Condiciones de coincidencia de filtro de firewall basadas en campos de dirección
Puede configurar condiciones de coincidencia de filtro de firewall que evalúan los campos de dirección del paquete (direcciones de origen y destino IPv4, direcciones de origen y destino IPv6, o direcciones de origen y destino de control de acceso de medios (MAC) con respecto a direcciones o valores de prefijo especificados.
Coincidencia implícita en la dirección "0/0 excepto" para condiciones de coincidencia de filtro de firewall basadas en campos de dirección
Cada condición de coincidencia de filtro de firewall según un conjunto de direcciones o prefijos de dirección se asocia a una coincidencia implícita en la dirección 0.0.0.0/0 except (para tráfico IPv4 o VPLS) o 0:0:0:0:0:0:0:0/0 except (para tráfico IPv6). Como resultado, cualquier paquete cuyo campo de dirección especificado no coincida con ninguna de las direcciones o prefijos de dirección especificados no coincide con el término completo.
Coincidencia de un campo de dirección con una máscara o prefijo de subred
Puede especificar una condición de coincidencia única para que coincida con una dirección de origen o de destino que esté dentro de un prefijo de dirección especificado.
- Notación de máscara de subred IPv4
- Notación de prefijo
- Longitud predeterminada del prefijo para direcciones IPv4
- Longitud predeterminada del prefijo para direcciones IPv6
- Longitud predeterminada del prefijo para direcciones MAC
Notación de máscara de subred IPv4
Para una dirección IPv4, puede especificar un valor de máscara de subred en lugar de una longitud de prefijo. Por ejemplo:
[edit firewall family inet filter filter_on_dst_addr term term3 from] user@host# set address 10.0.0.10/255.0.0.255
Notación de prefijo
Para especificar el prefijo de dirección, use la notación prefix/prefix-length. En el ejemplo siguiente, se produce una coincidencia si una dirección de destino coincide con el prefijo 10.0.0.0/8:
[edit firewall family inet filter filter_on_dst_addr term term1 from] user@host# set destination-address 10.0.0.0/8
Longitud predeterminada del prefijo para direcciones IPv4
Si no especifica /prefix-length para una dirección IPv4, la longitud del prefijo predeterminada es /32. En el ejemplo siguiente se muestra el valor de prefijo predeterminado:
[edit firewall family inet filter filter_on_dst_addr term term2 from]
user@host# set destination-address 10
user@host# show
destination-address {
10.0.0.0/32;
}
Longitud predeterminada del prefijo para direcciones IPv6
Si no especifica /prefix-length para una dirección IPv6, la longitud del prefijo predeterminada es /128. En el ejemplo siguiente se muestra el valor de prefijo predeterminado:
[edit firewall family inet6 filter filter_on_dst_addr term term1 from]
user@host# set destination-address ::10
user@host# show
destination-address {
::10/128;
}
Longitud predeterminada del prefijo para direcciones MAC
Si no especifica /prefix-length para una dirección de control de acceso de medios (MAC) de un paquete de puente VPLS, CCC de capa 2 o capa 2, la longitud del prefijo es predeterminada /48. En el ejemplo siguiente se muestra el valor de prefijo predeterminado:
[edit firewall family vpls filter filter_on_dst_mac_addr term term1 from]
user@host# set destination-mac-address 01:00:0c:cc:cc:cd
user@host# show
destination-address {
01:00:0c:cc:cc:cd/48;
}
Coincidencia de un campo de dirección con un valor excluido
Para las condiciones de coincidencia de campo de dirección, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección que no coincide con la dirección o el prefijo especificados.
- Exclusión de direcciones IP en tráfico IPv4 o IPv6
- Exclusión de direcciones IP en tráfico de puente VPLS o capa 2
- Exclusión de direcciones MAC en tráfico de puente de VPLS o capa 2
- Excluir todas las direcciones requiere una coincidencia explícita en la dirección "0/0"
Exclusión de direcciones IP en tráfico IPv4 o IPv6
Para las siguientes condiciones de coincidencia IPv4 e IPv6, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección IP que no coincide con la dirección IP o el prefijo especificados:
address address except: se produce una coincidencia si la dirección IP de origen o la dirección IP de destino no coincide con la dirección o el prefijo especificados.
source-address address except: se produce una coincidencia si la dirección IP de origen no coincide con la dirección o el prefijo especificados.
destination-address address except: se produce una coincidencia si la dirección IP de destino no coincide con la dirección o el prefijo especificados.
