Condiciones y acciones de coincidencia de filtros de firewall (enrutadores de la serie PTX)

Condiciones y acciones de coincidencia de filtros de firewall (PTX10003 y PTX10008)

Cada término en un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y valores que un paquete debe contener para considerarse coincidencia. Puede definir condiciones de coincidencia única o varias en instrucciones de coincidencia. También puede incluir instrucción no match, en cuyo caso el término coincide con todos los paquetes.

Cuando un paquete coincide con un filtro, el enrutador realiza la acción especificada en el término. Además, puede especificar modificadores de acciones para contar, reflejar, límite de velocidad y clasificar paquetes. Si no se especifican condiciones de coincidencia para el término, el enrutador acepta el paquete de forma predeterminada.

En el PTX10003, puede aplicar varios filtros de firewall a una sola interfaz como una única lista de entrada o lista de salida (filter input-list and output-list). De esta manera, solo administra la configuración para una tarea de filtrado en un único filtro de firewall. Esto le da flexibilidad en entornos grandes cuando tiene un dispositivo configurado con muchas interfaces. Puede hacer lo mismo en el PTX10008, pero el enrutador solo admite la aplicación de varios filtros de firewall a una sola lista de entrada.

Tabla 1 describe las condiciones de coincidencia que puede especificar al configurar un filtro de firewall. Algunas de las condiciones de coincidencia de rango numérico y campo de bits le permiten especificar un sinónimo de texto. Para ver una lista de todos los sinónimos de una condición de coincidencia, escriba ? en el lugar adecuado de una instrucción.
Tabla 2 muestra las acciones y modificadores de acciones que puede especificar en un término.

