エフォート(デフォルト)

  • ef (46)- RFC 3246, An Expeded Forwarding PHBで定義されています。

  • af11 (10)af12 (12)af13 (14);

    af21 (18)af22 (20)af23 (22);

    af31 (26)af32 (28)af33 (30);

    af41 (34)af42 (36)af43 (38)

    これらの 4 つのクラスは、各クラスに 3 つのドロップ優先順位があり、合計 12 のコード ポイントがあり、 RFC 2597, Assure Forwarding PHB で定義されています。

  • cs0cs1cs2cs3cs4cs5cs6cs7cs5

IPv4(inet)およびIPv6(inet6)インターフェイス。

dscp-except number

DSCP数上では一致しません。詳細については、dscp 一致条件を参照してください。

IPv4(inet)およびIPv6(inet6)インターフェイス。

first-fragment

パケットがフラグメント パケットの最初のフラグメントである場合に一致します。パケットがフラグメントパケットの追跡フラグメントである場合、一致しません。フラグメントパケットの最初のフラグメントに、値が0のフラグメントオフセットがあります。

この一致条件は、ビットフィールド一致条件 fragment-offset 0 一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます。first-fragmentis-fragment があります。

IPv4(inet)インターフェイス

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

  • best-effort

  • fcoe

  • network-control

  • no-loss

IPv4(inet)、IPv6(inet6)、MPLSインターフェイス。

forwarding-class-except class

パケットの転送クラスに一致しません。詳細については、 forwarding-class一致条件を参照してください。

IPv4(inet)、IPv6(inet6)、MPLSインターフェイス。

fragment-flags number

IPヘッダーの3ビットIPフラグメント化フラグフィールドに一致します。

数字フィールド値の代わりに、以下のキーワード(フィールド値も記載されています)のいずれかを指定します。dont- (0x4)、more-s(0x2)、またはreserved (0x8)。

IPv4(inet)インターフェイス

fragment-offset value

IPヘッダーの13ビットフラグメントオフセットフィールドに一致します。値は、データフラグメントに対する全体的なデータグラムメッセージのオフセット(8バイト単位)です。数字値、値の範囲、または値のセットを指定します。0のオフセット値は、フラグメントパケットの最初のフラグメントを示しています。

first-fragment一致条件は、 fragment-offset 0一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます(first-fragmentおよびis-fragment)。

IPv4(inet)インターフェイス

fragment-offset-except number

13ビットフラグメントオフセットフィールドに一致しません。

IPv4(inet)インターフェイス

icmp-code message-code

ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。

この一致条件を設定する場合、同じ条件で icmp-type message-type 一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • parameter-problem:ip-header-bad (0)、required-option-missing (1)

  • redirect:redirect-for-host (1)、 redirect-for-network(0)、 redirect-for-tos-and-host(3)、 redirect-for-tos-and-net(2)

  • time-exceeded:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

  • unreachable:communication-prohibited-by-filtering (13)、 destination-host-prohibited(10)、destination-host-unknown (7)、 destination-network-prohibited(9)、destination-network-unknown (6)、 fragmentation-needed(4)、host-precedence-violation (14)、 host-unreachable(1)、host-unreachable-for-TOS (12)、 network-unreachable(0)、network-unreachable-for-TOS (11)、 port-unreachable(3)、precedence-cutoff-in-effect (15)、 protocol-unreachable(2)、 source-host-isolated(8)、source-route-failed (5)

IPv4(inet)およびIPv6(inet6)インターフェイス。

icmp-code-except message-code

ICMPメッセージコードフィールドに一致しません。詳細については、 icmp-code一致条件を参照してください。

IPv4(inet)およびIPv6(inet6)インターフェイス。

icmp-type number

ICMPメッセージタイプフィールドに一致します。また、同じ条件で icmp または icmpv6 protocol next-header 一致タイプとして設定する必要があります。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。echo-reply(0)echo-request、 (info-reply8)、 (1info-request6)、 (15)mask-reply、 mask-request(1parameter-problem7)、 (redirect18)router-advertisement、 (1router-solicit2)、 source-quench(5)time-exceeded、  (9)timestamp、 (1timestamp-reply0)、 (unreachable4)、 (11)、 (13)、 (14)、または (3)。