En el ejemplo siguiente, se produce una coincidencia para cualquier dirección de destino IPv4 que se encuentra bajo el 172.0.0.0/8 prefijo, excepto para las direcciones que se incluyen en 172.16.0.0/16. El resto de direcciones no coinciden implícitamente con esta condición.
[edit firewall family inet filter filter_on_dst_addr term term1 from]
user@host# set 172.16.0.0/16 except
user@host# set 172.0.0.0/8
user@host# show
destination-address {
172.16.0.0/16 except;
172.0.0.0/8;
}
En el ejemplo siguiente, se produce una coincidencia para cualquier dirección de destino IPv4 que no esté dentro del prefijo 10.1.1.0/24:
[edit firewall family inet filter filter_on_dst_addr term term24 from]
user@host# set destination-address 0.0.0.0/0
user@host# set destination-address 10.1.1.0/24 except
user@host# show
destination-address {
0.0.0.0/0;
10.1.1.0/24 except;
}
Exclusión de direcciones IP en tráfico de puente VPLS o capa 2
Para las siguientes condiciones de coincidencia de puente de capa 2 y VPLS solo en enrutadores serie MX, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección IP que no coincide con la dirección IP o el prefijo especificados:
ip-address address except: se produce una coincidencia si la dirección IP de origen o la dirección IP de destino no coincide con la dirección o el prefijo especificados.
source-ip-address address except: se produce una coincidencia si la dirección IP de origen no coincide con la dirección o el prefijo especificados.
destination-ip-address address except: se produce una coincidencia si la dirección IP de destino no coincide con la dirección o el prefijo especificados.
En el siguiente ejemplo para filtrar el tráfico VPLS en un enrutador de la serie MX, se produce una coincidencia si la dirección IP de origen se encuentra dentro del intervalo de excepciones y la dirección IP de 55.0.1.0/255.0.255.0 destino coincide 5172.16.5.0/8:
[edit]
firewall {
family vpls {
filter fvpls {
term 1 {
from {
ip-address {
55.0.0.0/8;
55.0.1.0/255.0.255.0 except;
}
}
then {
count from-55/8;
discard;
}
}
}
}
}
Exclusión de direcciones MAC en tráfico de puente de VPLS o capa 2
Para las siguientes condiciones de coincidencia de tráfico de puente vpls o capa 2, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección MAC que no coincide con la dirección MAC o el prefijo especificados:
source-mac-address address except: se produce una coincidencia si la dirección MAC de origen no coincide con la dirección o el prefijo especificados.
destination-mac-address address except: se produce una coincidencia si la dirección MAC de destino no coincide con la dirección o el prefijo especificados.
Excluir todas las direcciones requiere una coincidencia explícita en la dirección "0/0"
Si especifica una condición de coincidencia de filtro de firewall que consta de una o más condiciones de coincidencia de excepción de dirección (condiciones de coincidencia de dirección que utilizan la except palabra clave) pero sin condiciones de coincidencia de dirección coincidente , los paquetes que no coincidan con ninguno de los prefijos configurados fallarán en la operación de coincidencia general. Para configurar un término de filtro de firewall de condiciones de coincidencia de excepción de dirección para que coincida con cualquier dirección que no se encuentra en la lista de prefijos, incluya una coincidencia explícita de 0/0 modo que el término contenga una dirección coincidente.