Tabla 1: Condiciones de coincidencia compatibles (PTX10003 y PTX10008)
Condición de coincidencia	Descripción	Interfaces compatibles
`address address [ except ]`	Coincida con el campo de dirección de origen o destino a menos que se incluya la `except` opción.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`destination-address address [ except ]`	Coincida con el campo de dirección de destino a menos que se incluya la `except` opción. No puede especificar ambas `address` condiciones y `destination-address` coincidir con el mismo término.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`destination-port number`	Coincida con el campo de puerto de destino UDP o TCP. También debe configurar la `protocol udp` instrucción o `protocol tcp` coincide con el mismo término para especificar qué protocolo se utiliza en el puerto. No puede especificar las `port` condiciones y `destination-port` coincidir en el mismo término. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los números de puerto): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), (21) `eklogin` 05), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), (44) `snpp` 4), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) o `xdmcp` (177).	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`destination-port-except number`	No coincida con el campo de puerto de destino UDP o TCP. Para obtener más información, consulte la condición de `destination-port` coincidencia.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`destination-prefix-list name [ except ]`	Haga coincidir los prefijos de destino de una lista, a menos que la `except` opción esté incluida. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el `[edit policy-options]` nivel de jerarquía.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`dscp number`	Haga coincidir el punto de código de servicios diferenciados (DSCP). El protocolo DiffServ usa el byte de tipo de servicio (ToS) en el encabezado IP. Los 6 bits más significativos de este byte forman el DSCP. Puede especificar DSCP en forma hexadecimal, binario o decimal. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): `be`—mejor esfuerzo (por defecto) `ef (46)`—como se define en el RFC 3246, PHB de reenvío acelerado. `af11 (10)`, `af12 (12)`, `af13 (14)`; `af21 (18)`, `af22 (20)`, `af23 (22)`; `af31 (26)`, `af32 (28)`, `af33 (30)`; `af41 (34)`, `af42 (36)`, `af43 (38)` Estas cuatro clases, con tres precedencias de caída en cada clase, para un total de 12 puntos de código, se definen en el RFC 2597, PHB de reenvío garantizado. `cs0`, `cs1`, `cs2`, `cs3`, `cs4`, `cs5`, `cs6`, `cs7`, `cs5`	Interfaces IPv4 (inet) e IPv6 (inet6).
`dscp-except number`	No coincida con el número de DSCP. Para obtener más información, consulte la condición de `dscp` coincidencia.	Interfaces IPv4 (inet) e IPv6 (inet6).
`first-fragment`	Coincida si el paquete es el primer fragmento de un paquete fragmentado. No haga coincidir si el paquete es un fragmento final de un paquete fragmentado. El primer fragmento de un paquete fragmentado tiene un valor de desplazamiento de fragmento de `0`. Esta condición de coincidencia es un alias para la condición de coincidencia de campo `fragment-offset 0` de bits. Para hacer coincidir los fragmentos primero y final, puede usar dos términos que especifican condiciones de coincidencia diferentes: `first-fragment` y `is-fragment`.	Interfaces IPv4 (inet).
`forwarding-class class`	Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario: `best-effort` `fcoe` `network-control` `no-loss`	Interfaces IPv4 (inet), IPv6 (inet6) y MPLS.
`forwarding-class-except class`	No coincida con la clase de reenvío del paquete. Para obtener más información, consulte la condición de `forwarding-class` coincidencia.	Interfaces IPv4 (inet), IPv6 (inet6) y MPLS.
`fragment-flags number`	Coincida con el campo de indicadores de fragmentación DE IP de tres bits en el encabezado ip. En lugar del valor del campo numérico, puede especificar una de las siguientes palabras clave (los valores de campo también se enumeran): `dont-`(0x4), `more-s` (0x2) o `reserved` (0x8).	Interfaces IPv4 (inet).
`fragment-offset value`	Coincida con el campo de desplazamiento de fragmento de 13 bits en el encabezado IP. El valor es el desplazamiento, en unidades de 8 bytes, en el mensaje de datagrama general al fragmento de datos. Especifique un valor numérico, un rango de valores o un conjunto de valores. Un valor de desplazamiento de `0` indica el primer fragmento de un paquete fragmentado. La `first-fragment` condición de coincidencia es un alias para la `fragment-offset 0` condición de coincidencia. Para hacer coincidir los fragmentos primero y final, puede usar dos términos que especifican condiciones de coincidencia diferentes (`first-fragment` y `is-fragment`).	Interfaces IPv4 (inet).
`fragment-offset-except number`	No haga coincidir el campo de desplazamiento de fragmento de 13 bits.	Interfaces IPv4 (inet).
