주소 필드를 기반으로 한 방화벽 필터 일치 조건
지정된 주소 또는 접두사 값에 대해 패킷 주소 필드(IPv4 소스 및 대상 주소, IPv6 소스 및 대상 주소 또는 미디어 액세스 제어(MAC) 소스 및 대상 주소)를 평가하는 방화벽 필터 일치 조건을 구성할 수 있습니다.
주소 필드를 기반으로 방화벽 필터 일치 조건에 대한 '0/0 예외' 주소에 대한 암시적 일치
주소 또는 주소 접두사 집합을 기반으로 하는 모든 방화벽 필터 일치 조건은 주소 (IPv4 또는 VPLS 트래픽의 경우) 또는 (IPv6 트래픽의 경우)에 대한 암시적 일치와 연결됩니다.0.0.0.0/0 except0:0:0:0:0:0:0:0/0 except 그 결과, 지정된 주소 필드가 지정된 주소 또는 주소 접두사와 일치하지 않는 패킷은 전체 용어를 일치시키지 못합니다.
주소 필드를 서브넷 마스크 또는 접두사와 일치시키기
지정된 주소 접두사 내에 속하는 소스 주소 또는 대상 주소와 일치하도록 단일 일치 조건을 지정할 수 있습니다.
IPv4 서브넷 마스크 표기법
IPv4 주소의 경우 접두사 길이 대신 서브넷 마스크 값을 지정할 수 있습니다. 예:
[edit firewall family inet filter filter_on_dst_addr term term3 from] user@host# set address 10.0.0.10/255.0.0.255
접두사 표기법
주소 접두사를 지정하려면 / 표기법을 사용합니다.prefixprefix-length 다음 예에서 대상 주소가 접두사 와 일치하면 일치가 발생합니다.10.0.0.0/8
[edit firewall family inet filter filter_on_dst_addr term term1 from] user@host# set destination-address 10.0.0.0/8
IPv4 주소의 기본 접두사 길이
IPv4 주소를 지정하지 않으면 접두사 길이는 기본적으로 로 설정됩니다 ./prefix-length/32 다음 예제에서는 기본 접두사 값을 보여 줍니다.
[edit firewall family inet filter filter_on_dst_addr term term2 from]
user@host# set destination-address 10
user@host# show
destination-address {
10.0.0.0/32;
}
IPv6 주소의 기본 접두사 길이
IPv6 주소를 지정하지 않으면 접두사 길이는 기본적으로 로 설정됩니다 ./prefix-length/128 다음 예제에서는 기본 접두사 값을 보여 줍니다.
[edit firewall family inet6 filter filter_on_dst_addr term term1 from]
user@host# set destination-address ::10
user@host# show
destination-address {
::10/128;
}
MAC 주소의 기본 접두사 길이
VPLS, 레이어 2 CCC 또는 레이어 2 브리징 패킷의 미디어 액세스 제어(MAC) 주소를 지정하지 않으면 접두사 길이는 기본적으로 로 설정됩니다./prefix-length/48 다음 예제에서는 기본 접두사 값을 보여 줍니다.
[edit firewall family vpls filter filter_on_dst_mac_addr term term1 from]
user@host# set destination-mac-address 01:00:0c:cc:cc:cd
user@host# show
destination-address {
01:00:0c:cc:cc:cd/48;
}
주소 필드와 제외된 값 일치
주소 필드 일치 조건의 경우, 키워드를 포함하여 지정된 주소 또는 접두사와 일치하지 않는 주소 필드에 대해 일치가 발생하도록 지정할 수 있습니다.except
- IPv4 또는 IPv6 트래픽에서 IP 주소 제외
- VPLS 또는 레이어 2 브리징 트래픽에서 IP 주소 제외
- VPLS 또는 레이어 2 브리징 트래픽에서 MAC 주소 제외
- 모든 주소를 제외하려면 '0/0' 주소에 대한 명시적 일치가 필요합니다.
