Descripción de cómo se evalúan los filtros de firewall
Un filtro de firewall consta de uno o más términos, y el orden de los términos dentro de un filtro es importante. Antes de configurar filtros de firewall, debe comprender cómo los conmutadores evalúan los términos dentro de un filtro y cómo se evalúan los paquetes con respecto a los términos.
Cuando un filtro de firewall consta de un solo término, el filtro se evalúa de la siguiente manera:
Si el paquete cumple todas las condiciones, se realiza la acción de la
then
instrucción.Si el paquete cumple todas las condiciones y no se especifica ninguna acción en la
then
instrucción, se realiza la acción accept predeterminada.Si el paquete no cumple todas las condiciones, el conmutador lo descarta.
Cuando un filtro de firewall consta de más de un término, el filtro se evalúa secuencialmente:
El paquete se evalúa en función de las condiciones de la
from
instrucción en el primer término.Si el paquete cumple todas las condiciones del término, se realiza la acción de la
then
instrucción y finaliza la evaluación. Los términos posteriores en el filtro no se evalúan.Si el paquete no coincide con todas las condiciones del término, el paquete se evalúa en función de las condiciones de la
from
instrucción en el segundo término.Este proceso continúa hasta que el paquete coincide con todas las condiciones de la
from
instrucción en uno de los términos siguientes o no hay más términos en el filtro.Si un paquete pasa a través de todos los términos del filtro sin una coincidencia, el conmutador lo descarta.
El orden de las condiciones en una from
instrucción no es importante porque un paquete debe coincidir con todas las condiciones para que se considere una coincidencia.
Figura 1 muestra cómo los conmutadores evalúan los términos dentro de un filtro de firewall.

Si no incluye una from
instrucción en un término, todos los paquetes coincidirán con el término y serán procesados por la then
instrucción. Si un término no contiene una then
instrucción o si no se ha configurado una acción en la then
instrucción, el término acepta cualquier paquete coincidente.
Cada filtro de firewall contiene una instrucción implícita deny
al final del filtro, que es equivalente al siguiente término de filtro explícito:
term implicit-rule { then discard; }
En consecuencia, se descarta un paquete que no coincida con ninguno de los términos de un filtro de firewall. Si configura un filtro que no tiene términos, se descartarán todos los paquetes que pasan a través del filtro.
El filtrado de firewall se admite en paquetes que tienen al menos 64 bytes de longitud.