`icmp-code message-code`	Coincida con el campo de código de mensaje ICMP. Si configura esta condición de coincidencia, recomendamos que también configure la `next-header icmp` condición o `next-header icmp6` de coincidencia en el mismo término. Si configura esta condición de coincidencia, también debe configurar la `icmp-type message-type` condición de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas: parameter-problem: `ip-header-bad`(0), `required-option-missing` (1) Redirigir: `redirect-for-host`(1), `redirect-for-network` (0), `redirect-for-tos-and-host` (3), `redirect-for-tos-and-net` (2) tiempo superado: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) Inalcanzable: `communication-prohibited-by-filtering`(13), `destination-host-prohibited` (10), `destination-host-unknown` (7), `destination-network-prohibited` (9), `destination-network-unknown` (6), `fragmentation-needed` (4), `host-precedence-violation` (14), `host-unreachable` (1), `host-unreachable-for-TOS` (12), `network-unreachable` (0), `network-unreachable-for-TOS` (11), `port-unreachable` (3), `precedence-cutoff-in-effect` (15), `protocol-unreachable` (2), `source-host-isolated` (8), `source-route-failed` (5)	Interfaces IPv4 (inet) e IPv6 (inet6).
`icmp-code-except message-code`	No haga coincidir el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de `icmp-code` coincidencia.	Interfaces IPv4 (inet) e IPv6 (inet6).
`icmp-type number`	Coincida con el campo de tipo de mensaje ICMP. También debe configurar `icmp` o `icmpv6` como `protocol` `next-header` tipo de coincidencia en el mismo término. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): `echo-reply`(0), `echo-request` (8), `info-reply` (16), `info-request` (15), `mask-request` (17), `mask-reply` (18), `parameter-problem` (12), `redirect` (5), `router-advertisement` (9), `router-solicit` (10), `source-quench` (4), `time-exceeded` (11), `timestamp` (13), `timestamp-reply` (14) o `unreachable` (3). Consulte también `icmp-code variable`.	Interfaces IPv4 (inet) e IPv6 (inet6).
`icmp-type-except message-type`	No haga coincidir el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de `icmp-type` coincidencia.	Interfaces IPv4 (inet) e IPv6 (inet6).
`interface interface-name`	En el caso de los filtros de entrada, haga coincidir la interfaz en la que se recibió el paquete. Para filtros de salida, haga coincidir la interfaz en la que se envió el paquete. Nota: Los enrutadores de la serie PTX5000 no admiten la conexión de la `em0.0` interfaz (el vínculo interno entre los motores de enrutamiento y reenvío de paquetes) a `lo0` (la interfaz de circuito cerrado), por ejemplo, para filtrar tráfico de origen propio, como Telnet y SSH mediante la creación de un filtro de firewall en lo0 para que coincida con el tráfico en em0.0. El siguiente fragmento de código proporciona contexto: firewall filter core-protect { term Telnet { from { protocol tcp; destination-port telnet; interface em0.0; } then accept; } } }	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`interface-except number`	No coincida con la interfaz lógica en la que se recibió el paquete. Para obtener más información, consulte la condición de `interface` coincidencia.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`is-fragment`	Coincida si el paquete es un fragmento final de un paquete fragmentado. No haga coincidir el primer fragmento de un paquete fragmentado. Nota: Para hacer coincidir los fragmentos primero y final, puede usar dos términos que especifican condiciones de coincidencia diferentes (`first-fragment` y `is-fragment`). Para los enrutadores PTX10003 que ejecutan Junos OS Evolved, todos los paquetes fragmentados, incluido el primer fragmento de paquetes fragmentados, coincidirán en cualquier término de filtro de firewall que contenga una coincidencia "is-fragment".	Interfaces IPv4 (inet).
`loss-priority level`	Coincida con la prioridad de pérdida de paquetes (PLP). Especifique un solo nivel o varios niveles: `low`, `medium-low`, `medium-high`, o `high`. Nota: El `loss-priority` modificador de acción no se admite en combinación con la `policer` acción.	Interfaces IPv4 (inet), IPv6 (inet6) y MPLS.
`loss-priority-except level`	No coincida con el nivel de PLP. Para obtener más información, consulte la condición de `loss-priority` coincidencia.	Interfaces IPv4 (inet), IPv6 (inet6) y MPLS.
`next-header header-type`	Coincida con el primer campo de encabezado siguiente de 8 bits del paquete. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): `ah`(51), `dstops` (60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), `icmpv6` (58), `igmp` (2), `ipip` (4), (4), (4) `ipv6` 1), `mobility` (135), `no-next-header` (59), `ospf` (89), `pim` (103), `routing` (43), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) o `vrrp` (112).	Interfaces IPv6 (inet6).
`next-header-except header-type`	No haga coincidir el campo Encabezado siguiente de 8 bits que identifica el tipo de encabezado entre el encabezado IPv6 y la carga. Para obtener más información, consulte el tipo de `next-header` coincidencia.	Interfaces IPv6 (inet6)
`packet-length bytes`	Haga coincidir la longitud del paquete recibido en bytes. La longitud se refiere solo al paquete IP, incluido el encabezado del paquete, y no incluye ninguna sobrecarga de encapsulación de capa 2. También puede especificar un rango de valores que se coincidirán.	Interfaces IPv4 (inet) e IPv6 (inet6).
`packet-length-except bytes`	No coincida con la longitud del paquete recibido, en bytes. Para obtener más información, consulte el tipo de `packet-length` coincidencia.	Interfaces IPv4 (inet) e IPv6 (inet6).
`port number`	Coincida con el campo de puerto de origen o destino UDP o TCP. También debe configurar la `protocol udp` instrucción o `protocol tcp` coincide con el mismo término para especificar qué protocolo se utiliza en el puerto. No puede configurar la `destination-port` condición de coincidencia o la `source-port` condición de coincidencia en el mismo término. En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en `destination-port`.	Interfaces IPv4 (inet) e IPv6 (inet6).
