IPv4トラフィックのファイアウォールフィルター一致条件

exceptオプションが含まれていない限り、IPv4送信元または宛先アドレスフィールドが一致します。オプションが含まれている場合、IPv4送信元または宛先アドレスフィールドが一致しません。

except修飾子は、EX2300およびEX3400プラットフォームではサポートされていません。

（M120とM320を除くM Seriesルーター）IPsec認証ヘッダー（AH）SPI（セキュリティパラメーターインデックス）値に一致します。

（M120とM320を除くM Seriesルーター）IPsec AH SPI値に一致しません。

exceptオプションが含まれていない限り、IPv4宛先アドレスフィールドに一致します。オプションが含まれている場合、IPv4宛先アドレスフィールドに一致しません。

同じ条件にaddressおよびdestination-address一致条件を両方指定することはできません。

1つ以上の指定された宛先クラス名（まとめてグループ化され、クラス名が付与された宛先プレフィックスのセット）に一致します。詳細については、「アドレスクラスに基づくファイアウォールフィルター一致条件」を参照してください。

1つ以上の指定された宛先クラス名に一致しません。詳細については、「destination-class一致条件」を参照してください。

UDPまたはTCP宛先ポートフィールドに一致します。

同じ条件にportおよびdestination-port一致条件を両方指定することはできません。

ポートベースの一致を設定する場合、同じフィルター条件内に、protocol udpまたはprotocol tcp一致ステートメントも設定する必要があります。ポート値のみを一致させた場合、予想せぬ一致が生じる可能性があります。

数値の代わりに、以下のテキスト（ポート番号も記載されています）のいずれかを指定します。afs (1483)、bgp (179)、biff (512)、bootpc (68)、bootps (67)、cmd (514)、cvspserver (2401)、dhcp (67)、domain (53)、eklogin (2105)、ekshell (2106)、exec (512)、finger (79)、ftp (21)、ftp-data (20)、http (80)、https (443)、ident (113)、imap (143)、kerberos-sec (88)、klogin (543)、kpasswd (761)、krb-prop (754)、krbupdate (760)、kshell (544)、ldap (389)、ldp (646)、login (513)、mobileip-agent (434)、mobilip-mn (435)、msdp (639)、netbios-dgm (138)、netbios-ns (137)、netbios-ssn (139)、nfsd (2049)、nntp (119)、ntalk (518)、ntp (123)、pop3 (110)、pptp (1723)、printer (515)、radacct (1813)、radius (1812)、rip (520)、rkinit (2108)、smtp (25)、snmp (161)、snmptrap (162)、snpp (444)、socks (1080)、ssh (22)、sunrpc (111)、syslog (514)、tacacs (49)、tacacs-ds (65)、talk (517)、telnet (23)、tftp (69)、timed (525)、who (513)、またはxdmcp (177)。

名前付きリストのポートを一致させます。

UDPまたはTCP宛先ポートフィールドに一致しません。詳細については、「destination-port一致条件」を参照してください。

名前付きリストの宛先ポートを一致させます。

exceptオプションが含まれていない限り、指定されたリストで宛先プレフィックスに一致します。オプションが含まれている場合、指定されたリストの宛先プレフィックスに一致しません。

[edit policy-options prefix-list prefix-list-name]階層レベルで定義されたプレフィックスリストの名前を指定します。

DSCP（差別化されたサービスコードポイント）に一致します。DiffServプロトコルは、IPヘッダーのtype-of-service（ToS）バイトを使用します。このバイトの最上位の6ビットがDSCPを形成します。詳細については、「動作集約分類子が信頼されているトラフィックを優先する動作を理解する」を参照してください。

DSCP（差別化されたサービスコードポイント）上でのフィルタリングと、GRE（一般ルーティングのカプセル化）でカプセル化されたIS-ISパケットを含めた、ルーティングエンジンからのパケット用クラスの転送に対するサポートが追加されました。これにより、CoS（サービスクラス）とファイアウォールフィルター両方があるJunosOSの以前のバージョンからアップグレードし、両方にDSCPまたは転送クラスフィルターアクションの両方が含まれている場合、ファイアウォールフィルターの基準がCoS設定よりも自動的に優先されます。新しい設定を作成する場合も同じです。つまり、同じ設定が存在する場合、最初に作成されたものに関係なく、ファイアウォールフィルターがCoSよりも優先されます。

