我在最初认为相当简单的事情上遇到了困难。我需要在 MX10003 的管理界面上应用出站防火墙过滤器。我目前使用 Lo0.0 作为管理接口。如果您熟悉 DISA STIG，则特定的 Vul ID 是 V-17822。措辞读起来好像它是针对真正的 OOBM 接口的，但事实并非如此。我想我仍然可以应用过滤器，因为讨论出站过滤器的部分指出“验证出口过滤器是否阻止了退出管理接口的任何流量，这些流量不是由托管元素发起的。验证目标地址是 NOC地址空间”。

所以我“显示 int terse”并获取 Lo0.0 的 ipv6 地址和链接本地地址，并开始制作过滤器，如下所示：

filter OUTBOUND {
term 1 {
    from {
        source-address {
            2001:db8::100/128;
            fe80::100/128;
        }
    }
    then accept;
}
term DEFAULT_DENY {
    then {
        log;
        syslog;
        discard;
    }
}

界面：

显示配置接口 lo0 单元 0

family inet6 {
no-redirects;
filter {
    output OUTBOUND;
}
address 2001:db8::100/128;

我提交确认了配置，令我惊讶的是，我的 ssh 连接立即断开。一旦配置回滚并且我能够访问路由器，我尝试检查防火墙日志以确定发生了什么。我注意到一些额外的链接本地地址被丢弃，所以为了测试，我将源地址修改为 fe80::/64 并再次确认提交。这一次，我保持了我的会话。我对此的疑问是：

为什么用这么简单的术语在 Lo0.0 上放置一个出站过滤器会导致我失去连接？

此外，这对我来说似乎不是最佳实践。使用出站过滤器更详细地指定管理和控制平面流量的目标端口、下一个标头和目标地址会更好吗？

谢谢您的帮助！