`port-except number`	No coincida con el campo de puerto UDP o TCP de origen o destino. Para obtener más información, consulte la condición de `port` coincidencia.	Interfaces IPv4 (inet) e IPv6 (inet6).
`precedence ip-precedence-value`	Coincida con el campo de prioridad IP. En lugar del valor del campo numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): `critical-ecp`(0xa0), `flash` (0x60), `flash-override` (0x80), `immediate` (0x40), `internet-control` (0xc0), `net-control` (0xe0), `priority` (0x20) o `routine` (0x00). Puede especificar la prioridad en forma hexadecimal, binario o decimal.	Interfaces IPv4 (inet).
`precedence-except ip-precedence-value`	No coincida con el campo de prioridad IP.	Interfaces IPv4 (inet).
`protocol number`	Coincida con el campo de tipo de protocolo IPv4. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores numéricos también se enumeran): `hop-by-hop (0)`,`icmp (1)`, `icmp6`, `igmp (2)`, `ipip (4)`, `tcp (6)`, `egp (8)`, `udp (17)`, `ipv6 (41)`, `routing (43)`, `fragment (44)`,`rsvp (46)`, `gre (47)`, `esp (50)`, `ah (51)`, `icmp6 (58)`, `no-next-header (59)`, `dstopts (60)`, `ospf (89)`, `pim (103)`, `vrrp (112)`, `sctp (132)`	Interfaces IPv4 (inet).
`protocol-except number`	No coincida con el campo de tipo de protocolo IP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): `ah`(51), `dstopts` (60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), `icmpv6` (58), `igmp` (2), `ipip` (4), `ipv6` (41), `ospf` (89), `pim` (103), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) o `vrrp` (112).	Interfaces IPv4 (inet).
`source-address ip-address`	Campo de dirección ip de origen, que es la dirección del nodo que envió el paquete.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`source-address address [ except ]`	Coincida con la dirección IP del nodo de origen que envía el paquete a menos que se incluya la `except` opción. Si se incluye la opción, no coincida con la dirección IP del nodo de origen que envía el paquete. No puede especificar las `address` condiciones y `source-address` coincidir en el mismo término.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`source-port value`	Coincida con el puerto de origen TCP o UDP. También debe configurar la `protocol udp` instrucción o `protocol tcp` coincide con el mismo término. En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la `destination-port number` condición de coincidencia.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`source-port-except number`	No coincida con el campo de puerto de origen UDP o TCP. Para obtener más información, consulte la condición de `source-port` coincidencia.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`source-prefix-list prefix-list`	Lista de prefijos ip fuente. Puede definir una lista de prefijos de dirección IP bajo un alias de lista de prefijos para uso frecuente. Defina esta lista en el `[edit policy-options]` nivel de jerarquía.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`tcp-flags value`	Coincida con uno o más de los 6 bits de orden bajo en el campo de indicadores TCP de 8 bits en el encabezado TCP. Para especificar campos de bits individuales, puede especificar los siguientes sinónimos de texto o valores hexadecimales: `fin`(0x01) `syn`(0x02) `rst`(0x04) `push`(0x08) `ack`(0x10) `urgent`(0x20) En una sesión TCP, la marca SYN solo se establece en el paquete inicial enviado, mientras que la marca ACK se establece en todos los paquetes enviados después del paquete inicial. Puede encadenar varios indicadores mediante los operadores lógicos de campo de bits. Si configura esta condición de coincidencia, recomendamos que también configure la `protocol tcp` instrucción match en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto. Para solo tráfico IPv4, esta condición de coincidencia no comprueba implícitamente si el datagrama contiene el primer fragmento de un paquete fragmentado. Para comprobar esta condición solo para el tráfico IPv4, utilice la condición de `first-fragment` coincidencia.	Interfaces IPv4 (inet) e interfaces IPv6 (inet6).
`traffic-class value`	Campo de 8 bits que especifica la prioridad de clase de servicio (CoS) del paquete. El campo de clase de tráfico se utiliza para especificar un valor de punto de código DiffServ (DSCP). Este campo se usaba anteriormente como campo de tipo de servicio (ToS) en IPv4 y, la semántica de este campo (por ejemplo, DSCP) es idéntica a la de IPv4. Puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran): `af11 (10)`, `af12 (12)`, `af13 (14)`, `af21 (18)`, `af22 (20)`, `af23 (22)`, `af31 (26)`, `af32 (28)`, `af33 (30)`, `af41 (34)`, `af42 (36)`, `af43 (38)`, `cs0 (0)`, `cs1 (8)`, `cs2 (16)`, `cs3 (24)`, `cs4 (32)`, `cs5 (40)`, `cs6 (48)`, `cs7 (56)`, `ef (46)`	Interfaces IPv6 (inet6).
`traffic-class-except number`	No coincida con el campo de 8 bits que especifica la prioridad de CoS del paquete. Para obtener más información, consulte la descripción del `traffic-class` partido.	Interfaces IPv6 (inet6).
`ttl number`	Coincida con el número de tiempo de vida de IPv4 o IPv6. Especifique un valor TTL o un rango de valores TTL. Para `number`, puede especificar uno o varios valores desde a través `255`de `0` .	Interfaces IPv4 (inet) e IPv6 (inet6).
`ttl-except number`	No coincida con el número TTL IPv4 o IPv6. Para obtener más información, consulte la condición de `ttl` coincidencia.	Interfaces IPv4 (inet) e IPv6 (inet6).

