Condiciones de coincidencia de filtro de firewall para tráfico IPv4

Coincida con el campo de dirección de origen o destino IPv4 a menos que se incluya la except opción. Si se incluye la opción, no coincida con el campo de dirección de origen o destino IPv4.

El except modificador no se admite en plataformas EX2300 y EX3400.

(Enrutadores serie M, excepto M120 y M320) Coincida con el valor del índice de parámetros de seguridad (SPI) de encabezado de autenticación IPsec (AH).

(Enrutadores serie M, excepto M120 y M320) No coincida con el valor SPI IPsec AH.

Especifique de qué grupos heredar los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos por orden de prioridad de herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos de los grupos subsiguientes.

Especifique de qué grupos no se heredarán los datos de configuración. Puede especificar más de un nombre de grupo.

Coincida con el campo de dirección de destino IPv4 a menos que se incluya la except opción. Si la opción está incluida, no coincida con el campo de dirección de destino IPv4.

No puede especificar las address condiciones y destination-address coincidir en el mismo término.

Coincida con uno o más nombres de clase de destino especificados (conjuntos de prefijos de destino agrupados y asignados a un nombre de clase). Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.

No haga coincidir uno o varios nombres de clase de destino especificados. Para obtener más información, consulte la condición de destination-class coincidencia.

Coincida con el campo de puerto de destino UDP o TCP.

No puede especificar las port condiciones y destination-port coincidir en el mismo término.

Al configurar coincidencias basadas en puertos, también debe configurar la protocol udp instrucción o protocol tcp match en el mismo término de filtro. La coincidencia solo en el valor del puerto puede dar lugar a coincidencias inesperadas.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los números de puerto): afs(1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), (21) eklogin 05), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), (44) snpp 4), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513) o xdmcp (177).

No coincida con el campo de puerto de destino UDP o TCP. Para obtener más información, consulte la condición de destination-port coincidencia.

Haga coincidir los prefijos de destino de la lista especificada a menos que se incluya la except opción. Si se incluye la opción, no coincida con los prefijos de destino de la lista especificada.

Especifique el nombre de una lista de prefijos definida en el [edit policy-options prefix-list prefix-list-namenivel de jerarquía ].

Haga coincidir el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Para obtener más información, consulte Descripción de cómo los clasificadores de comportamiento agregado priorizan el tráfico de confianza.

Se agregó compatibilidad para el filtrado en el punto de código de servicios diferenciados (DSCP) y la clase de reenvío para paquetes de origen del motor de enrutamiento, incluidos los paquetes IS-IS encapsulados en encapsulación de enrutamiento genérico (GRE). Posteriormente, cuando se actualiza desde una versión anterior de Junos OS en la que se tienen tanto una clase de servicio (CoS) como un filtro de firewall, y ambos incluyen acciones de filtro de DSCP o clase de reenvío, los criterios del filtro de firewall tienen prioridad automáticamente sobre la configuración de CoS. Lo mismo ocurre cuando se crean nuevas configuraciones; es decir, cuando existe la misma configuración, el filtro de firewall tiene prioridad sobre el CoS, independientemente de cuál se creó primero.

Puede especificar un valor numérico de a través 63de 0 . Para especificar el valor en forma hexadecimal, incluya 0x como prefijo. Para especificar el valor en formato binario, incluya b como prefijo.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran):

• El RFC 3246, un PHB (comportamiento por salto) de reenvío acelerado, define un punto de código: ef(46).

• RFC 2597, Grupo PHB de reenvío garantizado, define 4 clases, con 3 precedencias de caída en cada clase, para un total de 12 puntos de código:

  • af11 (10), af12 (12), af13 (14)

  • af21 (18), af22 (20), af23 (22)

  • af31 (26), af32 (28), af33 (30)

  • af41 (34), af42 (36), af43 (38)

No coincida con el número de DSCP. Para obtener más información, consulte la condición de dscp coincidencia.

Coincida con el valor SPI de la carga de seguridad de encapsulación (ESP) de IPsec. Coincida con este valor SPI específico. Puede especificar el valor SPI ESP en forma hexadecimal, binario o decimal.

Coincida con el valor SPI ESP IPsec. No coincida con este valor SPI específico.

Coincida si el paquete es el primer fragmento de un paquete fragmentado. No haga coincidir si el paquete es un fragmento final de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de desplazamiento de fragmento de 0.

Esta condición de coincidencia es un alias para la condición de coincidencia de campo fragment-offset 0 de bits.

Para hacer coincidir los fragmentos primero y final, puede usar dos términos que especifican condiciones de coincidencia diferentes: first-fragment y is-fragment.