0から63までの数値を指定できます。値を16進形式で指定するには、0xをプレフィックスとして含めます。値を2進法で指定するには、bをプレフィックスとして含めます。

数値の代わりに、以下のテキスト同義語（フィールド値も記載されています）のいずれかを指定します。

• RFC 3246、Expeded Forwarding PHB（Per-HopBehavior）は、1つのコードポイントを定義します：ef (46)。

• RFC 2597、Assure Forwarding PHB Groupは、合計12個の3つのコードポイントに対し、4つのクラスを定義します（各クラスには3つのドロップ優先順位があります）。

  • af11 (10)、af12 (12)、af13 (14)

  • af21 (18)、af22 (20)、af23 (22)

  • af31 (26)、af32 (28)、af33 (30)

  • af41 (34)、af42 (36)、af43 (38)

DSCP数上では一致しません。詳細については、「dscp一致条件」を参照してください。

IPsecESP（カプセル化セキュリティペイロード）SPI値に一致します。この特定のSPI値に一致します。16進法、2進法、または1進法でESP SPI値を指定できます。

IPsec ESP SPI値に一致します。この特定のSPI値では一致しません。

パケットがフラグメントパケットの最初のフラグメントである場合に一致します。パケットがフラグメントパケットの追跡フラグメントである場合、一致しません。フラグメントパケットの最初のフラグメントに、値が0のフラグメントオフセットがあります。

この一致条件は、ビットフィールド一致条件fragment-offset 0一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます。first-fragmentとis-fragmentがあります。

ペイロード値の最初のバイトに一致します。一致条件は、ingress方向にのみ適用できます。

ファイアウォールフィルターのegressバインディングでは動作しません。INET、INET6、およびすべてのファイアウォールフィルターファミリでのみサポートされます。

FFTフィルターおよびegress FLTフィルターではサポートされていません。

指定されたペイロード値の最初のバイトには一致しません。一致条件は、ingress方向にのみ適用できます。

ファイアウォールフィルターのegressバインディングでは動作しません。INET、INET6、およびすべてのファイアウォールフィルターファミリでのみサポートされます。

FFTフィルターおよびegress FLTフィルターではサポートされていません。

一致させるデータの長さ（ビット単位）、文字列入力には不要（0..128）

（match-start+バイト）オフセット（0..7）の後のビットオフセット

一致開始ポイント後のバイトオフセット

定義済みテンプレートフィールドから柔軟な一致を選択します。

一致するパケットデータ内のマスクアウトビット

パケットで一致させる開始ポイント

一致する値データ/文字列

一致させるデータの長さ（ビット単位）（0..32）

（match-start+バイト）オフセット（0..7）の後のビットオフセット

一致開始ポイント後のバイトオフセット

定義済みテンプレートフィールドから柔軟な一致を選択します。

パケットで一致させる開始ポイント

一致させる値の範囲

値のこの範囲に一致しません

パケットの転送クラスに一致します。

assured-forwarding、best-effort、expedited-forwarding、またはnetwork-controlを指定します。

フォワーディングクラスとルーター内出力キューについては、「フォワーディングクラスが出力キューにクラスを割り当てる方法を理解する」を参照してください。

パケットの転送クラスに一致しません。詳細については、「forwarding-class一致条件」を参照してください。

（Ingressのみ）IPヘッダーの3ビットIPフラグメント化フラグフィールドに一致します。

数字フィールド値の代わりに、以下のキーワード（フィールド値も記載されています）のいずれかを指定します。dont-fragment（0x4）、more-fragments（0x2）、またはreserved（0x8）。