Use then instrucciones para definir acciones que deberían producirse si un paquete coincide con todas las condiciones de una from instrucción. Tabla 2 Muestra las acciones que puede especificar en un término. (Si no incluye una then instrucción, el sistema acepta paquetes que coincidan con el filtro.)

Tabla 2: Acciones y modificadores de acciones (PTX10003 y PTX10008, o como se indica)
Acción	Descripción
`accept`	Aceptar un paquete. Esta es la acción predeterminada para los paquetes que coinciden con un término.
`discard`	Descarte un paquete en silencio sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP).
`count counter-name`	Cuente la cantidad de paquetes que coincidan con el término.
`forwarding-class class`	Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario: `best-effort` `fcoe` `mcast` `network-control` `no-loss` Nota: La `forwarding-class` acción se admite en interfaces IPv4, IPv6 y MPLS.
`log`	Registre la información de encabezado del paquete en el motor de enrutamiento. Para ver esta información, ingrese el comando de `show firewall log` modo operativo. Nota: El `log` modificador de acción solo se admite en interfaces de entrada IPv4 e IPv6.
`loss-priority level`	Establezca la prioridad de pérdida de paquetes (PLP).
`policer policer-name`	Enviar paquetes a un agente de policía (con el propósito de aplicar una limitación de velocidad). El PTX10003 admite policias de dos colores, tres colores de velocidad única (srTCM) y marcadores de tres colores (trTCM) de dos velocidades. Nota: El `policer` modificador de acción no se admite en combinación con la `loss-priority` acción.
`redirect instance-name`	(Compatible con dispositivos PTX10004, PTX10008 y PTX10016 que ejecutan junos Evolved OS versión 22.1R1 únicamente.) Envíe paquetes al controlador P4, como se especifica en la instancia definida en el `[services inline-monitoring instance instance-name` controller `p4]` nivel de la jerarquía de Junos.
`reject message-type`	Descarte un paquete y envíe un mensaje ICMPv4 o ICMPv6 de "destino inalcanzable" (tipo 3). Para registrar los paquetes rechazados, configure el modificador de `syslog` acciones. Puede especificar uno de los siguientes tipos de mensaje: `administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,` . Nota: No `tcp-reset` se admite el tipo de mensaje. Si no especifica un tipo de mensaje, la notificación ICMP "destino inalcanzable" se envía con el mensaje predeterminado "comunicación filtrada administrativamente".
`syslog`	Registre una alerta para este paquete.
`routing-instance instance-name`	Reenvíe paquetes coincidentes a una instancia de enrutamiento virtual. Los paquetes se pueden reenviar a la instancia predeterminada. Compatible en `virtual-router` y `forwarding instance-types.`