IPv4 또는 IPv6 트래픽에서 IP 주소 제외
다음 IPv4 및 IPv6 일치 조건의 경우, 키워드를 포함하여 지정된 IP 주소 또는 접두사와 일치하지 않는 IP 주소 필드에 대해 일치가 발생하도록 지정할 수 있습니다.except
address address except- 소스 IP 주소 또는 대상 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
source-address address except- 소스 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
destination-address address except- 대상 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
다음 예에서는 에 속하는 주소를 제외하고 접두사에 속하는 모든 IPv4 대상 주소에 대해 일치가 발생합니다.172.0.0.0/8172.16.0.0/16 다른 모든 주소는 암시적으로 이 조건과 일치하지 않습니다.
[edit firewall family inet filter filter_on_dst_addr term term1 from]
user@host# set destination-address 172.16.0.0/16 except
user@host# set destination-address 172.0.0.0/8
user@host# show
destination-address {
172.16.0.0/16 except;
172.0.0.0/8;
}
다음 예에서는 접두사 에 속하지 않는 모든 IPv4 대상 주소에 대해 일치가 발생합니다.10.1.1.0/24
[edit firewall family inet filter filter_on_dst_addr term term24 from]
user@host# set destination-address 0.0.0.0/0
user@host# set destination-address 10.1.1.0/24 except
user@host# show
destination-address {
0.0.0.0/0;
10.1.1.0/24 except;
}
VPLS 또는 레이어 2 브리징 트래픽에서 IP 주소 제외
MX 시리즈 라우터에서만 다음 VPLS 및 레이어 2 브리징 일치 조건의 경우, 키워드를 포함하여 지정된 IP 주소 또는 접두사와 일치하지 않는 IP 주소 필드에 대해 일치가 발생하도록 지정할 수 있습니다.except
ip-address address except- 소스 IP 주소 또는 대상 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
source-ip-address address except- 소스 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
destination-ip-address address except- 대상 IP 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
MX 시리즈 라우터에서 VPLS 트래픽을 필터링하는 다음 예에서 소스 IP 주소가 의 예외 범위에 속하고 대상 IP 주소가 일치하는 경우 일치가 발생합니다.55.0.1.0/255.0.255.05172.16.5.0/8
[edit]
firewall {
family vpls {
filter fvpls {
term 1 {
from {
ip-address {
55.0.0.0/8;
55.0.1.0/255.0.255.0 except;
}
}
then {
count from-55/8;
discard;
}
}
}
}
}
VPLS 또는 레이어 2 브리징 트래픽에서 MAC 주소 제외
다음 VPLS 또는 레이어 2 브리징 트래픽 일치 조건의 경우, 키워드를 포함하여 지정된 MAC 주소 또는 접두사와 일치하지 않는 MAC 주소 필드에 대해 일치가 발생하도록 지정할 수 있습니다.except
source-mac-address address except- 소스 MAC 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
destination-mac-address address except- 대상 MAC 주소가 지정된 주소 또는 접두사와 일치하지 않으면 일치가 발생합니다.
모든 주소를 제외하려면 '0/0' 주소에 대한 명시적 일치가 필요합니다.
하나 이상의 주소 예외 일치 조건(키워드를 사용하는 주소 일치 조건)으로 구성되지만 일치 가능한 주소 일치 조건이 없는 방화벽 필터 일치 조건을 지정하는 경우, 구성된 접두사 중 어느 것도 일치하지 않는 패킷은 전체 일치 작업에 실패합니다.except 주소-예외 일치 조건의 방화벽 필터 용어를 접두사 목록에 없는 주소와 일치하도록 구성하려면 용어가 일치 가능한 주소를 포함하도록 명시 적 일치를 포함합니다.0/0
IPv4 트래픽에 대한 다음 방화벽 필터 예제의 경우, 이 용어는 일치하는 트래픽을 삭제하지 못하며 운영 모드 명령의 출력에서 카운터가 누락됩니다.from-trusted-addressesINTRUDERS-COUNTshow firewall
[edit]
user@host# show policy-options
prefix-list TRUSTED-ADDRESSES {
10.2.1.0/24;
192.168.122.0/24;
}
[edit firewall family inet filter protect-RE]
user@host# show
term from-trusted-addresses {
from {
source-prefix-list {
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
then {
count INTRUDERS-COUNT;
discard;
}
}
term other-icmp {
from {
protocol icmp;
}
then {
count VALID-COUNT;
accept;
}
}
term all {
then accept;
}
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 Filter: __default_bpdu_filter__
주소 예외 일치 조건의 필터 용어가 접두사 목록에 없는 주소와 일치하도록 하려면 일치 조건 집합에 명시적 일치 를 포함시킵니다.0/0
[edit firewall family inet filter protect-RE]
user@host# show term from-trusted-addresses
from {
source-prefix-list {
0.0.0.0/0;
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
일치 조건에 소스 접두사 주소를 추가 하면, 용어는 일치하는 트래픽을 삭제하고, INTRUDERS-COUNT 카운터가 운영 모드 명령의 출력에 표시됩니다.0.0.0.0/0from-trusted-addressesshow firewall
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 INTRUDERS-COUNT 420 5 Filter: __default_bpdu_filter__
IP 주소 필드를 단일 값과 일치
MX 시리즈 라우터의 IPv4 및 IPv6 트래픽과 VPLS 및 레이어 2 브리징 트래픽의 경우, 단일 일치 조건을 사용하여 단일 주소 또는 접두사 값을 소스 또는 대상 IP 주소 필드와 일치시킬 수 있습니다.