Longitud de los datos que se coincidirán en bits, no necesaria para la entrada de cadena (0..128)

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

Desplazamiento de byte después del punto de inicio del partido

Seleccione una coincidencia flexible a partir del campo de plantilla predefinido

Enmascarar bits en los datos del paquete para que coincidan

Punto de inicio para coincidir en el paquete

Datos de valor/cadena que se coincidirán

Longitud de los datos que se coincidirán en bits (0..32)

Desplazamiento de bits después del desplazamiento (match-start + byte) (0..7)

Desplazamiento de byte después del punto de inicio del partido

Seleccione una coincidencia flexible a partir del campo de plantilla predefinido

Punto de inicio para coincidir en el paquete

Rango de valores que se coincidirán

No coincida con este rango de valores

Coincida con la clase de reenvío del paquete.

Especifique assured-forwarding, best-effort, expedited-forwardingo network-control.

Para obtener más información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a colas de salida.

No coincida con la clase de reenvío del paquete. Para obtener más información, consulte la condición de forwarding-class coincidencia.

(Solo entrada) Coincida con el campo de indicadores de fragmentación DE IP de tres bits en el encabezado ip.

En lugar del valor del campo numérico, puede especificar una de las siguientes palabras clave (los valores de campo también se enumeran): dont-fragment(0x4), more-fragments (0x2) o reserved (0x8).

Coincida con el campo de desplazamiento de fragmento de 13 bits en el encabezado IP. El valor es el desplazamiento, en unidades de 8 bytes, en el mensaje de datagrama general al fragmento de datos. Especifique un valor numérico, un rango de valores o un conjunto de valores. Un valor de desplazamiento de 0 indica el primer fragmento de un paquete fragmentado.

La first-fragment condición de coincidencia es un alias para la fragment-offset 0 condición de coincidencia.

Para hacer coincidir los fragmentos primero y final, puede usar dos términos que especifican condiciones de coincidencia diferentes (first-fragment y is-fragment).

No haga coincidir el campo de desplazamiento de fragmento de 13 bits.

Coincida con el campo gre-key. El campo de clave GRE es un número de octeto 4 insertado por el encapsulador GRE. Es un campo opcional para usar en la encapsulación GRE. Puede range ser un solo número de clave GRE o un rango de números de clave.

Para los enrutadores serie MX con MPC, inicialice los filtros de firewall nuevos que incluyan esta condición caminando el MIB SNMP correspondiente.

Coincida con el campo de código de mensaje ICMP.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

También debe configurar la icmp-type message-type condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas:

• parameter-problem: ip-header-bad(0), required-option-missing (1)

• Redirigir: redirect-for-host(1), redirect-for-network (0), redirect-for-tos-and-host (3), redirect-for-tos-and-net (2)

• tiempo superado: ttl-eq-zero-during-reassembly(1), ttl-eq-zero-during-transit (0)

• Inalcanzable: communication-prohibited-by-filtering(13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

No haga coincidir el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de icmp-code coincidencia.

Coincida con el campo de tipo de mensaje ICMP.

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

También debe configurar la icmp-type message-type condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): echo-reply(0), echo-request (8), info-reply (16), info-request (15), mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), source-quench (4), time-exceeded (11), timestamp (13), timestamp-reply (14) o unreachable (3).

No haga coincidir el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de icmp-type coincidencia.

Coincida con la interfaz en la que se recibió el paquete.

Hacer coincidir la interfaz lógica en la que se recibió el paquete con el grupo o conjunto de grupos de interfaz especificados. Para group-number, especifique un valor único o un rango de valores del 0 al 255.

Para asignar una interfaz lógica a un grupo group-numberde interfaz, especifique el group-number[interfaces interface-name unit number family family filter group] nivel de jerarquía.

Para obtener más información, consulte Descripción general sobre filtrado de paquetes recibidos en un conjunto de grupos de interfaz.

No haga coincidir la interfaz lógica en la que se recibió el paquete con el grupo de interfaz especificado o conjunto de grupos de interfaz. Para obtener más información, consulte la condición de interface-group coincidencia.

Coincida la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado.

Para definir un conjunto de interfaces, incluya la interface-set instrucción en el [edit firewall] nivel de jerarquía.

Para obtener más información, consulte Descripción general sobre filtrado de paquetes recibidos en un conjunto de interfaces.

Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado o la lista de valores.

En lugar de un valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de opción también se enumeran): loose-source-route(131), record-route (7), router-alert (148), security (130), stream-id (136),strict-source-route (137) o timestamp (68).

Para hacer coincidir cualquier valor para la opción IP, utilice el sinónimo anyde texto . Para hacer coincidir varios valores, especifique la lista de valores entre corchetes ('[' y '']). Para hacer coincidir un rango de valores, utilice la especificación [ value1-value2 ]de valor .