IPヘッダーの13ビットフラグメントオフセットフィールドに一致します。値は、データフラグメントに対する全体的なデータグラムメッセージのオフセット（8バイト単位）です。数字値、値の範囲、または値のセットを指定します。0のオフセット値は、フラグメントパケットの最初のフラグメントを示しています。

first-fragment一致条件は、fragment-offset 0一致条件のエイリアスです。

最初のフラグメントと最後のフラグメントの両方を一致させるには、異なる一致条件を指定する2つの条件を使用できます（first-fragmentおよびis-fragment）。

13ビットフラグメントオフセットフィールドに一致しません。

gre-keyフィールドに一致します。GRE鍵フィールドは、GREエンカプスレーターが挿入された4オクテット数です。GREカプセル化で使用するオプションフィールドです。rangeは、1つのGRキー番号あるいは一連のキー番号にすることができます。

MPCを搭載したMXシリーズルーターでは、対応するSNMPMIBをウォークすることで、この条件を含む新しいファイアウォールフィルターを初期化します。

ICMPメッセージコードフィールドに一致します。

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

同じ条件でicmp-type message-type一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージタイプよりも具体的な情報を提供しますが、ICMPメッセージコードの意味は、関連するICMPメッセージタイプに依存します。

数値の代わりに、以下のテキスト同義語（フィールド値も記載されています）のいずれかを指定します。キーワードは、それらが関連するICMPタイプによってグループ化されます。

• parameter-problem：ip-header-bad (0)、required-option-missing (1)

• redirect：redirect-for-host (1)、redirect-for-network (0)、redirect-for-tos-and-host (3)、redirect-for-tos-and-net (2)

• time-exceeded：ttl-eq-zero-during-reassembly (1)、ttl-eq-zero-during-transit (0)

• unreachable：communication-prohibited-by-filtering (13)、destination-host-prohibited (10)、destination-host-unknown (7)、destination-network-prohibited (9)、destination-network-unknown (6)、fragmentation-needed (4)、host-precedence-violation (14)、host-unreachable (1)、host-unreachable-for-TOS (12)、network-unreachable (0)、network-unreachable-for-TOS (11)、port-unreachable (3)、precedence-cutoff-in-effect (15)、protocol-unreachable (2)、source-host-isolated (8)、source-route-failed (5)

ICMPメッセージコードフィールドに一致しません。詳細については、「icmp-code一致条件」を参照してください。

ICMPメッセージタイプフィールドに一致します。

term Allow _ICMP {
                from protocol icmp {
                    icmp-code ip-header-bad;
                    icmp-type echo-reply;
                }
                then {
                    policer ICMP_Policier;
                    count Allow_ICMP;

同じ条件でicmp-type message-type一致条件も設定する必要があります。ICMPメッセージコードは、ICMPメッセージタイプよりも具体的な情報を提供しますが、ICMPメッセージコードの意味は、関連するICMPメッセージタイプに依存します。

数値の代わりに、以下のテキスト同義語（フィールド値も記載されています）のいずれかを指定します。echo-reply (0)、echo-request (8)、info-reply (16)、info-request (15)、mask-request (17)、mask-reply (18)、parameter-problem (12)、redirect (5)、router-advertisement (9)、router-solicit (10)、source-quench (4)、time-exceeded (11)、timestamp (13)、timestamp-reply (14)、またはunreachable (3)。

ICMPメッセージタイプフィールドに一致しません。詳細については、「icmp-type一致条件」を参照してください。

パケットを受信したインターフェイスに一致します。

指定されたインターフェイスグループまたはインターフェイスグループのセットに、パケットを受信した論理インターフェイスを一致させます。group-numberの場合、0～255の単一の値または値の範囲を指定します。

インターフェイスグループgroup-numberに論理インターフェイスを割り当てるには、[interfaces interface-name unit number family family filter group]階層レベルでgroup-numberを指定します。

詳細については、「インターフェイスグループのセットで受信したパケットのフィルタリングの概要」を参照してください。

指定されたインターフェイスグループまたはインターフェイスグループのセットにパケットを受信した論理インターフェイスを一致させません。詳細については、「interface-group一致条件」を参照してください。