IPv4 또는 IPv6 트래픽의 IP 주소 필드 일치
IPv4 또는 IPv6 트래픽의 경우, 단일 일치 조건을 사용하여 소스 또는 대상 IP 주소 필드에 대한 일치와 동일한 주소 또는 접두사 값을 지정할 수 있습니다. 및 일치 조건에 대해 동일한 주소를 지정하는 별도의 필터 용어를 만드는 대신 일치 조건만 사용합니다.source-addressdestination-addressaddress 원본 IP 주소 또는 대상 IP 주소가 지정된 주소 또는 접두사와 일치하면 일치가 발생합니다.
일치 조건과 함께 키워드를 사용하는 경우, 예외가 적용되기 전에 소스 IP 주소와 대상 IP 주소가 모두 지정된 값과 일치하면 일치가 발생합니다.exceptaddress
또는 일치 조건을 지정하는 방화벽 필터 용어에서는 일치 조건을 지정할 수도 없습니다.source-addressdestination-addressaddress
VPLS 또는 레이어 2 브리징 트래픽의 IP 주소 필드 일치
MX 시리즈 라우터의 VPLS 또는 레이어 2 브리징 트래픽의 경우, 단일 일치 조건을 사용하여 소스 또는 대상 IP 주소 필드에 대한 일치와 동일한 주소 또는 접두사 값을 지정할 수 있습니다. 및 일치 조건에 대해 동일한 주소를 지정하는 별도의 필터 용어를 만드는 대신 일치 조건만 사용합니다.source-ip-addressdestination-ip-addressip-address 원본 IP 주소 또는 대상 IP 주소가 지정된 주소 또는 접두사와 일치하면 일치가 발생합니다.
일치 조건과 함께 키워드를 사용하는 경우, 예외가 적용되기 전에 소스 IP 주소와 대상 IP 주소가 모두 지정된 값과 일치하면 일치가 발생합니다.exceptip-address
또는 일치 조건을 지정하는 방화벽 필터 용어에서는 일치 조건을 지정할 수도 없습니다.source-ip-addressdestination-ip-addressip-address
주소 필드를 인접하지 않은 접두사와 일치
IPv4 트래픽의 경우에만, IP 소스 또는 대상 주소 필드를 지정된 접두사와 일치시키는 단일 일치 조건을 지정하십시오. 접두사가 연속적일 필요는 없습니다. 즉, 또는 일치 조건 하의 접두사들은 서로 인접하거나 인접할 필요가 없습니다.source-addressdestination-address
다음 예에서는 대상 주소가 접두사 또는 접두사와 일치하면 일치가 발생합니다.10.0.0.0/8192.168.0.0/32
[edit firewall family inet filter filter_on_dst_addr term term5 from]
user@host# set destination-address 10.0.0.0/8
user@host# set destination-address 192.168.0.0/32
user@host# show
destination-address {
destination-address 10.0.0.0/8;
destination-address 192.168.0.0/32;
}
일치 조건 내에서 접두사를 지정하는 순서는 중요하지 않습니다. 패킷은 일치 조건의 모든 접두사에 대해 평가되어 일치가 발생하는지 여부를 결정합니다. 접두사가 겹치는 경우, longest-match 규칙을 사용하여 일치 여부를 결정합니다. 연속되지 않은 접두사의 일치 조건에는 암시적 명령문이 포함되며, 이는 일치 조건에 포함된 접두사와 일치하지 않는 접두사는 명시적으로 일치하지 않는 것으로 간주됨을 의미합니다.0/0 except
접두사는 순서에 독립적이고 가장 긴 일치 규칙을 사용하기 때문에, 긴 접두사는 동일한 유형(지정 여부와 상관없이)인 한 더 짧은 접두사를 포함합니다.except 이는 더 긴 접두사와 일치하는 모든 것이 더 짧은 접두사와도 일치하기 때문입니다.
