Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de filtros de firewall

Puede configurar filtros de firewall en un conmutador para controlar el tráfico que entra o sale de interfaces de capa 3 (enrutadas). Para usar un filtro de firewall, debe configurarlo y, a continuación, aplicarlo a una interfaz de capa 3.

Configuración de un filtro de firewall

Para configurar un filtro de firewall:

  1. Configure el tipo de dirección de familia, el nombre de filtro, el nombre de término y al menos una condición de coincidencia( por ejemplo, coincidencia en paquetes que contengan una dirección de origen específica:

    Especifique el tipo inet de dirección de familia para IPv4 o inet6 para IPv6.

    El filtro y los nombres de términos pueden contener letras, números y guiones (-) y pueden tener hasta 64 caracteres de longitud. Cada nombre de filtro debe ser único. Un filtro puede contener uno o varios términos, y cada nombre de término debe ser único dentro de un filtro.

  2. Configure condiciones de coincidencia adicionales. Por ejemplo, coincidencia en paquetes que contienen un puerto de origen específico:

    Puede especificar una o varias condiciones de coincidencia en una sola from instrucción. Para que se produzca una coincidencia, el paquete debe coincidir con todas las condiciones del término. La from instrucción es opcional, pero si se incluye en un término, no puede estar vacía. Si omite la from instrucción, se considera que todos los paquetes coinciden.

  3. Si desea aplicar un filtro de firewall a varias interfaces y poder ver contadores específicos de cada interfaz, configure la interface-specific opción:
  4. En cada término de filtro de firewall, especifique las acciones que se deben realizar si el paquete coincide con todas las condiciones en ese término. Puede especificar un modificador de acción y acción:

    • Para especificar una acción de filtro, por ejemplo, para descartar paquetes que coincidan con las condiciones del término de filtro:

      No puede especificar más de una acción (accept, , discardreject, routing-instanceo vlan) por término.

    • Para especificar modificadores de acciones, por ejemplo, para contar y clasificar paquetes en una clase de reenvío. Por ejemplo:

    Si omite la then instrucción o no especifica una acción, se aceptarán los paquetes que coincidan con todas las condiciones de la from instrucción. Sin embargo, siempre debe configurar explícitamente una acción en la then instrucción. Puede incluir no más de una instrucción action, pero puede usar cualquier combinación de modificadores de acción. Para que una acción o modificador de acción su efecto, todas las condiciones de la from instrucción deben coincidir.

    Nota:

    El descarte implícito también se aplica a un filtro de firewall aplicado a la interfaz de circuito cerrado, lo0.

Nota:

Para obtener la lista completa de condiciones, acciones y modificadores de acciones de coincidencia, consulte Condiciones y acciones de coincidencia de filtro de firewall (EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700). Tenga en cuenta que en el conmutador OCX1100 solo puede usar aquellas condiciones de coincidencia que son válidas para interfaces IPv4 e IPv6.

Aplicación de un filtro de firewall a una interfaz de capa 3 (enrutada)

Para aplicar un filtro de firewall a una interfaz de capa 3:

  1. Proporcione una descripción significativa del filtro de firewall en la configuración de la interfaz a la que se aplicará el filtro:
  2. Puede aplicar filtros de firewall a paquetes de filtro que entran o salen de una interfaz de capa 3:

    • Para aplicar un filtro de firewall para filtrar paquetes que entran en una interfaz de capa 3:

    • Para aplicar un filtro de firewall para filtrar paquetes que salen de una interfaz de capa 3:

    Nota:

    Solo puede aplicar un filtro a una interfaz para una dirección determinada (entrada o salida).

Temas relacionados