指定されたインターフェイスセットにパケットを受信したインターフェイスを一致させます。

インターフェイスセットを定義するには、[edit firewall]階層レベルにinterface-setステートメントを含めます。

詳細については、「インターフェイスセットで受信したパケットのフィルタリングの概要」を参照してください。

指定された値または値のリストに、8ビットIPオプションフィールドを一致させます。

数値の代わりに、以下のテキスト同義語（オプション値も記載されています）のいずれかを指定することができます。loose-source-route (131)、record-route (7)、router-alert (148)、security (130)、stream-id (136)、strict-source-route (137)、またはtimestamp (68).

IPオプションの任意の値に一致させるには、テキスト同義語anyを使用します。複数の値に一致するには、角括弧内の値（「[」と「]」）のリストを指定します。値の範囲に一致するには、値指定[ value1-value2 ]を指定します。

例えば、一致条件ip-options [ 0-147 ]は、loose-source-route、record-routeまたはsecurity値、あるいは0～147のその他の値を含むIPオプションフィールドで一致します。ただし、この一致条件は、router-alert値（148）のみを含むIPオプションフィールドでは一致しません。

ほんどのインターフェイスでは、1つ以上の特定のIPオプション値（any以外の値）でip-option一致を指定するフィルター条件によって、カーネルがパケットヘッダーのIPオプションフィールドを解析できるように、パケットはルーティングエンジンに送信されます。

• 1つ以上の特定のIPオプション値でip-option一致を指定するファイアウォールフィルター条件では、同じ条件でdiscard終了アクションも指定しない限り、count、log、またはsyslog非終了アクションを指定できません。この動作では、ルーター上のトランジットインターフェイスに適用されるフィルターのパケットの二重カウントを防ぐことができます。

• カーネルで処理されたパケットは、システムボトルネックのケースでは破棄される場合があります。一致したパケットがパケット転送エンジンに送信されるようにするには、ip-options any一致条件を使用します。

MXシリーズルーターの10ギガビットイーサネットMPC（モジュラー型ポートコンセントレータ）、100ギガビットイーサネットMPC、60ギガビットイーサネットMPC、60ギガビットキューイングイーサネットMPC、60ギガビットイーサネット拡張キューイングMPCは、IPv4パケットヘッダーのIPオプションフィールドを解析できます。これらのMPCで設定されたインターフェイスでは、ip-options一致条件を使用して一致するすべてのパケットが処理のためパケット転送エンジンに送信されます。

ip-options any一致条件は、Junos Evolved OSリリース20.2R1で始まるPTX10003およびPTX10008ルーターでサポートされています。

指定された値または値のリストにIPオプションフィールドを一致させないでください。valuesを指定する際の詳細については、「ip-options一致条件」を参照してください。

この条件を使用すると、IPヘッダーでMoreフラグメントフラグメントが有効になっており、フラグメントオフセットがゼロでない場合に、一致が発生します。

MXシリーズルーターでは、is-fragmentはすべてのフラグメント、つまり、最初のフラグメント（fragment-offset = 0）、最後のフラグメント（more-fragments = 0）、および最初のフラグメントと最後のフラグメント間のすべてのフラグメントに一致します。

PLP（パケット損失の優先度）レベルに一致します。

単一のレベルまたは複数のレベルを指定します：low、medium-low、medium-high、またはhigh。

M120およびM320ルーター、拡張CFEB（CFEB-E）を搭載したM7iおよびM10iルーター、MXシリーズルーターでサポートされています。

拡張IIFPC（フレキシブルPICコンセントレータ）を搭載したM320、MXシリーズ、およびT SeriesルーターのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするため、[edit class-of-service]階層レベルに tri-color ステートメントを含める必要があります。tri-colorステートメントが有効になっていない場合、highおよびlowレベルのみを設定できます。これは、すべてのプロトコルファミリに適用されます。

tri-colorステートメントに関する情報については、「トライカラーマーキングポリサーの設定と適用」を参照してください。受信パケットのPLPレベルを設定するためのBA（動作集約）分類子の使用については、「動作集約分類子が信頼されるトラフィックに優先順位を付ける方法を理解する」を参照してください。

