Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターがプロトコルをテストする方法の理解

ファイアウォールフィルターで一致条件を調べる場合、スイッチは指定されたフィールドのみをテストします。明示的に設定していないフィールドを暗黙的にテストすることはありません。例えば、一致条件に source-port ssh を指定した場合、プロトコルが TCPかどうかを判別する暗黙のテストは行われません。この場合、スイッチは、推定されるIPヘッダーに続く2バイト・フィールドに22(10進数)の値を持つパケットを一致とみなします。TCP パケットで条件が一致するようにするには、 ip-protocol tcp 一致条件も指定します。

以下の一致条件については、同じ条件でプロトコル一致条件を明示的に指定する必要があります。

  • destination-port- プロトコル tcp またはプロトコル udpを指定します。

  • icmp-code- プロトコル icmpicmp-type を指定します。

  • icmp-type- プロトコル icmp またはプロトコル icmp6を指定します。

  • source-port- プロトコル tcp またはプロトコル udpを指定します。

  • tcp-flags- プロトコル tcpを指定します。

関連項目