Condiciones de coincidencia de filtro de Firewall basadas en campos de dirección
Puede configurar condiciones de coincidencia de filtro de firewall que evalúen los campos de dirección del paquete (direcciones IPv4 de origen y destino, direcciones de origen y destino IPv6 o direcciones de origen y destino de dirección MAC (MAC) con respecto a direcciones o valores de prefijo especificados.
Coincidencia implícita en la dirección '0/0 excepto' para condiciones de coincidencia de filtros de firewall basadas en campos de dirección
Cada condición de coincidencia de filtro de firewall basada en un conjunto de direcciones o prefijos de dirección se asocia con una coincidencia implícita en la dirección 0.0.0.0/0 except (para tráfico IPv4 o VPLS) o (para el tráfico 0:0:0:0:0:0:0:0/0 except IPv6). Como resultado, cualquier paquete cuyo campo de dirección especificada no coincida con ninguna de las direcciones o prefijos de dirección especificados no puede coincidir con el término completo.
Hacer coincidir un campo de dirección con una máscara de subred o un prefijo
Puede especificar una condición de coincidencia única para que coincida con una dirección de origen o una dirección de destino que esté dentro de un prefijo de dirección especificado.
- Notación de máscara de subred IPv4
- Notación de prefijo
- Longitud predeterminada de prefijo para direcciones IPv4
- Longitud predeterminada de prefijo para direcciones IPv6
- Longitud predeterminada de prefijo para direcciones MAC
Notación de máscara de subred IPv4
Para una dirección IPv4, puede especificar un valor de máscara de subred en lugar de una longitud de prefijo. Por ejemplo:
[edit firewall family inet filter filter_on_dst_addr term term3 from] user@host# set address 10.0.0.10/255.0.0.255
Notación de prefijo
Para especificar el prefijo de dirección, utilice la notación prefix / prefix-length . En el ejemplo siguiente, se produce una coincidencia si una dirección de destino coincide con el 10.0.0.0/8 prefijo:
[edit firewall family inet filter filter_on_dst_addr term term1 from] user@host# set destination-address 10.0.0.0/8
Longitud predeterminada de prefijo para direcciones IPv4
Si no especifica para /prefix-length una dirección IPv4, la longitud del prefijo es predeterminada en /32 . El siguiente ejemplo muestra el valor predeterminado del prefijo:
[edit firewall family inet filter filter_on_dst_addr term term2 from]
user@host# set destination-address 10
user@host# show
destination-address {
10.0.0.0/32;
}
Longitud predeterminada de prefijo para direcciones IPv6
Si no especifica para /prefix-length una dirección IPv6, la longitud del prefijo es predeterminada en /128 . El siguiente ejemplo muestra el valor predeterminado del prefijo:
[edit firewall family inet6 filter filter_on_dst_addr term term1 from]
user@host# set destination-address ::10
user@host# show
destination-address {
::10/128;
}
Longitud predeterminada de prefijo para direcciones MAC
Si no especifica para una dirección dirección MAC (MAC) de un paquete de puente VPLS, CCC de capa 2 o capa 2, la longitud del prefijo se /prefix-length predeterminado en /48 . El siguiente ejemplo muestra el valor predeterminado del prefijo:
[edit firewall family vpls filter filter_on_dst_mac_addr term term1 from]
user@host# set destination-mac-address 01:00:0c:cc:cc:cd
user@host# show
destination-address {
01:00:0c:cc:cc:cd/48;
}
Hacer coincidir un campo de dirección con un valor excluido
Para las condiciones de coincidencia de campo de dirección, puede incluir la palabra clave para especificar que se produzca una coincidencia para un campo de dirección que no coincida con la dirección o prefijo except especificados.
- Excluir direcciones IP en el tráfico IPv4 o IPv6
- Excluir direcciones IP en VPLS o tráfico de puente de capa 2
- Excluir direcciones MAC en VPLS o en tráfico de puente de capa 2
- Excluir todas las direcciones requiere una coincidencia explícita en la dirección '0/0'
Excluir direcciones IP en el tráfico IPv4 o IPv6
Para las siguientes condiciones de coincidencia IPv4 e IPv6, puede incluir la palabra clave para especificar que se produzca una coincidencia para un campo de dirección IP que no coincida con la dirección IP o el prefijo except especificados:
address address except: se produce una coincidencia si la dirección IP de origen o la dirección IP de destino no coinciden con la dirección o prefijo especificados.
source-address address except: se produce una coincidencia si la dirección IP de origen no coincide con la dirección o el prefijo especificados.
destination-address address except: se produce una coincidencia si la dirección IP de destino no coincide con la dirección o el prefijo especificados.