PLPレベルに一致しません。詳細については、「loss-priority一致条件」を参照してください。

受信したパケットの長さに一致します（バイト単位）。長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。一致させる値の範囲を指定することもできます。

受信したパケットの長さに一致しません（バイト単位）。詳細については、「packet-length」一致タイプを参照してください。

UDPまたはTCP送信元または宛先ポートフィールドに一致します。

この一致条件を設定した場合、同じ条件でdestination-port一致条件またはsource-port一致条件を設定できません。

ポートベースの一致を設定する場合、同じフィルター条件内に、protocol udpまたはprotocol tcp一致ステートメントも設定する必要があります。ポート値のみを一致させた場合、予想せぬ一致が生じる可能性があります。

数値の代わりに、destination-portの下に記載されているテキスト同義語の1つを指定します。

送信元または宛先UDPまたはTCPポートフィールドに一致しません。詳細については、「port一致条件」を参照してください。

IP優先度フィールドに一致します。

数字フィールド値の代わりに、以下のテキスト同義語（フィールド値も記載されています）のいずれかを指定します。critical-ecp (0xa0)、flash (0x60)、flash-override (0x80)、immediate (0x40)、internet-control (0xc0)、net-control (0xe0)、priority (0x20)、またはroutine (0x00)。16進法、2進法、または10進法で優先度を指定できます。

IP優先度フィールドに一致しません。

数字フィールド値の代わりに、以下のテキスト同義語（フィールド値も記載されています）のいずれかを指定します。critical-ecp (0xa0)、flash (0x60)、flash-override (0x80)、immediate (0x40)、internet-control (0xc0)、net-control (0xe0)、priority (0x20)、またはroutine (0x00)。16進法、2進法、または10進法で優先度を指定できます。

exceptオプションが含まれていない限り、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させます。オプションが含まれている場合、指定されたリストのプレフィックスに送信元または宛先アドレスフィールドのプレフィックスを一致させません。

プレフィックスリストは、[edit policy-options prefix-list prefix-list-name]階層レベルで定義されます。

IPプロトコルタイプフィールドに一致します。数値の代わりに、以下のテキスト同義語（フィールド値も記載されています）のいずれかを指定します。ah (51)、dstopts (60)、egp (8)、esp (50)、fragment (44)、gre (47)、hop-by-hop (0)、icmp (1)、icmp6 (58)、icmpv6 (58)、igmp (2)、ipip (4)、ipv6 (41)、ospf (89)、pim (103)、rsvp (46)、sctp (132)、tcp (6)、udp (17)、またはvrrp (112)。

IPプロトコルタイプフィールドに一致しません。数値の代わりに、以下のテキスト同義語（フィールド値も記載されています）のいずれかを指定します。ah (51)、dstopts (60)、egp (8)、esp (50)、fragment (44)、gre (47)、hop-by-hop (0)、icmp (1)、icmp6 (58)、icmpv6 (58)、igmp (2)、ipip (4)、ipv6 (41)、ospf (89)、pim (103)、rsvp (46)、sctp (132)、tcp (6)、udp  (17)、またはvrrp (112)。

PMIPv4（プロキシモバイルIPv4）アクセス技術タイプ拡張の8ビットTech-Typeフィールドで指定されたRAT（無線アクセス技術）タイプに一致します。テクノロジータイプは、モバイルデバイスがアクセスネットワークに接続されたアクセス技術を指定します。

