Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de filtros del cortafuegos

Puede configurar filtros de firewall en un conmutador para controlar el tráfico que entra o sale de las interfaces de capa 3 (enrutada). Para usar un filtro de firewall, debe configurar el filtro y, luego, aplicarlo a una interfaz de capa 3.

Configuración de un filtro de Firewall

Para configurar un filtro de Firewall:

  1. Configure el tipo de dirección de familia, el nombre del filtro, el nombre del término y al menos una condición de coincidencia; por ejemplo, hacer coincidir en paquetes que contengan una dirección de origen específica:

    Especifique el tipo inet de dirección de familia para inet6 IPv4 o para IPv6.

    Los nombres de los términos y los filtros pueden contener letras, números y guiones (-), y pueden tener hasta 64 caracteres. Cada nombre de filtro debe ser único. Un filtro puede contener uno o varios términos, y cada nombre de término debe ser único dentro de un filtro.

  2. Configure condiciones de coincidencia adicionales. Por ejemplo, hacer coincidir en paquetes que contengan un puerto de origen específico:

    Puede especificar una o más condiciones de coincidencia en una sola from instrucción. Para que se produzca una coincidencia, el paquete debe coincidir con todas las condiciones del término. La from instrucción es opcional, pero si se incluye en un término, no puede estar vacío. Si omite la from instrucción, se considera que todos los paquetes coinciden.

  3. Si desea aplicar un filtro de Firewall a varias interfaces y poder ver los contadores específicos de cada interfaz, configure la interface-specific opción:
  4. En cada término de filtro de firewall, especifique las acciones que se deben llevar a cabo si el paquete coincide con todas las condiciones en ese término. Puede especificar una acción y modificadores de acciones:
    • Para especificar una acción de filtrado, por ejemplo, para descartar paquetes que cumplan las condiciones del término de filtro:

      Noacceptpuede especificar más de una acción (, discardrejectrouting-instance,, o vlan) por término.

    • Para especificar modificadores de acciones, por ejemplo, para contar y clasificar los paquetes en una clase de reenvío. Por ejemplo:

    Si omite la then instrucción o no especifica ninguna acción, se aceptarán los paquetes que coincidan con todas las from condiciones de la instrucción. Sin embargo, siempre debe configurar explícitamente una acción en then la instrucción. No puede incluir más de una instrucción action, pero puede utilizar cualquier combinación de modificadores de acciones. Para que una acción o modificador de acción surtan efecto, deben coincidir todas las condiciones de la from instrucción.

    Nota:

    La desecho implícita también se aplica a un filtro de cortafuegos que se lo0aplica a la interfaz de bucle de retorno,.

Nota:

Para obtener una lista completa de condiciones de coincidencia, acciones y modificadores de acción, consulte Condiciones y acciones de coincidencia de filtros de firewall (QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700, EX4600, EX4650) . Tenga en cuenta que, en el conmutador OCX1100, solo puede usar las condiciones de coincidencia que son válidas para las interfaces de IPv4 e IPv6.

Aplicación de un filtro de cortafuegos a una interfaz de capa 3 (enrutado)

Para aplicar un filtro de cortafuegos a una interfaz de capa 3:

  1. Proporcione una descripción significativa del filtro firewall en la configuración de la interfaz a la que se aplicará el filtro:
  2. Puede aplicar filtros de firewall para filtrar paquetes que ingresen o salgan de una interfaz de capa 3:
    • Para aplicar un filtro de Firewall para filtrar paquetes que entran en una interfaz de capa 3:

    • Para aplicar un filtro de Firewall para filtrar paquetes que salen de una interfaz de capa 3:

    Nota:

    Solo puede aplicar un filtro a una interfaz para una dirección determinada (entrada o salida).