Descripción de cómo los filtros de firewall prueban el protocolo de un paquete
Al examinar condiciones de coincidencia, el sistema operativo Junos (Junos OS) de Juniper Networks para conmutadores Ethernet de la serie EX de Juniper Networks prueba solo el campo especificado. El software no prueba implícitamente el encabezado IP para determinar si un paquete es un paquete IP. Por lo tanto, en algunos casos, debe especificar protocol condiciones de coincidencia de campo junto con otras condiciones de coincidencia para garantizar que los filtros realicen las coincidencias esperadas.
Si especifica una condición de coincidencia de protocolo o una coincidencia del tipo ICMP o el campo de indicadores TCP, no hay ninguna coincidencia de protocolo implícita. Para las siguientes condiciones de coincidencia, debe especificar explícitamente la condición de coincidencia de protocolo en el mismo término:
destination-port— Especifica la coincidencia protocol tcp o protocol udp.
source-port— Especifica la coincidencia protocol tcp o protocol udp.
Si no especifica el protocolo al usar los campos anteriores, diseñe los filtros con cuidado para garantizar que realicen las coincidencias esperadas. Por ejemplo, si especifica una coincidencia de destination-port ssh, el conmutador coincide deterministamente con cualquier paquete que tenga un valor de en el campo de 22 dos bytes que está dos bytes más allá del final del encabezado IP sin comprobar nunca el campo de protocolo IP.