単一の値、値の範囲、または値のセットを指定します。0～255の数値、またはシステムキーワードとして技術タイプを指定できます。

• 以下の数値は、よく知られている技術タイプの例です。

  • 数値1は、IEEE 802.3に一致します。

  • 数値2は、IEEE 802.11a/b/gに一致します。

  • 数値3は、IEEE 802.16eに一致します

  • 数値4は、IEEE 802.16mに一致します。

• テキスト文字列eutranは4Gに一致します。

• テキスト文字列geranは2Gに一致します。

• テキスト文字列utranは3Gに一致します。

RATタイプに一致しません。

service-filter-hit アクションが適用されたフィルターから受信したパケットに一致します。

exceptオプションが含まれていない限り、パケットを送信する送信元ノードのIPv4アドレスに一致します。オプションが含まれている場合、パケットを送信する送信元ノードのIPv4アドレスに一致しません。

同じ条件にaddressおよびsource-address一致条件を両方指定することはできません。

1つ以上の指定された送信元クラス名（まとめてグループ化され、クラス名が付与された送信元プレフィックスのセット）に一致します。詳細については、「アドレスクラスに基づくファイアウォールフィルター一致条件」を参照してください。

1つ以上の指定された送信元クラス名に一致しません。詳細については、「source-class一致条件」を参照してください。

UDPまたはTCP送信元ポートフィールドに一致します。

同じ条件下にportおよびsource-port一致条件を指定することはできません。

ポートベースの一致を設定する場合、同じフィルター条件内に、protocol udpまたはprotocol tcp一致ステートメントも設定する必要があります。ポート値のみを一致させた場合、予想せぬ一致が生じる可能性があります。

数値の代わりに、destination-port number一致条件で記載されているテキスト同義語の1つを指定します。

UDPまたはTCP送信元ポートフィールドに一致しません。詳細については、「source-port一致条件」を参照してください。

名前付きリストの送信元ポートを一致させます。

exceptオプションが含まれていない限り、指定されたリストの送信元プレフィックスに一致します。オプションが含まれている場合、指定されたリストの送信元プレフィックスに一致しません。

[edit policy-options prefix-list prefix-list-name]階層レベルで定義されたプレフィックスリストの名前を指定します。

確立されたTCPセッションのTCPパケット（接続のパケットの最初のパケット以外のパケット）に一致します。これは、tcp-flags "(ack | rst)"のエイリアスです。

この一致条件は、プロトコルがTCPであることを暗示的に確認しません。これを確認するには、protocol tcp一致条件を指定します。

TCPヘッダーの8ビットTCPフラグフィールドの下位6ビットの1つ以上に一致します。

個別のビットフィールドを指定するには、以下のテキスト同義語または16進数値を指定できます。

• fin (0x01)

• syn (0x02)

• rst (0x04)

• push (0x08)

• ack (0x10)

• urgent (0x20)

TCPセッションでは、SYNフラグは送信された最初のパケットのみで設定され、ACKフラグは最初のパケットの後に送信されたすべてのパケットに設定されます。

ビットフィールド論理演算子を使用して複数のフラグを結合できます。

組み合わせたビットフィールド一致条件については、tcp-establishedおよびtcp-initial一致条件を参照してください。

この一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件でprotocol tcp一致ステートメントを設定することもお勧めします。

IPv4トラフィックについてのみ、この一致条件は、データグラムにフラグメントパケットの最初のフラグメントが含まれているかどうかを暗示的に確認しません。IPv4トラフィックについてのみこの条件を確認するには、first-fragment一致条件を使用します。

TCP接続の最初のパケットに一致します。これは、tcp-flags "(!ack & syn)"のエイリアスです。

この条件は、プロトコルがTCPであることを暗示的に確認しません。この一致条件を設定した場合、同じ条件でprotocol tcp一致条件も設定することをお勧めします。

IPv4生存時間値に一致します。TTL値またはTTL値の範囲を指定します。numberについては、0から255までの1つ以上の値を指定できます。この一致条件は、M120、M320、MXシリーズ、SRXシリーズ、およびT Seriesルーターでのみサポートされています。

IPv4TTL値に一致しません。詳細については、「ttl一致条件」を参照してください。

適用されたpolicy-map名前（階層型ポリサーやフォワーディングポリシー等）に基づいてトラフィックを照合します。

フォワーディングリダイレクト理由に基づいてトラフィックを一致させます。