Por ejemplo, la condición ip-options [ 0-147 ] de coincidencia coincide en un campo de opciones IP que contiene los loose-source-route, record-routeo security valores, o cualquier otro valor del 0 al 147. Sin embargo, esta condición de coincidencia no coincide en un campo de opciones IP que contiene solo el router-alert valor (148).

Para la mayoría de las interfaces, un término de filtro que especifica una ip-option coincidencia en uno o más valores de opción de IP específicos (un valor distinto anya ) hace que los paquetes se envíen al motor de enrutamiento para que el kernel pueda analizar el campo de opción IP en el encabezado del paquete.

• Para un término de filtro de firewall que especifica una ip-option coincidencia en uno o más valores de opción de IP específicos, no puede especificar las countacciones , o syslog no determinativas, loga menos que también especifique la discard acción de finalización en el mismo término. Este comportamiento impide el doble conteo de paquetes para un filtro aplicado a una interfaz de tránsito en el enrutador.

• Es posible que los paquetes procesados en el kernel se caigan en caso de un atasco del sistema. Para asegurarse de que los paquetes coincidentes se envíen al motor de reenvío de paquetes (donde el procesamiento de paquetes se implementa en el hardware), utilice la condición de ip-options any coincidencia.

El concentrador de puerto modular (MPC) de 10 Gigabit Ethernet, el MPC de 100 Gigabit Ethernet, el MPC de 60 Gigabit Ethernet, el MPC de Ethernet de cola de 60 Gigabit y el MPC de cola mejorada de 60 Gigabit Ethernet en enrutadores serie MX son capaces de analizar el campo de opción IP del encabezado del paquete IPv4. En el caso de las interfaces configuradas en esos MPC, todos los paquetes coincidentes mediante la ip-options condición de coincidencia se envían al motor de reenvío de paquetes para su procesamiento.

La ip-options any condición de coincidencia se admite en los enrutadores serie PTX10003 y PTX10008 a partir de Junos Evolved OS versión 20.2R1.

No haga coincidir el campo de opción IP con el valor especificado o la lista de valores. Para obtener más información acerca de cómo especificar la values, consulte la condición de ip-options coincidencia.

El uso de esta condición provoca una coincidencia si el indicador Más fragmentos está habilitado en el encabezado IP o si el desplazamiento del fragmento no es cero.

Coincida con el nivel de prioridad de pérdida de paquetes (PLP).

Especifique un solo nivel o varios niveles: low, medium-low, medium-high, o high.

Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con la CFEB mejorada (CFEB-E); y enrutadores serie MX.

Para el tráfico IP en enrutadores serie M320, MX y T con concentradores de PIC flexibles (FPC) mejorados II, debe incluir la instrucción en el tri-color [edit class-of-service] nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, solo puede configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Para obtener más información acerca de la tri-color instrucción, consulte Configurar y aplicar policiacos de marcado tricolor. Para obtener más información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel de PLP de los paquetes entrantes, consulte Descripción de cómo los clasificadores de agregado de comportamiento priorizan el tráfico de confianza.

No coincida con el nivel de PLP. Para obtener más información, consulte la condición de loss-priority coincidencia.

Haga coincidir la longitud del paquete recibido en bytes. La longitud se refiere solo al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2. También puede especificar un rango de valores que se coincidirán.

No coincida con la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de packet-length coincidencia.

Coincida con el campo de puerto de origen o destino UDP o TCP.

Si configura esta condición de coincidencia, no puede configurar la destination-port condición de coincidencia o la source-port condición de coincidencia en el mismo término.

Al configurar coincidencias basadas en puertos, también debe configurar la protocol udp instrucción o protocol tcp match en el mismo término de filtro. La coincidencia solo en el valor del puerto puede dar lugar a coincidencias inesperadas.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en destination-port.

No coincida con el campo de puerto UDP o TCP de origen o destino. Para obtener más información, consulte la condición de port coincidencia.

Coincida con el campo de prioridad IP.

En lugar del valor del campo numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00). Puede especificar la prioridad en forma hexadecimal, binario o decimal.

No coincida con el campo de prioridad IP.

En lugar del valor del campo numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): critical-ecp(0xa0), flash (0x60), flash-override (0x80), immediate (0x40), internet-control (0xc0), net-control (0xe0), priority (0x20) o routine (0x00). Puede especificar la prioridad en forma hexadecimal, binario o decimal.

Haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada, a menos que se incluya la except opción. Si se incluye la opción, no haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada.

La lista de prefijos se define en el [edit policy-options prefix-list prefix-list-name] nivel de jerarquía.

