Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de filtros de firewall

Puede configurar filtros de firewall en un conmutador para controlar el tráfico que entra o sale de las interfaces de capa 3 (enrutadas). Para utilizar un filtro de firewall, debe configurarlo y, a continuación, aplicarlo a una interfaz de capa 3.

Configuración de un filtro de firewall

Para configurar un filtro de firewall:

  1. Configure el tipo de dirección de familia, el nombre de filtro, el nombre de término y al menos una condición de coincidencia, por ejemplo, coincidencia en paquetes que contienen una dirección de origen específica:

    Especifique el tipo inet de dirección de familia para IPv4 o inet6 IPv6.

    El filtro y los nombres de términos pueden contener letras, números y guiones (-) y pueden tener hasta 64 caracteres. Cada nombre de filtro debe ser único. Un filtro puede contener uno o más términos, y cada nombre de término debe ser único dentro de un filtro.

  2. Configure condiciones de coincidencia adicionales. Por ejemplo, haga coincidir en paquetes que contengan un puerto de origen específico:

    Puede especificar una o más condiciones de coincidencia en una sola from instrucción. Para que se produzca una coincidencia, el paquete debe cumplir todas las condiciones del término. La from instrucción es opcional, pero si se incluye en un término, no puede estar vacía. Si omite la from instrucción, se considera que todos los paquetes coinciden.

  3. Si desea aplicar un filtro de firewall a varias interfaces y poder ver contadores específicos de cada interfaz, configure la interface-specific opción:
  4. En cada término de filtro de firewall, especifique las acciones que se deben realizar si el paquete cumple todas las condiciones de ese término. Puede especificar una acción y modificadores de acción:

    • Para especificar una acción de filtrado, por ejemplo, para descartar paquetes que coincidan con las condiciones del término de filtro:

      No puede especificar más de una acción (accept, discard, reject, routing-instance, o vlan) por término.

    • Para especificar modificadores de acción, por ejemplo, para contar y clasificar paquetes en una clase de reenvío. Por ejemplo:

    Si omite la then instrucción o no especifica una acción, se aceptarán los paquetes que coincidan con todas las condiciones de la from instrucción. Sin embargo, siempre debe configurar explícitamente una acción en la then instrucción. No puede incluir más de una instrucción action, pero puede utilizar cualquier combinación de modificadores de acción. Para que una acción o modificador de acción surta efecto, todas las condiciones de la from instrucción deben coincidir.

    Nota:

    El descarte implícito también se aplica a un filtro de firewall aplicado a la interfaz de circuito cerrado, lo0.

Nota:

Para obtener la lista completa de condiciones, acciones y modificadores de acción de coincidencia, consulte Condiciones y acciones de coincidencia del filtro de firewall (EX4100, EX4100-F, EX4100-H, EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210). Tenga en cuenta que en el conmutador OCX1100 solo puede usar aquellas condiciones de coincidencia que sean válidas para las interfaces IPv4 e IPv6.

Aplicación de un filtro de firewall a una interfaz de capa 3 (enrutada)

Para aplicar un filtro de firewall a una interfaz de capa 3:

  1. Proporcione una descripción significativa del filtro de firewall en la configuración de la interfaz a la que se aplicará el filtro:
  2. Puede aplicar filtros de firewall para filtrar paquetes que entren o salgan de una interfaz de capa 3:

    • Para aplicar un filtro de firewall a los paquetes de filtro que entran en una interfaz de capa 3:

    • Para aplicar un filtro de firewall a los paquetes de filtro que salen de una interfaz de capa 3:

    Nota:

    Solo puede aplicar un filtro a una interfaz para una dirección determinada (entrada o salida).

Temas relacionados