En el ejemplo siguiente, se produce una coincidencia para cualquier dirección de destino IPv4 que se encuentra bajo el prefijo, excepto para las direcciones 172.0.0.0/8 que caen en 172.16.0.0/16 . El resto de las direcciones implícitamente no coinciden con esta condición.
[edit firewall family inet filter filter_on_dst_addr term term1 from]
user@host# set 172.16.0.0/16 except
user@host# set 172.0.0.0/8
user@host# show
destination-address {
172.16.0.0/16 except;
172.0.0.0/8;
}
En el ejemplo siguiente, se produce una coincidencia para cualquier dirección de destino IPv4 que no se encuentra dentro del 10.1.1.0/24 prefijo:
[edit firewall family inet filter filter_on_dst_addr term term24 from]
user@host# set destination-address 0.0.0.0/0
user@host# set destination-address 10.1.1.0/24 except
user@host# show
destination-address {
0.0.0.0/0;
10.1.1.0/24 except;
}
Excluir direcciones IP en VPLS o tráfico de puente de capa 2
Para las siguientes condiciones de coincidencia de puente de VPLS y capa 2 solo en enrutadores serie MX, puede incluir la palabra clave para especificar que se produzca una coincidencia para un campo de dirección IP que no coincida con la dirección IP o el prefijo except especificados:
ip-address address except: se produce una coincidencia si la dirección IP de origen o la dirección IP de destino no coinciden con la dirección o prefijo especificados.
source-ip-address address except: se produce una coincidencia si la dirección IP de origen no coincide con la dirección o el prefijo especificados.
destination-ip-address address except: se produce una coincidencia si la dirección IP de destino no coincide con la dirección o el prefijo especificados.
En el ejemplo siguiente para filtrar el tráfico VPLS en un enrutador de la serie MX, se produce una coincidencia si la dirección IP de origen está dentro del intervalo de excepciones y la dirección IP de destino 55.0.1.0/255.0.255.05172.16.5.0/8 coincide:
[edit]
firewall {
family vpls {
filter fvpls {
term 1 {
from {
ip-address {
55.0.0.0/8;
55.0.1.0/255.0.255.0 except;
}
}
then {
count from-55/8;
discard;
}
}
}
}
}
Excluir direcciones MAC en VPLS o en tráfico de puente de capa 2
Para las siguientes condiciones de coincidencia de tráfico de puente de VPLS o capa 2, puede incluir la palabra clave para especificar que se produzca una coincidencia para un campo de dirección MAC que no coincida con la dirección MAC o el prefijo except especificados:
source-mac-address address except: se produce una coincidencia si la dirección MAC de origen no coincide con la dirección o el prefijo especificados.
destination-mac-address address except: se produce una coincidencia si la dirección MAC de destino no coincide con la dirección o el prefijo especificados.
Excluir todas las direcciones requiere una coincidencia explícita en la dirección '0/0'
Si especifica una condición de coincidencia de filtro de firewall que consta de una o más condiciones de coincidencia de dirección o de excepción (condiciones de coincidencia de dirección que utilizan la palabra clave), pero no condiciones de coincidencia de dirección que coincidan, los paquetes que no coincidan con ninguno de los prefijos configurados fallan la operación de coincidencia except general. Para configurar un término de filtro de firewall de condiciones de coincidencia de dirección y excepción para que coincida con cualquier dirección que no esté en la lista de prefijos, incluya una coincidencia explícita de modo que el término contenga una dirección 0/0 que coincida.
