Condiciones de coincidencia de filtros de firewall basadas en campos de direcciones
Puede configurar condiciones de coincidencia de filtro de firewall que evalúen los campos de direcciones de paquete (direcciones de origen y destino IPv4, direcciones de origen y destino IPv6, o direcciones de origen y destino del control de acceso a medios (MAC) en direcciones especificadas o valores de prefijo.
Coincidencia implícita en la dirección '0/0 excepto' para condiciones de coincidencia de filtro de firewall basadas en campos de dirección
Cada condición de coincidencia de filtro de firewall basada en un conjunto de direcciones o prefijos de dirección se asocia con una coincidencia implícita en la dirección 0.0.0.0/0 except (para tráfico IPv4 o VPLS) o 0:0:0:0:0:0:0:0/0 except (para tráfico IPv6). Como resultado, cualquier paquete cuyo campo de dirección especificado no coincide con ninguna de las direcciones o prefijos de dirección especificados no coincide con el término completo.
Hacer coincidir un campo de dirección con una máscara de subred o un prefijo
Puede especificar una condición de coincidencia única para que coincida con una dirección de origen o destino que se encuentra dentro de un prefijo de dirección especificado.
- Notación de máscara de subred IPv4
- Notación de prefijo
- Longitud del prefijo predeterminado para direcciones IPv4
- Longitud del prefijo predeterminado para direcciones IPv6
- Longitud del prefijo predeterminado para direcciones MAC
Notación de máscara de subred IPv4
Para una dirección IPv4, puede especificar un valor de máscara de subred en lugar de una longitud de prefijo. Por ejemplo:
[edit firewall family inet filter filter_on_dst_addr term term3 from] user@host# set address 10.0.0.10/255.0.0.255
Notación de prefijo
Para especificar el prefijo de dirección, utilice la notación prefix/prefix-length. En el siguiente ejemplo, se produce una coincidencia si una dirección de destino coincide con el prefijo 10.0.0.0/8:
[edit firewall family inet filter filter_on_dst_addr term term1 from] user@host# set destination-address 10.0.0.0/8
Longitud del prefijo predeterminado para direcciones IPv4
Si no especifica /prefix-length para una dirección IPv4, la longitud del prefijo predeterminada es /32. En el siguiente ejemplo se muestra el valor del prefijo predeterminado:
[edit firewall family inet filter filter_on_dst_addr term term2 from]
user@host# set destination-address 10
user@host# show
destination-address {
10.0.0.0/32;
}
Longitud del prefijo predeterminado para direcciones IPv6
Si no especifica /prefix-length para una dirección IPv6, la longitud del prefijo de forma predeterminada es /128. En el siguiente ejemplo se muestra el valor del prefijo predeterminado:
[edit firewall family inet6 filter filter_on_dst_addr term term1 from]
user@host# set destination-address ::10
user@host# show
destination-address {
::10/128;
}
Longitud del prefijo predeterminado para direcciones MAC
Si no especifica /prefix-length para una dirección de control de acceso a medios (MAC) de un paquete de puente VPLS, CCC de capa 2 o capa 2, la longitud del prefijo de forma predeterminada es /48. En el siguiente ejemplo se muestra el valor del prefijo predeterminado:
[edit firewall family vpls filter filter_on_dst_mac_addr term term1 from]
user@host# set destination-mac-address 01:00:0c:cc:cc:cd
user@host# show
destination-address {
01:00:0c:cc:cc:cd/48;
}
Hacer coincidir un campo de dirección con un valor excluido
Para las condiciones de coincidencia de campo de dirección, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección que no coincide con la dirección o el prefijo especificados.
- Exclusión de direcciones IP en tráfico IPv4 o IPv6
- Exclusión de direcciones IP en tráfico de puente vpls o capa 2
- Exclusión de direcciones MAC en tráfico de puente de capa 2 o VPLS
- Excluir todas las direcciones requiere una coincidencia explícita en la dirección '0/0'
Exclusión de direcciones IP en tráfico IPv4 o IPv6
Para las siguientes condiciones de coincidencia de IPv4 e IPv6, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección IP que no coincide con la dirección IP o el prefijo especificados:
address address except— Se produce una coincidencia si la dirección IP de origen o la dirección IP de destino no coincide con la dirección o prefijo especificados.
source-address address except— Se produce una coincidencia si la dirección IP de origen no coincide con la dirección o el prefijo especificados.
destination-address address except— Se produce una coincidencia si la dirección IP de destino no coincide con la dirección o el prefijo especificados.