icmp-code variableも参照してください。

IPv4(inet)およびIPv6(inet6)インターフェイス。

icmp-type-except message-type

ICMPメッセージタイプフィールドに一致しません。詳細については、 icmp-type一致条件を参照してください。

IPv4(inet)およびIPv6(inet6)インターフェイス。

interface interface-name

イングレスフィルターの場合は、パケットを受信したインターフェイスに一致します。

エグレスフィルターの場合は、パケットが送信されたインターフェイスに一致します。

注:

PTX5000シリーズルーターは、 em0.0 インタフェース(ルーティングおよびパケット転送エンジン間の内部リンク)を lo0 (ループバックインタフェース)に接続することをサポートしていません。例えば、em0.0のトラフィックに一致するようにlo0にファイアウォールフィルタを作成し、TelnetやSSHなどの自己発信トラフィックをフィルタリングする場合などです。次のコードスニペットは、コンテキストを提供します。

firewall
  filter core-protect {
            term Telnet {
                from {
                    protocol tcp;
                    destination-port telnet;
                    interface em0.0;
                }
                then accept;
            }
  }
}

IPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

interface-except number

パケットを受信した論理インターフェイスに一致しません。詳細については、 interface一致条件を参照してください。

IPv4(inet)インターフェイス、およびIPv6(inet6)インターフェイス。

is-fragment

パケットがフラグメント パケットの追跡フラグメントである場合に一致します。フラグメント パケットの最初のフラグメントに一致しません。

注:

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます(first-fragmentおよびis-fragment)。

Junos OS Evolvedを実行しているPTX10003ルーターの場合、フラグメントパケットの最初のフラグメントを含むすべてのフラグメント化パケットは、「is-fragment」一致を含むファイアウォールフィルター条件上で一致します。

IPv4(inet)インターフェイス

loss-priority level

PLP(パケット損失の優先度)に一致します。

単一のレベルまたは複数のレベルを指定します。lowmedium-lowmedium-high、またはhigh

注:

loss-priority アクション修飾子は、policer アクションと組み合わせてはサポートされていません。

IPv4(inet)、IPv6(inet6)、MPLSインターフェイス。

loss-priority-except level

PLPレベルに一致しません。詳細については、 loss-priority一致条件を参照してください。

IPv4(inet)、IPv6(inet6)、MPLSインターフェイス。

next-header header-type

パケットの最初の 8 ビットの next ヘッダー フィールドに一致します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。ah( 51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 mobility (135)、 no-next-header (59)、 ospf (89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp  (17)、または vrrp (112)。

IPv6(inet6)インターフェイス

next-header-except header-type

IPv6ヘッダーとペイロード間のヘッダーのタイプを識別する8ビットのNext Headerフィールドに一致しません。詳細については、 next-header一致タイプを参照してください。

IPv6(inet6)インターフェイス

packet-length bytes

受信したパケットの長さに一致します(バイト単位)。長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。一致させる値の範囲を指定することもできます。

IPv4(inet)、およびIPv6(inet6)インターフェイス。

packet-length-except bytes

受信したパケットの長さに一致しません(バイト単位)。詳細については、 packet-length一致タイプを参照してください。

IPv4(inet)、およびIPv6(inet6)インターフェイス。

port number

UDPまたはTCP送信元または宛先ポート フィールドに一致します。また、ポートで使用されるプロトコルを指定するために、同じ条件で protocol udp または protocol tcp 一致ステートメントを設定する必要があります。

同じ項に destination-port 一致条件または source-port 一致条件を設定することはできません。

数値の代わりに、destination-port の下に記載されているテキスト同義語の1つを指定します。

IPv4(inet)、およびIPv6(inet6)インターフェイス。

port-except number

送信元または宛先UDPまたはTCPポートフィールドに一致しません。詳細については、 port一致条件を参照してください。

IPv4(inet)、およびIPv6(inet6)インターフェイス。

precedence ip-precedence-value

IP優先度フィールドに一致します。

数字フィールド値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。critical-ecp 0xa0)、flash 0x60)、flash-override (0x80)、immediate (0x40)、internet-control (0xc0)、net-control (0xe0)、priority (0x20)、または routine (0x00)。16進法、2進法、または10進法で優先度を指定できます。