Para el siguiente filtro de firewall de ejemplo para tráfico IPv4, el from-trusted-addresses término no descarta el tráfico coincidente y falta el INTRUDERS-COUNT contador del resultado del comando de show firewall modo operativo:
[edit]
user@host# show policy-options
prefix-list TRUSTED-ADDRESSES {
10.2.1.0/24;
192.168.122.0/24;
}
[edit firewall family inet filter protect-RE]
user@host# show
term from-trusted-addresses {
from {
source-prefix-list {
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
then {
count INTRUDERS-COUNT;
discard;
}
}
term other-icmp {
from {
protocol icmp;
}
then {
count VALID-COUNT;
accept;
}
}
term all {
then accept;
}
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 Filter: __default_bpdu_filter__
Para hacer que un término de filtro de condiciones de coincidencia de excepción de dirección coincida con cualquier dirección que no se encuentra en la lista de prefijos, incluya una coincidencia explícita en 0/0 el conjunto de condiciones de coincidencia:
[edit firewall family inet filter protect-RE]
user@host# show term from-trusted-addresses
from {
source-prefix-list {
0.0.0.0/0;
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
Con la adición de la 0.0.0.0/0 dirección de prefijo de origen a la condición de coincidencia, el from-trusted-addresses término descarta el tráfico coincidente y el contador INTRUDERS-COUNT se muestra en la salida del comando de show firewall modo operativo:
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 INTRUDERS-COUNT 420 5 Filter: __default_bpdu_filter__
Hacer coincidir cualquier campo de dirección IP con un único valor
Para el tráfico IPv4 e IPv6 y para el tráfico de puente vpls y capa 2 solo en enrutadores de la serie MX, puede usar una sola condición de coincidencia para hacer coincidir una sola dirección o un valor de prefijo al campo de dirección IP de origen o destino.
- Coincidencia de campo de dirección IP en tráfico IPv4 o IPv6
- Coincidencia de campo de dirección IP en tráfico de puente VPLS o capa 2
Coincidencia de campo de dirección IP en tráfico IPv4 o IPv6
Para el tráfico IPv4 o IPv6, puede usar una sola condición de coincidencia para especificar el mismo valor de dirección o prefijo que la coincidencia para el campo de dirección IP de origen o destino. En lugar de crear términos de filtro independientes que especifiquen la misma dirección para las source-address condiciones y destination-address coincidencias, solo se utiliza la condición de address coincidencia. Se produce una coincidencia si la dirección IP de origen o la dirección IP de destino coincide con la dirección o el prefijo especificados.
Si usa la except palabra clave con la address condición de coincidencia, se produce una coincidencia si tanto la dirección IP de origen como la dirección IP de destino coinciden con el valor especificado antes de que se aplique la excepción.
En un término de filtro de firewall que especifica la source-address condición de coincidencia o la destination-address condición de coincidencia, también no puede especificar la condición de address coincidencia.
Coincidencia de campo de dirección IP en tráfico de puente VPLS o capa 2
Para el tráfico de puente vpls o capa 2 solo en enrutadores de la serie MX, puede usar una sola condición de coincidencia para especificar el mismo valor de dirección o prefijo que la coincidencia para el campo de dirección IP de origen o destino. En lugar de crear términos de filtro independientes que especifiquen la misma dirección para las source-ip-address condiciones y destination-ip-address coincidencias, solo se utiliza la condición de ip-address coincidencia. Se produce una coincidencia si la dirección IP de origen o la dirección IP de destino coincide con la dirección o el prefijo especificados.
Si usa la except palabra clave con la ip-address condición de coincidencia, se produce una coincidencia si tanto la dirección IP de origen como la dirección IP de destino coinciden con el valor especificado antes de que se aplique la excepción.
En un término de filtro de firewall que especifica la source-ip-address condición de coincidencia o la destination-ip-address condición de coincidencia, también no puede especificar la condición de ip-address coincidencia.
Coincidencia de un campo de dirección con prefijos no contuos
Solo para el tráfico IPv4, especifique una condición de coincidencia única para que coincida con el campo de dirección IP de origen o destino con cualquier prefijo especificado. Los prefijos no deben ser contiguos. Es decir, los prefijos bajo la source-address condición o destination-address coincidencia no deben ser adyacentes ni vecinos entre sí.
En el ejemplo siguiente, se produce una coincidencia si una dirección de destino coincide con el 10.0.0.0/8 prefijo o el 192.168.0.0/32 prefijo:
[edit firewall family inet filter filter_on_dst_addr term term5 from]
user@host# set destination-address 10.0.0.0/8
user@host# set destination-address 192.168.0.0/32
user@host# show
destination-address {
destination-address 10.0.0.0/8;
destination-address 192.168.0.0/32;
}
El orden en el que se especifican los prefijos dentro de la condición de coincidencia no es significativo. Los paquetes se evalúan con todos los prefijos de la condición de coincidencia para determinar si se produce una coincidencia. Si los prefijos se superponen, se utilizan reglas de coincidencia más larga para determinar si se produce una coincidencia. Una condición de coincidencia de prefijos no contigües incluye una instrucción implícita 0/0 except , lo que significa que cualquier prefijo que no coincida con ningún prefijo incluido en la condición de coincidencia se considera explícitamente que no coincide.