Coincida con el campo de tipo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) o vrrp (112).

No coincida con el campo de tipo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), ipv6 (41), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp  (17) o vrrp (112).

Coincida con el tipo de tecnología de acceso por radio (RAT) especificado en el campo Tech-Type de 8 bits de la extensión de tipo de tecnología de acceso móvil proxy IPv4 (PMIPv4). El tipo de tecnología especifica la tecnología de acceso mediante la cual el dispositivo móvil está conectado a la red de acceso.

Especifique un único valor, un rango de valores o un conjunto de valores. Puede especificar un tipo de tecnología como un valor numérico del 0 al 255 o como una palabra clave del sistema.

• Los siguientes valores numéricos son ejemplos de tipos de tecnología bien conocidos:

  • El valor numérico 1 coincide con IEEE 802.3.

  • El valor numérico 2 coincide con IEEE 802.11a/b/g.

  • El valor numérico 3 coincide con IEEE 802.16e

  • El valor numérico 4 coincide con IEEE 802,16 m.

• La cadena de eutran texto coincide con 4G.

• La cadena de geran texto coincide con 2G.

• La cadena de utran texto coincide con 3G.

No coincida con el tipo RAT.

Hacer coincidir un paquete recibido de un filtro en el que se aplicó una service-filter-hit acción.

Coincida con la dirección IPv4 del nodo de origen que envía el paquete a menos que se incluya la except opción. Si se incluye la opción, no coincida con la dirección IPv4 del nodo de origen que envía el paquete.

No puede especificar las address condiciones y source-address coincidir en el mismo término.

Hacer coincidir uno o varios nombres de clase de origen especificados (conjuntos de prefijos de origen agrupados y asignados a un nombre de clase). Para obtener más información, consulte Condiciones de coincidencia de filtros de firewall basadas en clases de dirección.

No haga coincidir uno o varios nombres de clase de origen especificados. Para obtener más información, consulte la condición de source-class coincidencia.

Coincida con el campo de puerto de origen UDP o TCP.

No puede especificar las port condiciones y source-port coincidir en el mismo término.

Al configurar coincidencias basadas en puertos, también debe configurar la protocol udp instrucción o protocol tcp match en el mismo término de filtro. La coincidencia solo en el valor del puerto puede dar lugar a coincidencias inesperadas.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la destination-port number condición de coincidencia.

No coincida con el campo de puerto de origen UDP o TCP. Para obtener más información, consulte la condición de source-port coincidencia.

Haga coincidir los prefijos de origen de la lista especificada a menos que se incluya la except opción. Si se incluye la opción, no haga coincidir los prefijos de origen de la lista especificada.

Especifique el nombre de una lista de prefijos definida en el [edit policy-options prefix-list prefix-list-namenivel de jerarquía ].

Coincida con paquetes TCP de una sesión TCP establecida (paquetes distintos del primer paquete de una conexión). Este es un alias para tcp-flags "(ack | rst)".

Esta condición de coincidencia no comprueba implícitamente que el protocolo sea TCP. Para comprobar esto, especifique la condición de protocol tcp coincidencia.

Coincida con uno o más de los 6 bits de orden bajo en el campo de indicadores TCP de 8 bits en el encabezado TCP.

Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales:

• fin(0x01)

• syn(0x02)

• rst(0x04)

• push(0x08)

• ack(0x10)

• urgent(0x20)

En una sesión TCP, la marca SYN solo se establece en el paquete inicial enviado, mientras que la marca ACK se establece en todos los paquetes enviados después del paquete inicial.

Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits.

Para las condiciones combinadas de coincidencia de campo de bits, consulte las tcp-established condiciones de coincidencia y tcp-initial de coincidencia.

Si configura esta condición de coincidencia, recomendamos que también configure la protocol tcp instrucción match en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto.

Para solo tráfico IPv4, esta condición de coincidencia no comprueba implícitamente si el datagrama contiene el primer fragmento de un paquete fragmentado. Para comprobar esta condición solo para el tráfico IPv4, utilice la condición de first-fragment coincidencia.

Coincida con el paquete inicial de una conexión TCP. Este es un alias para tcp-flags "(!ack & syn)".

Esta condición no comprueba implícitamente que el protocolo sea TCP. Si configura esta condición de coincidencia, recomendamos que también configure la protocol tcp condición de coincidencia en el mismo término.

Coincida con el número de tiempo de vida de IPv4. Especifique un valor TTL o un rango de valores TTL. Para number, puede especificar uno o varios valores desde a través 255de 0 . Esta condición de coincidencia solo se admite en enrutadores M120, M320, SERIE MX y T.

No coincida con el número TTL IPv4. Para obtener más información, consulte la condición de ttl coincidencia.