IPv4(inet)インターフェイス

precedence-except ip-precedence-value

IP優先度フィールドに一致しません。

IPv4(inet)インターフェイス

protocol number

IPv4プロトコルタイプフィールドに一致します。数値の代わりに、以下のテキストシノニム(数値も記載されています)のいずれかを指定します。

hop-by-hop (0)icmp (1)icmp6igmp (2)ipip (4)tcp (6)egp (8)udp (17)ipv6 (41)routing (43)fragment (44)rsvp (46)gre (47)esp (50)ah (51)icmp6 (58)no-next-header (59)dstopts (60)ospf (89)pim (103)vrrp (112)sctp (132)

IPv4(inet)インターフェイス

protocol-except number

IPプロトコルタイプフィールドに一致しません。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。ah (51)、 dstopts(60)、 egp(8)、esp(50)、fragment (44)、 gre(47)、 hop-by-hop(0)、 icmp(1)、 icmp6(58)、 icmpv6(58)、igmp (2)、 ipip(4)、 ipv6(41)、 ospf(89)、 pim(103)、 rsvp(46)、sctp (132)、 tcp(6)、 udp (17)、またvrrp (112)。

IPv4(inet)インターフェイス

source-address ip-address

パケットを送信したノードのアドレスである IP 送信元アドレス フィールド。

IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

source-address address [ except ]

exceptオプションが含まれていない限り、パケットを送信する送信元ノードのIPアドレスに一致します。オプションが含まれている場合、パケットを送信する送信元ノードのIPアドレスに一致しません。

同じ条件に addressおよびsource-address 一致条件を両方指定することはできません。

IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

source-port value

TCP または UDP 送信元ポートに一致します。また、同じ条件で protocol udp または protocol tcp 一致ステートメントを設定する必要があります。

数値の代わりに、 destination-port number一致条件で記載されているテキスト同義語の1つを指定します。

IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

source-port-except number

UDPまたはTCP送信元ポートフィールドに一致しません。詳細については、 source-port一致条件を参照してください。

IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

source-prefix-list prefix-list

IP ソース プレフィックス リスト頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一覧は、 [edit policy-options] 階層レベルで定義します。

IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

tcp-flags value

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

  • fin (0x01)

  • syn (0x02)

  • rst (0x04)

  • push (0x08)

  • ack (0x10)

  • urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で 一protocol tcp致ステートメントを設定することもお勧めします。

IPv4トラフィックについてのみ、この一致条件は、データグラムにフラグメントパケットの最初のフラグメントが含まれているかどうかを暗示的に確認しません。IPv4トラフィックについてのみこの条件を確認するには、first-fragment 一致条件を使用します。

IPv4(inet)インターフェイスとIPv6(inet6)インターフェイス。

traffic-class value

パケットのサービスクラス(CoS)優先度を指定する8ビットフィールド。トラフィック クラス フィールドは、DSCP(DiffServ コード ポイント)値を指定するために使用されます。このフィールドは、以前は IPv4 の ToS(サービスタイプ)フィールドとして使用されていましたが、このフィールドのセマンティクス(DSCP など)は IPv4 のセマンティクスと同じです。

以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)cs0 (0)cs1 (8)cs2 (16)cs3 (24)cs4 (32)cs5 (40)cs6 (48)cs7 (56)ef (46)

IPv6(inet6)インターフェイス

traffic-class-except number

パケットのCoSプライオリティを指定する8ビットフィールドに一致しません。詳細については、 traffic-class 一致の説明を参照してください。

IPv6(inet6)インターフェイス

ttl number

IPv4またはIPv6の生存時間値に一致します。TTL値またはTTL値の範囲を指定します。numberについては、0 から 255までの1つ以上の値を指定できます。