다음과 같은 예를 생각해 볼 수 있습니다.
[edit firewall family inet filter filter_on_src_addr term term1 from]
source-address {
172.16.0.0/10;
172.16.2.0/24 except;
192.168.1.0;
192.168.1.192/26 except;
192.168.1.254;
172.16.3.0/24; # ignored
10.2.2.2 except; # ignored
}
일치 조건 내에서는 두 개의 주소가 무시됩니다.source-address 이 값은 동일한 유형인 주소 에 속하기 때문에 무시됩니다.172.16.3.0/16172.16.0.0/10 이 값은 암시적 일치 값에 포함되므로 무시됩니다.10.2.2.2 except0.0.0.0/0 except
다음 소스 IP 주소가 이 방화벽 필터에 의해 평가된다고 가정해 보겠습니다.
Source IP address(소스 IP 주소 ) - 이 주소는 접두사와 일치하므로 문의 작업이 수행됩니다.172.16.1.2172.16.0.0/10then
소스 IP 주소 - 이 주소는 접두사와 일치합니다 .172.16.2.2172.16.2.0/24 이 접두사가 부정되므로(즉, 키워드 포함 ) 명시적 불일치 가 발생합니다.except 필터의 다음 항이 있는 경우 평가됩니다. 더 이상 용어가 없으면 패킷이 삭제됩니다.
소스 IP 주소 - 이 주소는 조건에 포함된 접두사와 일치하지 않습니다.10.1.2.3source-address 대신, 일치 조건에서 구성된 접두사 목록의 끝에 있는 암시적 일치와 일치하며, 불일치로 간주됩니다.0.0.0.0/0 exceptsource-address
명령문은 주소에 속하기 때문에 무시됩니다. 둘 다 동일한 유형입니다.172.16.3.0/24172.16.0.0/10
명령문은 일치 조건 하에서 구성된 접두사 목록의 끝에 있는 암시적 명령문에 포함되기 때문에 무시됩니다.10.2.2.2 except0.0.0.0/0 exceptsource-address
방화벽 필터 용어에 일치 조건이 포함 되고 후속 용어에 동일한 주소에 대한 일치 조건이 포함된 경우, 패킷은 중간 용어로 평가되기 전에 후자의 용어에 의해 처리될 수 있습니다.from address addressfrom source-address address 그 결과, 중간 조건에 의해 거부되어야 하는 패킷이 대신 수락되거나 수락되어야 하는 패킷이 대신 거부될 수 있습니다.
이러한 상황이 발생하지 않도록 하려면 다음을 수행하는 것이 좋습니다. 일치 조건을 포함하는 모든 방화벽 필터 용어에 대해 해당 용어를 두 개의 개별 용어로 바꿉니다.from address address 하나는 일치 조건을 포함하고 다른 하나는 일치 조건을 포함합니다 .from source-address addressfrom destination-address address
주소 필드를 접두사 목록과 일치시키기
라우팅 정책 문 또는 패킷 주소 필드를 평가하는 무상태 방화벽 필터 일치 조건에서 사용할 IPv4 또는 IPv6 주소 접두사 목록을 정의할 수 있습니다.
IPv4 또는 IPv6 주소 접두사 목록을 정의하려면 문을 포함합니다 .prefix-list prefix-list
prefix-list name {
ip-addresses;
apply-path path;
}
다음 계층 수준에서 명령문을 포함할 수 있습니다.
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
접두사 목록을 정의한 후에는 IPv4 또는 IPv6 주소 접두사를 기반으로 방화벽 필터 일치 조건을 지정할 때 이를 사용할 수 있습니다.
[edit firewall family family-name filter filter-name term term-name]
from {
source-prefix-list {
prefix-lists;
}
destination-prefix-list {
prefix-lists;
}
}