Condiciones y acciones de coincidencia del filtro de firewall IPv6 (PTX10001-20C)

En este tema se describen las condiciones, acciones y modificadores de acción de coincidencia de filtros de firewall IPv6 para enrutadores PTX10001-20C.

Cada término en un filtro de firewall consta de condiciones de coincidencia y una acción. Las condiciones de coincidencia son los campos y valores que un paquete debe contener para considerarse coincidencia. Puede definir condiciones de coincidencia única o varias en instrucciones de coincidencia. También puede incluir la instrucción no coincide, en cuyo caso el término coincide con todos los paquetes.

Cuando un paquete coincide con un filtro, el enrutador realiza la acción especificada en el término. También puede especificar modificadores de acciones para contar, reflejar y clasificar paquetes. Si no se especifican condiciones de coincidencia para el término, el enrutador acepta el paquete de forma predeterminada.

Nota:

En enrutadores PTX10001-20C, solo puede aplicar un filtro de firewall en interfaces IPv6 en la dirección de entrada.

Tabla 3 describe las condiciones de coincidencia admitidas.
Tabla 4 muestra las acciones que puede especificar en un término. Si no incluye una then instrucción, el sistema acepta paquetes que coincidan con el filtro.
Tabla 5 muestra los modificadores de acciones que puede usar para contar, reflejar, límite de velocidad y clasificar paquetes.