IPv4(inet)およびIPv6(inet6)インターフェイス。

ttl-except number

IPv4またはIPv6のTTL値に一致しません。詳細については、 ttl一致条件を参照してください。

IPv4(inet)およびIPv6(inet6)インターフェイス。

vxlan

VNI の数値または数値の範囲を指定します。イングレスインターフェイスにフィルターを適用します。

  • vni vni-value- VNI に一致します。

  • vni-except vni-value- VNIに一致しません。

注:

Junos OS Evolvedリリース23.4R2以降、イングレスおよびエグレスインターフェイスの両方で、vxlan一致条件でvniフィルタリングおよびvni-except数値を設定できるようになりました。

IPv4(inet)インターフェイス

then ステートメントを使用して、パケットが from ステートメントのすべての条件に一致する場合に発生するアクションを定義します。表 2は、用語で指定できるアクションを示しています。( then ステートメントを含めない場合、システムはフィルターに一致するパケットを受け入れます。)

表 2: アクションとアクション修飾子

アクション

説明

accept

パケットを受け取ります。これは、条件に一致するパケットのデフォルトアクションです。

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。

count counter-name

条件に一致するパケットの数をカウントします。

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

forwarding-classアクションは、IPv4、IPv6、および MPLS インターフェイスでサポートされています。

log

パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、 show firewall log 動作モード コマンドを入力します。

注:

log アクション修飾子は、IPv4およびIPv6イングレスインターフェイスでのみサポートされています。

loss-priority level

PLP(パケット損失の優先度)を設定します。

policer policer-name

パケットをポリサーに送信します(レート制限を適用するため)。PTX10003 は、2 色、1 レート 3 カラー(srTCM)および 2 レート 3 カラー マーカー(trTCM)ポリサーをサポートしています。

注:

policer アクション修飾子は、loss-priority アクションと組み合わせてはサポートされていません。

redirect instance-name

(Junos Evolved OSリリース22.1R1を実行するPTX10004、PTX10008、およびPTX10016デバイスでのみサポートされています。)

Junos階層の [services inline-monitoring instance instance-name controller p4] レベルで定義されたインスタンスで指定されたとおりに、P4コントローラにパケットを送信します。

reject message-type

パケットを破棄し、「宛先到達不能」の ICMPv4 または ICMPv6 メッセージ(タイプ 3)を送信します。拒否されたパケットをログに記録するには、 syslog アクション修飾子を設定します。

以下のいずれかのメッセージ・タイプを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, .

注:

tcp-reset メッセージ・タイプはサポートされていません。

メッセージ タイプを指定しない場合、ICMP 通知「宛先到達不能」は、デフォルトのメッセージ「管理フィルタリングされた通信」とともに送信されます。

syslog

このパケットのアラートをログに記録します。

routing-instance instance-name

一致したパケットを仮想ルーティング インスタンスに転送します。パケットはデフォルトのインスタンスに転送できます。

virtual-routerおよび でサポートforwarding instance-types.

IPv6ファイアウォールフィルターの一致条件およびアクション(PTX10001-20C)

このトピックでは、PTX10001-20CルーターのIPv6ファイアウォールフィルターの一致条件、アクション、およびアクション修飾子について説明します。

ファイアウォールフィルターの各用語は、 一致条件アクションで構成されます。一致条件とは、一致と見なされるためにパケットに含まれる必要のあるフィールドと値です。match ステートメントでは、単一または複数の一致条件を定義できます。また、 no 一致ステートメントを含めることもできます。その場合、条件はすべてのパケットに一致します。

パケットがフィルターに一致すると、ルーターは条件で指定されたアクションを実行します。アクション修飾子を指定して、パケットのカウント、ミラーリング、分類を行うこともできます。条件に一致する条件が指定されていない場合、ルーターはデフォルトでパケットを受け入れます。

注:

PTX10001-20C ルーターでは、ファイアウォールフィルターはイングレス方向の IPv6 インターフェイスにのみ適用できます。

  • 表 3 は、サポートされている照合条件について説明します。

  • 表 4 は、用語で指定できるアクションを示します。then ステートメントを含めない場合、システムはフィルターに一致するパケットを受け入れます。

  • 表 5 は、パケットのカウント、ミラーリング、レート制限、分類に使用できるアクション修飾子を示しています。

表 3: IPv6 でサポートされている一致条件

一致条件

説明

address address [ except ]

exceptオプションが含まれていない限り、IPv6送信元または宛先アドレスフィールドが一致します。オプションが含まれている場合、IPv6 送信元または宛先アドレス フィールドが一致しません。

apply-groups

設定データを継承するグループを指定します。複数のグループ名を指定できます。継承する優先度順に一覧化する必要があります。最初のグループの設定データは、以降のグループのデータよりも優先されます。

apply-groups-except

設定データを継承しないグループを指定します。複数のグループ名を指定できます。

destination-address address [ except ]

exceptオプションが含まれていない限り、IPv6宛先アドレスフィールドに一致します。オプションが含まれている場合、IPv6宛先アドレスフィールドに一致しません。

同じ条件に addressおよびdestination-address 一致条件を両方指定することはできません。

destination-port number

UDPまたはTCP宛先ポート フィールドに一致します。

同じ条件に portおよびdestination-port 一致条件を両方指定することはできません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

数値の代わりに、以下のテキスト (ポート番号も記載されています)のいずれかを指定します。afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).

destination-port-except number

UDPまたはTCP宛先ポートフィールドに一致しません。詳細については、 destination-port一致条件を参照してください。

destination-prefix-list prefix-list-name [ except ]

exceptオプションが含まれていない限り、指定されたリストにIPv6宛先プレフィックスを一致させます。オプションが含まれている場合、指定されたリストのIPv6宛先プレフィックスに一致しません。

プレフィックスリストは、 [edit policy-options prefix-list prefix-list-name] 階層レベルで定義されます。

icmp-code message-code

ICMPメッセージコードフィールドに一致します。

この一致条件を設定した場合、同じ条件で next-header icmp または next-header icmp6 一致条件も設定することをお勧めします。

ICMPメッセージコードは、ICMPメッセージ タイプよりも具体的な情報を提供しますが、ICMPメッセージ コードの意味は、関連するICMPメッセージ タイプに依存します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

  • parameter-problem:ip6-header-bad( 0)、 unrecognized-next-header (1)、 unrecognized-option (2)

  • time-exceeded:ttl-eq-zero-during-reassembly (1)、 ttl-eq-zero-during-transit(0)

  • 宛先到達不能:administratively-prohibited( 1)、 address-unreachable (3)、 no-route-to-destination (0)、 port-unreachable (4)

icmp-code-except message-code

ICMPメッセージコードフィールドに一致しません。詳細については、 icmp-code一致条件を参照してください。

message-type

ICMPメッセージタイプフィールドに一致します。

同じ条件で icmp または next-header icmp6 一致条件も設定する必要があります。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。certificate-path-advertisement (149)、 certificate-path-solicitation (148)、 destination-unreachable (1)、 echo-reply (129)、 echo-request (128)、 home-agent-address-discovery-reply (145)、 home-agent-address-discovery-request (144)、 inverse-neighbor-discovery-advertisement (142)、 inverse-neighbor-discovery-solicitation (141)、 membership-query (130)、 membership-report (131)、 membership-termination (132)、 mobile-prefix-advertisement-reply (147)、 mobile-prefix-solicitation (146)、 neighbor-advertisement (1) 36)、 neighbor-solicit (135)、 node-information-reply (140)、 node-information-request (139)、 packet-too-big (2)、 parameter-problem (4)、 private-experimentation-100 (100)、 private-experimentation-101 (101)、 private-experimentation-200 (200)、 private-experimentation-201 (201)、 redirect (137)、 router-advertisement (134)、 router-renumbering (138)、 router-solicit (133)、または time-exceeded (3)。

private-experimentation-201 (201) の場合、角括弧内の値の範囲を指定することもできます。

icmp-type-except message-type

ICMPメッセージタイプフィールドに一致しません。詳細については、 icmp-type一致条件を参照してください。

next

フィルター内の次の用語に続きます。

next-header header-type

パケットの最初の 8 ビットの Next Header フィールドに一致します。

数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。ah( 51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (58)、 icmpv6 (58)、 igmp (2)、 ipip (4)、 ipv6 (41)、 mobility (135)、 no-next-header (59)、 ospf (89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp  (17)、または vrrp (112)。