Para el siguiente filtro de firewall de ejemplo para el tráfico IPv4, el término no descarta el tráfico que coincide y el contador no se encuentra en la salida del comando from-trusted-addressesINTRUDERS-COUNT de modo show firewall operativo:
[edit]
user@host# show policy-options
prefix-list TRUSTED-ADDRESSES {
10.2.1.0/24;
192.168.122.0/24;
}
[edit firewall family inet filter protect-RE]
user@host# show
term from-trusted-addresses {
from {
source-prefix-list {
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
then {
count INTRUDERS-COUNT;
discard;
}
}
term other-icmp {
from {
protocol icmp;
}
then {
count VALID-COUNT;
accept;
}
}
term all {
then accept;
}
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 Filter: __default_bpdu_filter__
Para hacer que un término de filtro de condiciones de coincidencia dirección-excepción coincida con cualquier dirección que no esté en la lista de prefijos, incluya una coincidencia explícita en el conjunto de condiciones 0/0 de coincidencia:
[edit firewall family inet filter protect-RE]
user@host# show term from-trusted-addresses
from {
source-prefix-list {
0.0.0.0/0;
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
Con la adición de la dirección de prefijo de origen a la condición de coincidencia, el término descarta el tráfico que coincide y el contador 0.0.0.0/0from-trusted-addresses INTRUDERS-COUNT se muestra en el resultado del comando de show firewall modo operativo:
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 INTRUDERS-COUNT 420 5 Filter: __default_bpdu_filter__
Hacer coincidir el campo dirección IP con un único valor
Para el tráfico IPv4 e IPv6 y para VPLS y tráfico de puente de capa 2 solo en enrutadores serie MX, puede usar una condición de coincidencia única para hacer coincidir un solo valor de dirección o prefijo con el campo de dirección IP de origen o destino.
- Coincidencia de campo de dirección IP en tráfico IPv4 o IPv6
- Coincidencia de un campo de dirección IP en VPLS o el tráfico de puente de capa 2
Coincidencia de campo de dirección IP en tráfico IPv4 o IPv6
Para el tráfico IPv4 o IPv6, puede usar una sola condición de coincidencia para especificar el mismo valor de dirección o prefijo que la coincidencia de un campo de dirección IP de origen o destino. En lugar de crear términos de filtro independientes que especifiquen la misma dirección para las condiciones source-address de coincidencia destination-address y, solo se usa la condición address de coincidencia. Si la dirección IP de origen o la dirección IP de destino coinciden con la dirección o prefijo especificados , se produce una coincidencia.
Si usa la palabra clave con la condición de coincidencia, se produce una coincidencia si tanto la dirección IP de origen como la dirección IP de destino coinciden con el valor especificado antes de que se aplique exceptaddress la excepción.
En un término de filtro de firewall que especifica la condición de coincidencia o la de coincidencia, también source-address no puede especificar la condición de destination-addressaddress coincidencia.
Coincidencia de un campo de dirección IP en VPLS o el tráfico de puente de capa 2
Para el tráfico de puente de VPLS o de capa 2 solo en enrutadores serie MX, puede usar una condición de coincidencia única para especificar el mismo valor de dirección o prefijo que la coincidencia para el campo de dirección IP de origen o destino. En lugar de crear términos de filtro independientes que especifiquen la misma dirección para las condiciones source-ip-address de coincidencia destination-ip-address y, solo se usa la condición ip-address de coincidencia. Si la dirección IP de origen o la dirección IP de destino coinciden con la dirección o prefijo especificados , se produce una coincidencia.
Si usa la palabra clave con la condición de coincidencia, se produce una coincidencia si tanto la dirección IP de origen como la dirección IP de destino coinciden con el valor especificado antes de que se aplique exceptip-address la excepción.
En un término de filtro de firewall que especifica la condición de coincidencia o la de coincidencia, también source-ip-address no puede especificar la condición de destination-ip-addressip-address coincidencia.
Hacer coincidir un campo de dirección con prefijos no contiguos
Solo para el tráfico IPv4, especifique una condición de coincidencia única para que coincida con el campo de dirección IP o de destino con cualquier prefijo especificado. Los prefijos no necesitan ser contráciosos. Es decir, los prefijos bajo la condición o coincidencia no necesitan ser adyacentes ni vecinos source-addressdestination-address entre sí.