Tabla 3: Condiciones de coincidencia compatibles con IPv6
Condición de coincidencia	Descripción
`address address [ except ]`	Coincida con el campo de dirección de origen o destino IPv6 a menos que la `except` opción esté incluida. Si la opción está incluida, no coincida con el campo de dirección de origen o destino IPv6.
`apply-groups`	Especifique de qué grupos heredar los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos por orden de prioridad de herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos de los grupos subsiguientes.
`apply-groups-except`	Especifique de qué grupos no se heredarán los datos de configuración. Puede especificar más de un nombre de grupo.
`destination-address address [ except ]`	Coincida con el campo de dirección de destino IPv6 a menos que se incluya la `except` opción. Si la opción está incluida, no coincida con el campo de dirección de destino IPv6. No puede especificar las `address` condiciones y `destination-address` coincidir en el mismo término.
`destination-port number`	Coincida con el campo de puerto de destino UDP o TCP. No puede especificar las `port` condiciones y `destination-port` coincidir en el mismo término. Si configura esta condición de coincidencia, recomendamos que también configure la `next-header udp` condición o `next-header tcp` de coincidencia en el mismo término para especificar qué protocolo se utiliza en el puerto. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los números de puerto): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), (21) `eklogin` 05), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), (44) `snpp` 4), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) o `xdmcp` (177).
`destination-port-except number`	No coincida con el campo de puerto de destino UDP o TCP. Para obtener más información, consulte la condición de `destination-port` coincidencia.
`destination-prefix-list prefix-list-name [ except ]`	Haga coincidir el prefijo de destino IPv6 con la lista especificada a menos que se incluya la `except` opción. Si se incluye la opción, no haga coincidir el prefijo de destino IPv6 con la lista especificada. La lista de prefijos se define en el `[edit policy-options prefix-list prefix-list-name`nivel de jerarquía ].
`icmp-code message-code`	Coincida con el campo de código de mensaje ICMP. Si configura esta condición de coincidencia, recomendamos que también configure la `next-header icmp` condición o `next-header icmp6` de coincidencia en el mismo término. Un código de mensaje ICMP proporciona información más específica que un tipo de mensaje ICMP, pero el significado de un código de mensaje ICMP depende del tipo de mensaje ICMP asociado. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (los valores de campo también se enumeran). Las palabras clave se agrupan por el tipo ICMP con el que están asociadas: parameter-problem: `ip6-header-bad`(0), `unrecognized-next-header` (1), `unrecognized-option` (2) tiempo superado: `ttl-eq-zero-during-reassembly`(1), `ttl-eq-zero-during-transit` (0) destino inalcanzable: `administratively-prohibited`(1), `address-unreachable` (3), `no-route-to-destination` (0), `port-unreachable` (4)
`icmp-code-except message-code`	No haga coincidir el campo de código de mensaje ICMP. Para obtener más información, consulte la condición de `icmp-code` coincidencia.
`message-type`	Coincida con el campo de tipo de mensaje ICMP. También debe configurar `icmp` o `next-header icmp6` coincidir la condición en el mismo término. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): `certificate-path-advertisement` (149), `certificate-path-solicitation` (148), `destination-unreachable` (1), `echo-reply` (129), `echo-request` (128), `home-agent-address-discovery-reply` (145), `home-agent-address-discovery-request` (144), `inverse-neighbor-discovery-advertisement` (142), `inverse-neighbor-discovery-solicitation` (141), `membership-query` (130), `membership-report` (131), `membership-termination` (132), `mobile-prefix-advertisement-reply` (147), `mobile-prefix-solicitation` (146), (146) `neighbor-advertisement` 136), `neighbor-solicit` (135), `node-information-reply` (140), `node-information-request` (139), `packet-too-big` (2), `parameter-problem` (4), `private-experimentation-100` (100), `private-experimentation-101` (101), `private-experimentation-200` (200), `private-experimentation-201` (201), `redirect` (137), `router-advertisement` (134), `router-renumbering` (138), `router-solicit` (133) o `time-exceeded` (3). Para `private-experimentation-201` (201), también puede especificar un rango de valores entre corchetes.
`icmp-type-except message-type`	No haga coincidir el campo de tipo de mensaje ICMP. Para obtener más información, consulte la condición de `icmp-type` coincidencia.
`next`	Continúe con el siguiente plazo en un filtro.
`next-header header-type`	Coincida con el primer campo de encabezado siguiente de 8 bits del paquete. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (los valores de campo también se enumeran): `ah`(51), `dstops` (60), `egp` (8), `esp` (50), `fragment` (44), `gre` (47), `hop-by-hop` (0), `icmp` (1), `icmp6` (58), `icmpv6` (58), `igmp` (2), `ipip` (4), (4), (4) `ipv6` 1), `mobility` (135), `no-next-header` (59), `ospf` (89), `pim` (103), `routing` (43), `rsvp` (46), `sctp` (132), `tcp` (6), `udp` (17) o `vrrp` (112). Nota: `next-header icmp6` y `next-header icmpv6` las condiciones de coincidencia realizan la misma función. `next-header icmp6` es la opción preferida. `next-header icmpv6` está oculta en la CLI de Junos OS.
`next-header-except header-type`	No haga coincidir el campo Encabezado siguiente de 8 bits que identifica el tipo de encabezado entre el encabezado IPv6 y la carga. Para obtener más información, consulte el tipo de `next-header` coincidencia.
`port number`	Coincida con el campo de puerto de origen o destino UDP o TCP. Si configura esta condición de coincidencia, no puede configurar la `destination-port` condición de coincidencia o la `source-port` condición de coincidencia en el mismo término. Si configura esta condición de coincidencia, recomendamos que también configure la `next-header udp` condición o `next-header tcp` de coincidencia en el mismo término para especificar qué protocolo se utiliza en el puerto. En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados en `destination-port`.
`port-except number`	No coincida con el campo de puerto de origen o destino UDP o TCP. Para obtener más información, consulte la condición de `port` coincidencia.
`port-mirror instance-name`	Espejo de puerto del paquete.
`port-mirror-instance instance-name`	El puerto refleja un paquete para una instancia.
`prefix-list prefix-list-name [ except ]`	Haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada, a menos que se incluya la `except` opción. Si se incluye la opción, no haga coincidir los prefijos de los campos de dirección de origen o destino con los prefijos de la lista especificada. La lista de prefijos se define en el `[edit policy-options prefix-list prefix-list-name]` nivel de jerarquía.
`sample`	Muestra del paquete.
`source-address address [ except ]`	Coincida con la dirección IPv6 del nodo de origen que envía el paquete a menos que se incluya la `except` opción. Si se incluye la opción, no coincida con la dirección IPv6 del nodo de origen que envía el paquete. No puede especificar las `address` condiciones y `source-address` coincidir en el mismo término.
`source-port number`	Coincida con el campo de puerto de origen UDP o TCP. No puede especificar las `port` condiciones y `source-port` coincidir en el mismo término. Si configura esta condición de coincidencia, recomendamos que también configure la `next-header udp` condición o `next-header tcp` de coincidencia en el mismo término para especificar qué protocolo se utiliza en el puerto. Nota: Para Junos OS Evolucionado, debe configurar la `next-header udp` instrucción o `next-header tcp` match en el mismo término. En lugar del valor numérico, puede especificar uno de los sinónimos de texto enumerados con la `destination-port number` condición de coincidencia.
`source-port-except number`	No coincida con el campo de puerto de origen UDP o TCP. Para obtener más información, consulte la condición de `source-port` coincidencia.
`source-prefix-list name [ except ]`	Coincida con el prefijo de dirección IPv6 del campo de origen del paquete a menos que se incluya la `except` opción. Si se incluye la opción, no coincida con el prefijo de dirección IPv6 del campo de origen del paquete. Especifique un nombre de lista de prefijo definido en el `[edit policy-options prefix-list prefix-list-name]` nivel de jerarquía.