注:

next-header icmp6 および next-header icmpv6 一致条件は同じ機能を実行します。 next-header icmp6 が推奨されるオプションです。 next-header icmpv6 は、Junos OS CLI で非表示になっています。

next-header-except header-type

IPv6ヘッダーとペイロード間のヘッダーのタイプを識別する8ビットのNext Headerフィールドに一致しません。詳細については、 next-header一致タイプを参照してください。

port number

UDPまたはTCP送信元または宛先ポート フィールドに一致します。

この一致条件を設定した場合、同じ条件で destination-port 一致条件またはsource-port 一致条件を設定できません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

数値の代わりに、destination-port の下に記載されているテキスト同義語の1つを指定します。

port-except number

UDPまたはTCP送信元または宛先ポートフィールドに一致しません。詳細については、 port一致条件を参照してください。

port-mirror instance-name

パケットをポートミラーリングします。

port-mirror-instance instance-name

ポートはインスタンスのパケットをミラーリングします。

prefix-list prefix-list-name [ except ]

送信元または宛先アドレスフィールドのプレフィックスを、 except オプションが含まれていない限り、指定されたリストのプレフィックスに一致させます。オプションが含まれている場合、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させません。

プレフィックス リストは、 [edit policy-options prefix-list prefix-list-name]階層レベルで定義されます。

sample

パケットをサンプルします。

source-address address [ except ]

exceptオプションが含まれていない限り、パケットを送信する送信元ノードのIPv6 アドレスに一致します。オプションが含まれている場合、パケットを送信する送信元ノードのIPv6アドレスに一致しません。

同じ条件に addressおよびsource-address 一致条件を両方指定することはできません。

source-port number

UDPまたはTCP送信元ポート フィールドに一致します。

同じ項に portおよび source-port一致条件を指定することはできません。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で next-header udp または next-header tcp 一致条件を設定することもお勧めします。

注:

Junos OS Evolvedの場合、同じ条件で next-header udp または next-header tcp 一致ステートメントを設定する必要があります。

数値の代わりに、 destination-port number一致条件で記載されているテキスト同義語の1つを指定します。

source-port-except number

UDPまたはTCP送信元ポートフィールドに一致しません。詳細については、 source-port一致条件を参照してください。

source-prefix-list name [ except ]

exceptオプションが含まれていない限り、パケット送信元フィールドのIPv6アドレスプレフィックスに一致します。オプションが含まれている場合、パケット送信元フィールドのIPv6アドレスプレフィックスに一致しません。

[edit policy-options prefix-list prefix-list-name]階層レベルで定義されたプレフィックスリスト名を指定します。

注:

一致条件( addressdestination-address、または source-address 一致条件)で IPv6 アドレスを指定する場合は、RFC 4291、 IP バージョン 6 アドレッシング・アーキテクチャーで説明されているテキスト表現の構文  を使用してください。IPv6 アドレスの詳細については、「 IPv6 の概要 」および 「サポートされている IPv6 標準」を参照してください。

表 4: IPv6ファイアウォールフィルターのアクション

アクション

説明

accept

パケットを受け取ります。これは、条件に一致するパケットのデフォルトアクションです。

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。

redirect instance-name

(Junos Evolved OSリリース22.1R1を実行するPTX10004、PTX10008、およびPTX10016デバイスでのみサポートされています。)

Junos階層の [services inline-monitoring instance instance-name コントローラー p4] レベルで定義されたインスタンスで指定されたとおりに、P4コントローラーにパケットを送信します。

表 5: IPv6ファイアウォールフィルターのアクション修飾子

アクション修飾子

説明

count counter-name

条件に一致するパケットの数をカウントします。

forwarding-class class

パケットを、以下のデフォルトの転送クラスのいずれか、またはユーザー定義の転送クラスに分類します。

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

転送クラスを設定するには、損失の優先度も設定する必要があります。

loss-priority (low | medium-low | medium-high | high)

PLP(パケット損失の優先度)を設定します。