En el ejemplo siguiente, se produce una coincidencia para cualquier dirección de destino IPv4 que se encuentra bajo el 172.0.0.0/8 prefijo, excepto para las direcciones que se encuentran en 172.16.0.0/16. El resto de direcciones no coincide implícitamente con esta condición.
[edit firewall family inet filter filter_on_dst_addr term term1 from]
user@host# set destination-address 172.16.0.0/16 except
user@host# set destination-address 172.0.0.0/8
user@host# show
destination-address {
172.16.0.0/16 except;
172.0.0.0/8;
}
En el siguiente ejemplo, se produce una coincidencia para cualquier dirección de destino IPv4 que no esté dentro del prefijo 10.1.1.0/24:
[edit firewall family inet filter filter_on_dst_addr term term24 from]
user@host# set destination-address 0.0.0.0/0
user@host# set destination-address 10.1.1.0/24 except
user@host# show
destination-address {
0.0.0.0/0;
10.1.1.0/24 except;
}
Exclusión de direcciones IP en tráfico de puente vpls o capa 2
Para las siguientes condiciones de coincidencia de puente de vpLS y capa 2 solo en enrutadores serie MX, puede incluir la except palabra clave para especificar que se produce una coincidencia para un campo de dirección IP que no coincide con la dirección IP o el prefijo especificados:
ip-address address except— Se produce una coincidencia si la dirección IP de origen o la dirección IP de destino no coincide con la dirección o prefijo especificados.
source-ip-address address except— Se produce una coincidencia si la dirección IP de origen no coincide con la dirección o el prefijo especificados.
destination-ip-address address except— Se produce una coincidencia si la dirección IP de destino no coincide con la dirección o el prefijo especificados.
En el siguiente ejemplo para filtrar tráfico VPLS en un enrutador serie MX, se produce una coincidencia si la dirección IP de origen está dentro del intervalo de excepción y la dirección IP de 55.0.1.0/255.0.255.0 destino coincide 5172.16.5.0/8:
[edit]
firewall {
family vpls {
filter fvpls {
term 1 {
from {
ip-address {
55.0.0.0/8;
55.0.1.0/255.0.255.0 except;
}
}
then {
count from-55/8;
discard;
}
}
}
}
}
Exclusión de direcciones MAC en tráfico de puente de capa 2 o VPLS
Para las siguientes condiciones de coincidencia de tráfico de puente de VPLS o capa 2, puede incluir la except palabra clave para especificar que se produzca una coincidencia para un campo de dirección MAC que no coincida con la dirección MAC o el prefijo MAC especificados:
source-mac-address address except— Se produce una coincidencia si la dirección MAC de origen no coincide con la dirección o el prefijo especificados.
destination-mac-address address except— Se produce una coincidencia si la dirección MAC de destino no coincide con la dirección o el prefijo especificados.
Excluir todas las direcciones requiere una coincidencia explícita en la dirección '0/0'
Si especifica una condición de coincidencia de filtro de firewall que consta de una o más condiciones de coincidencia de excepción de dirección (condiciones de coincidencia de dirección que usan la except palabra clave) pero no condiciones de coincidencia de dirección coincidentes , los paquetes que no coincidan con ninguno de los prefijos configurados fallan la operación de coincidencia general. Para configurar un término de filtro de firewall de condiciones de coincidencia de dirección-excepción para que coincida con cualquier dirección que no esté en la lista de prefijos, incluya una coincidencia explícita de 0/0 modo que el término contenga una dirección emparejable.