Dado que los prefijos son independientes de los pedidos y utilizan reglas de coincidencia más larga, los prefijos más largos subsume los más cortos siempre y cuando sean del mismo tipo (especifique except o no). Esto se debe a que cualquier cosa que coincida con el prefijo más largo también coincidiría con el más corto.
Considere el siguiente ejemplo:
[edit firewall family inet filter filter_on_src_addr term term1 from]
source-address {
172.16.0.0/10;
172.16.2.0/24 except;
192.168.1.0;
192.168.1.192/26 except;
192.168.1.254;
172.16.3.0/24; # ignored
10.2.2.2 except; # ignored
}
Dentro de la source-address condición de coincidencia, se omiten dos direcciones. El 172.16.3.0/16 valor se omite porque cae bajo la dirección 172.16.0.0/10, que es del mismo tipo. El 10.2.2.2 except valor se ignora porque el valor de coincidencia implícito 0.0.0.0/0 except lo subsume.
Suponga que este filtro de firewall evalúa la siguiente dirección IP de origen:
Dirección 172.16.1.2IP de origen: esta dirección coincide con el 172.16.0.0/10 prefijo y, por lo tanto, se realiza la acción en la then instrucción.
Dirección 172.16.2.2IP de origen: esta dirección coincide con el 172.16.2.0/24 prefijo. Dado que este prefijo se niega (es decir, incluye la except palabra clave), se produce una discordancia explícita. Se evalúa el siguiente término del filtro, si hay uno. Si no hay más términos, el paquete se descarta.
Dirección IP 10.1.2.3de origen: esta dirección no coincide con ninguno de los prefijos incluidos en la source-address condición. En su lugar, hace coincidir lo implícito 0.0.0.0/0 except al final de la lista de prefijos configurados bajo la source-address condición de coincidencia y se considera una discordancia.
La 172.16.3.0/24 instrucción se ignora porque cae bajo la dirección 172.16.0.0/10: ambos son del mismo tipo.
La 10.2.2.2 except instrucción se ignora porque la incluye la instrucción implícita 0.0.0.0/0 except al final de la lista de prefijos configurados bajo la source-address condición de coincidencia.
Cuando un término de filtro de firewall incluye la from address address condición de coincidencia y un término posterior incluye la from source-address address condición de coincidencia para la misma dirección, los paquetes pueden ser procesados por este último término antes de que se evalúen por cualquier término interviniente. Como resultado, los paquetes que deben ser rechazados por los términos intervinientes pueden ser aceptados en su lugar, o los paquetes que se deben aceptar podrían rechazarse en su lugar.
Para evitar que esto ocurra, recomendamos que haga lo siguiente. Para cada término de filtro de firewall que contenga la from address address condición de coincidencia, reemplace ese término por dos términos independientes: una que contiene la from source-address address condición de coincidencia y otra que contiene la from destination-address address condición de coincidencia.
Coincidencia de un campo de dirección con una lista de prefijos
Puede definir una lista de prefijos de dirección IPv4 o IPv6 para su uso en una instrucción de política de enrutamiento o en una condición de coincidencia de filtro de firewall sin estado que evalúe los campos de dirección del paquete.
Para definir una lista de prefijos de dirección IPv4 o IPv6, incluya la prefix-list prefix-list instrucción.
prefix-list name {
ip-addresses;
apply-path path;
}
Puede incluir la instrucción en los siguientes niveles jerárquicos:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Después de definir una lista de prefijos, puede usarla al especificar una condición de coincidencia de filtro de firewall según un prefijo de dirección IPv4 o IPv6.
[edit firewall family family-name filter filter-name term term-name]
from {
source-prefix-list {
prefix-lists;
}
destination-prefix-list {
prefix-lists;
}
}