Nota:

Si especifica una dirección IPv6 en una condición de coincidencia (las address, destination-addresso source-address condiciones de coincidencia), utilice la sintaxis para las representaciones de texto descritas en rfc 4291, arquitectura de dirección IP versión 6. Para obtener más información acerca de las direcciones IPv6, consulte Descripción general de IPv6 y estándares IPv6 compatibles.

Tabla 4: Acciones para filtros de firewall IPv6
Acción	Descripción
`accept`	Aceptar un paquete. Esta es la acción predeterminada para los paquetes que coinciden con un término.
`discard`	Descarte un paquete en silencio sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP).
`redirect instance-name`	(Compatible con dispositivos PTX10004, PTX10008 y PTX10016 que ejecutan junos Evolved OS versión 22.1R1 únicamente.) Envíe paquetes al controlador P4, como se especifica en la instancia definida en el nivel de `[services inline-monitoring instance instance-name` controlador `p4]` de la jerarquía de Junos.

Tabla 5: Modificadores de acción para filtros de firewall IPv6
Modificador de acción	Descripción
`count counter-name`	Cuente la cantidad de paquetes que coincidan con el término.
`forwarding-class class`	Clasifique el paquete en una de las siguientes clases de reenvío predeterminadas o en una clase de reenvío definida por el usuario: `best-effort` `fcoe` `mcast` `network-control` `no-loss` Nota: Para configurar una clase de reenvío, también debe configurar la prioridad de pérdida.
`loss-priority (low \| medium-low \| medium-high \| high)`	Establezca la prioridad de pérdida de paquetes (PLP).

EN ESTA PÁGINA

Condiciones y acciones de coincidencia de filtros de firewall (enrutadores de la serie PTX)

Condiciones y acciones de coincidencia de filtros de firewall (PTX10003 y PTX10008)

Condiciones y acciones de coincidencia del filtro de firewall IPv6 (PTX10001-20C)

Temas relacionados