Para el siguiente filtro de firewall de ejemplo para el tráfico IPv4, el from-trusted-addresses término no descarta el tráfico coincidente y el INTRUDERS-COUNT contador no se encuentra en el resultado del show firewall comando del modo operativo:
[edit]
user@host# show policy-options
prefix-list TRUSTED-ADDRESSES {
10.2.1.0/24;
192.168.122.0/24;
}
[edit firewall family inet filter protect-RE]
user@host# show
term from-trusted-addresses {
from {
source-prefix-list {
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
then {
count INTRUDERS-COUNT;
discard;
}
}
term other-icmp {
from {
protocol icmp;
}
then {
count VALID-COUNT;
accept;
}
}
term all {
then accept;
}
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 Filter: __default_bpdu_filter__
Para hacer que un término de filtro de condiciones de coincidencia dirección-excepción coincida con cualquier dirección que no esté en la lista de prefijos, incluya una coincidencia explícita de 0/0 en el conjunto de condiciones de coincidencia:
[edit firewall family inet filter protect-RE]
user@host# show term from-trusted-addresses
from {
source-prefix-list {
0.0.0.0/0;
TRUSTED-ADDRESSES except;
}
protocol icmp;
}
Con la adición de la 0.0.0.0/0 dirección del prefijo de origen a la condición de coincidencia, el from-trusted-addresses término descarta el tráfico correspondiente, y el contador INTRUDERS-COUNT se muestra en la salida del comando del show firewall modo operativo:
[edit] user@host# run show firewall Filter: protect-RE Counters: Name Bytes Packets VALID-COUNT 2770 70 INTRUDERS-COUNT 420 5 Filter: __default_bpdu_filter__
Hacer coincidir cualquiera de los campos de dirección IP con un valor único
Para el tráfico IPv4 e IPv6 y para el tráfico de puente de VPLS y capa 2 solo en enrutadores serie MX, puede usar una condición de coincidencia única para coincidir con un único valor de dirección o prefijo con el campo de dirección IP de origen o destino.
- Coincidencia de campo de dirección IP en tráfico IPv4 o IPv6
- Hacer coincidir el campo de dirección IP en el tráfico de puente de capa 2 o VPLS
Coincidencia de campo de dirección IP en tráfico IPv4 o IPv6
Para el tráfico IPv4 o IPv6, puede usar una condición de coincidencia única para especificar el mismo valor de dirección o prefijo como coincidencia para el campo de dirección IP de origen o destino. En lugar de crear términos de filtro independientes que especifiquen la misma dirección para las source-address condiciones de coincidencia destination-address y, solo se usa la address condición de coincidencia. Se produce una coincidencia si la dirección IP de origen o la dirección IP de destino coincide con la dirección o prefijo especificados.
Si usa la except palabra clave con la address condición de coincidencia, se produce una coincidencia si tanto la dirección IP de origen como la dirección IP de destino coinciden con el valor especificado antes de que se aplique la excepción.
En un término de filtro de firewall que especifica la source-address condición o la destination-address de coincidencia, tampoco puede especificar la address condición de coincidencia.
Hacer coincidir el campo de dirección IP en el tráfico de puente de capa 2 o VPLS
Para el tráfico de puente de capa 2 o VPLS solo en enrutadores serie MX, puede usar una condición de coincidencia única para especificar el mismo valor de dirección o prefijo como coincidencia para el campo de dirección IP de origen o destino. En lugar de crear términos de filtro independientes que especifiquen la misma dirección para las source-ip-address condiciones de coincidencia destination-ip-address y, solo se usa la ip-address condición de coincidencia. Se produce una coincidencia si la dirección IP de origen o la dirección IP de destino coincide con la dirección o prefijo especificados.
Si usa la except palabra clave con la ip-address condición de coincidencia, se produce una coincidencia si tanto la dirección IP de origen como la dirección IP de destino coinciden con el valor especificado antes de que se aplique la excepción.
En un término de filtro de firewall que especifica la source-ip-address condición o la destination-ip-address de coincidencia, tampoco puede especificar la ip-address condición de coincidencia.
Hacer coincidir un campo de dirección con prefijos no contigües
Solo para el tráfico IPv4, especifique una condición de coincidencia única para que coincida con el campo de dirección ip de origen o destino con cualquier prefijo especificado. Los prefijos no necesitan ser contiguos. Es decir, los prefijos bajo la source-address condición o destination-address coincidencia no necesitan estar adyacentes o vecinos entre sí.
En el ejemplo siguiente, se produce una coincidencia si una dirección de destino coincide con el 10.0.0.0/8 prefijo o el 192.168.0.0/32 prefijo:
[edit firewall family inet filter filter_on_dst_addr term term5 from]
user@host# set destination-address 10.0.0.0/8
user@host# set destination-address 192.168.0.0/32
user@host# show
destination-address {
destination-address 10.0.0.0/8;
destination-address 192.168.0.0/32;
}
El orden en el que especifica los prefijos dentro de la condición de coincidencia no es significativo. Los paquetes se evalúan con todos los prefijos en la condición de coincidencia para determinar si se produce una coincidencia. Si los prefijos se superponen, se usan reglas de coincidencia más larga para determinar si se produce una coincidencia. Una condición de coincidencia de prefijos no contiguos incluye una instrucción implícita 0/0 except , lo que significa que cualquier prefijo que no coincida con ningún prefijo incluido en la condición de coincidencia se considera explícitamente que no coincide.