En el ejemplo siguiente, se produce una coincidencia si una dirección de destino coincide con el 10.0.0.0/8 prefijo o el 192.168.0.0/32 prefijo:
[edit firewall family inet filter filter_on_dst_addr term term5 from]
user@host# set destination-address 10.0.0.0/8
user@host# set destination-address 192.168.0.0/32
user@host# show
destination-address {
destination-address 10.0.0.0/8;
destination-address 192.168.0.0/32;
}
El orden en que se especifican los prefijos en la condición de coincidencia no es significativo. Los paquetes se evalúan en relación con todos los prefijos de la condición de coincidencia para determinar si se produce una coincidencia. Si se superponen los prefijos, las reglas de mayor coincidencia se utilizan para determinar si se produce una coincidencia. Una condición de coincidencia de prefijos no convencionales incluye una instrucción implícita, lo que significa que cualquier prefijo que no coincida con ningún prefijo incluido en la condición de coincidencia se considera explícitamente que no 0/0 except coincide.
Dado que los prefijos son independientes del orden y utilizan reglas de coincidencia más largas, los prefijos más largos subsume más cortos siempre que sean del mismo tipo (ya sea que especifique o except no). Esto se debe a que cualquier elemento que coincida con el prefijo más largo también coincidiría con uno más corto.
Considere el siguiente ejemplo:
[edit firewall family inet filter filter_on_src_addr term term1 from]
source-address {
172.16.0.0/10;
172.16.2.0/24 except;
192.168.1.0;
192.168.1.192/26 except;
192.168.1.254;
172.16.3.0/24; # ignored
10.2.2.2 except; # ignored
}
Dentro de source-address la condición de coincidencia, se omiten dos direcciones. El 172.16.3.0/16 valor se omite porque cae bajo la dirección , que es el mismo 172.16.0.0/10 tipo. El 10.2.2.2 except valor se omite porque está subsumido por el valor de coincidencia 0.0.0.0/0 except implícito.
Supongamos que este filtro de Firewall evalúa la siguiente dirección IP de origen:
Dirección IP de origen: esta dirección coincide con el prefijo y, por lo tanto, se toma la 172.16.1.2172.16.0.0/10 acción en la then instrucción.
Dirección IP de 172.16.2.2 origen: esta dirección coincide con el 172.16.2.0/24 prefijo. Dado que este prefijo se niega (es decir, incluye la palabra clave), se produce exceptuna discordancia explícita. El siguiente término del filtro se evalúa, si lo hubiera. Si no hay más términos, se descarta el paquete.
Dirección IP de 10.1.2.3 origen: esta dirección no coincide con ninguno de los prefijos incluidos en la source-address condición. En su lugar, coincide con lo implícito al final de la lista de prefijos configurados bajo la condición de coincidencia y se considera 0.0.0.0/0 exceptsource-address que no coinciden.
La 172.16.3.0/24 instrucción se omite porque cae bajo la 172.16.0.0/10 dirección: ambos son del mismo tipo.
La instrucción se omite porque la subsume la instrucción implícita al final de la lista de 10.2.2.2 except prefijos configurados 0.0.0.0/0 except bajo la condición de source-address coincidencia.
Cuando un término de filtro de firewall incluye la condición de coincidencia y un término posterior incluye la condición de coincidencia para la misma dirección, es posible que este último término procese los paquetes antes de que sean evaluados por cualquiera de los términos from address address que intervendrán. from source-address address Como resultado, es posible que se acepten paquetes que deben ser rechazados por los términos intermedios o, en su lugar, que los paquetes que se deben aceptar sean rechazados.
Para evitar que esto suceda, le recomendamos que haga lo siguiente. Para cada término de filtro de firewall que contiene la condición de coincidencia, sustituya dicho término from address address por dos términos independientes: una que contiene la from source-address address condición de coincidencia y otra que contiene la condición de from destination-address address coincidencia.
Hacer coincidir un campo de dirección con una lista de prefijos
Puede definir una lista de prefijos de dirección IPv4 o IPv6 para usarla en una instrucción de política de enrutamiento o en una condición de coincidencia de filtro de firewall sin estado que evalúe los campos de dirección del paquete.
Para definir una lista de prefijos de direcciones IPv4 o IPv6, incluya la prefix-list prefix-list instrucción.
prefix-list name {
ip-addresses;
apply-path path;
}
Puede incluir la instrucción en los siguientes niveles de jerarquía:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Después de haber definido una lista de prefijos, puedes usarla al especificar una condición de coincidencia de filtro de Firewall basada en un prefijo de dirección IPv4 o IPv6.
[edit firewall family family-name filter filter-name term term-name]
from {
source-prefix-list {
prefix-lists;
}
destination-prefix-list {
prefix-lists;
}
}