Directrices para configurar filtros simples
Jerarquía de instrucciones para configurar filtros simples
Para configurar un filtro simple, incluya la instrucción en el nivel de jerarquía.simple-filter simple-filter-name
[edit firewall family inet]
[edit] firewall { familyinet
{simple-filter
simple-filter-name { term term-name { from { match-conditions; } then { actions; } } } } }
Las instrucciones individuales admitidas en la instrucción se describen por separado en este tema y se ilustran en el ejemplo de configuración y aplicación de un filtro simple.simple-filter simple-filter-name
Familias de protocolos de filtro simple
Puede configurar filtros simples para filtrar únicamente el tráfico IPv4 ().family inet
No se admite ninguna otra familia de protocolos para filtros simples.
Nombres de filtro simples
Debajo de la instrucción, puede incluir instrucciones para crear y asignar nombres a filtros simples.family inet
simple-filter simple-filter-name
El nombre del filtro puede contener letras, números y guiones (-) y tener hasta 64 caracteres. Para incluir espacios en el nombre, escriba el nombre completo entre comillas (" ").
Términos de filtro simples
Bajo la instrucción, puede incluir instrucciones para crear y asignar nombres a los términos de filtro.simple-filter simple-filter-name
term term-name
Debe configurar al menos un término en un filtro de firewall.
Debe especificar un nombre único para cada término dentro de un filtro de firewall. El nombre del término puede contener letras, números y guiones (-) y puede tener hasta 64 caracteres. Para incluir espacios en el nombre, escriba el nombre completo entre comillas (" ").
El orden en que se especifican los términos dentro de una configuración de filtro de firewall es importante. Los términos del filtro de firewall se evalúan en el orden en que están configurados. De forma predeterminada, los términos nuevos siempre se agregan al final del filtro existente. Puede utilizar el comando de modo de configuración para reordenar los términos de un filtro de firewall.
insert
Los filtros simples no admiten la acción.next term
Condiciones simples de coincidencia de filtros
Los términos de filtro simples solo admiten un subconjunto de las condiciones de coincidencia IPv4 que se admiten para los filtros de firewall sin estado estándar.
A diferencia de los filtros de firewall sin estado estándar, las siguientes restricciones se aplican a los filtros simples:
En los enrutadores de la serie MX con el DPC de cola mejorada y en los conmutadores de la serie EX, los filtros simples no admiten la condición de coincidencia.
forwarding- class
Los filtros simples solo admiten uno y un prefijo para cada término de filtro.
source-address
destination-address
Si configura varios prefijos, sólo se utilizará el último.Los filtros simples no admiten varias direcciones de origen y direcciones de destino en un solo término. Si configura varias direcciones, solo se utilizará la última.
Los filtros simples no admiten condiciones de coincidencia negadas, como la condición de coincidencia o la palabra clave.
protocol-except
exception
Los filtros simples solo admiten un rango de valores para condiciones de coincidencia y coincidir.
source-port
destination-port
Por ejemplo, puede configurar o .source-port 400-500
destination-port 600-700
Los filtros simples no admiten valores de máscara no contiguos.
Tabla 1 enumera las condiciones de coincidencia de filtro simple.
Condición de coincidencia |
Description |
---|---|
|
Haga coincidir la dirección IP de destino. |
|
Campo Puerto de destino TCP o UDP. Si configura esta condición de coincidencia, se recomienda configurar también la instrucción de coincidencia para determinar qué protocolo se está utilizando en el puerto. En lugar del valor numérico, puede especificar uno de los siguientes alias de texto (también se enumeran los números de puerto): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (65), (517), (23), (69), (525), (513) o (177). |
|
Hacer coincidir la clase de reenvío del paquete. Especifique , , , o . Para obtener información acerca de las clases de reenvío y las colas de salida internas del enrutador, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida.Understanding How Forwarding Classes Assign Classes to Output Queues |
|
Campo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes alias de texto (también se enumeran los valores de campo): (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (89), (103), (46), (132), (6), (17) o (112). |
|
Haga coincidir la dirección IP de origen. |
|
Haga coincidir el campo Puerto de origen UDP o TCP. Si configura esta condición de coincidencia, se recomienda configurar también la instrucción de coincidencia para determinar qué protocolo se está utilizando en el puerto. En lugar del campo numérico, puede especificar uno de los alias de texto enumerados para . |
Acciones simples de terminación de filtro
Los filtros simples no admiten acciones de terminación explícitamente configurables, como , y .accept
reject
discard
Los términos configurados en un filtro simple siempre aceptan paquetes.
Los filtros simples no admiten la acción.next
Acciones de no terminación de filtro simple
Los filtros simples solo admiten las siguientes acciones de no terminación:
forwarding-class (forwarding-class | assured-forwarding |best-effort | expedited-forwarding | network-control)
Nota:En los enrutadores de la serie MX y los conmutadores de la serie EX con el DPC de cola mejorada, la clase de reenvío no se admite como condición de coincidencia.
from
loss-priority (high | low | medium-high | medium-low)
Los filtros simples no admiten acciones que realicen otras funciones en un paquete (como incrementar un contador, registrar información sobre el encabezado del paquete, muestrear los datos del paquete o enviar información a un host remoto mediante la funcionalidad de registro del sistema).