Descripción de cómo un filtro de firewall prueba un protocolo
Al examinar las condiciones de coincidencia en un filtro de firewall, un conmutador prueba solo los campos que especifique. No prueba implícitamente ningún campo que no configure explícitamente. Por ejemplo, si especifica una condición de coincidencia de source-port ssh
, no hay ninguna prueba implícita para determinar si el protocolo es TCP. En este caso, el conmutador considera coincidente cualquier paquete que tenga un valor de 22
(decimal) en el campo de 2 bytes que sigue a un encabezado IP presunto . Para asegurarse de que el término coincide en los paquetes TCP, también especifique una ip-protocol tcp
condición de coincidencia.
Para las siguientes condiciones de coincidencia, debe especificar explícitamente la condición de coincidencia de protocolo en el mismo término:
destination-port
: especifique el protocolotcp
o el protocoloudp
.icmp-code
: especifique el protocoloicmp
yicmp-type
.icmp-type
: especifique el protocoloicmp
o el protocoloicmp6
.source-port
: especifique el protocolotcp
o el protocoloudp
.tcp-flags
: especifique el protocolotcp
.