Dado que los prefijos son independientes del orden y usan reglas de coincidencia más largas, los prefijos más largos suban a los más cortos, siempre y cuando sean del mismo tipo (ya sea que especifique except o no). Esto se debe a que cualquier cosa que coincida con el prefijo más largo también coincidiría con el más corto.
Considere el siguiente ejemplo:
[edit firewall family inet filter filter_on_src_addr term term1 from]
source-address {
172.16.0.0/10;
172.16.2.0/24 except;
192.168.1.0;
192.168.1.192/26 except;
192.168.1.254;
172.16.3.0/24; # ignored
10.2.2.2 except; # ignored
}
Dentro de la source-address condición de coincidencia, se omiten dos direcciones. El 172.16.3.0/16 valor se omite porque se encuentra bajo la dirección 172.16.0.0/10, que es el mismo tipo. El 10.2.2.2 except valor se omite porque está subsumido por el valor de coincidencia implícito 0.0.0.0/0 except .
Suponga que este filtro de firewall evalúa la siguiente dirección IP de origen:
Dirección IP de origen 172.16.1.2— Esta dirección coincide con el 172.16.0.0/10 prefijo y, por lo tanto, se realiza la acción de la then instrucción.
Dirección IP de origen 172.16.2.2— Esta dirección coincide con el 172.16.2.0/24 prefijo. Dado que este prefijo se niega (es decir, incluye la except palabra clave), se produce una discordancia explícita. El siguiente término en el filtro se evalúa, si lo hay. Si no hay más términos, el paquete se descarta.
Dirección IP de origen 10.1.2.3— Esta dirección no coincide con ninguno de los prefijos incluidos en la source-address condición. En su lugar, coincide con el implícito 0.0.0.0/0 except al final de la lista de prefijos configurados bajo la source-address condición de coincidencia y se considera que es una discordancia.
La 172.16.3.0/24 instrucción se omite porque se encuentra bajo la dirección 172.16.0.0/10: ambos son del mismo tipo.
La 10.2.2.2 except instrucción se omite porque está subsumida por la instrucción implícita 0.0.0.0/0 except al final de la lista de prefijos configurados bajo la source-address condición de coincidencia.
Cuando un término de filtro de firewall incluye la from address address condición de coincidencia y un término subsiguiente incluye la from source-address address condición de coincidencia para la misma dirección, es posible que los paquetes se procesen antes de que sean evaluados por cualquier término intermedio. Como resultado, los paquetes que deben rechazarse mediante los términos intermedios podrían ser aceptados en su lugar, o los paquetes que deberían aceptarse podrían rechazarse en su lugar.
Para evitar que esto ocurra, recomendamos que haga lo siguiente. Por cada término de filtro de firewall que contenga la from address address condición de coincidencia, reemplace ese término por dos términos separados: una que contiene la from source-address address condición de coincidencia y otra que contiene la condición de from destination-address address coincidencia.
Hacer coincidir un campo de dirección con una lista de prefijos
Puede definir una lista de prefijos de dirección IPv4 o IPv6 para su uso en una instrucción de política de enrutamiento o en una condición de coincidencia de filtro de firewall sin estado que evalúe los campos de dirección de paquete.
Para definir una lista de prefijos de dirección IPv4 o IPv6, incluya la prefix-list prefix-list instrucción.
prefix-list name {
ip-addresses;
apply-path path;
}
Puede incluir la instrucción en los siguientes niveles de jerarquía:
[edit policy-options]
[edit logical-systems logical-system-name policy-options]
Después de haber definido una lista de prefijos, puede usarla al especificar una condición de coincidencia de filtro de firewall basada en un prefijo de dirección IPv4 o IPv6.
[edit firewall family family-name filter filter-name term term-name]
from {
source-prefix-list {
prefix-lists;
}
destination-prefix-list {
prefix-lists;
}
}