Listas de controle de acesso (filtros de firewall)
RESUMO Leia este tópico para saber mais sobre as listas de controle de acesso de Camada 2 (filtros de firewall) no roteador nativo da nuvem.
Listas de controle de acesso (filtros de firewall)
A partir da versão 22.2 do roteador nativo de nuvem da Juniper, incluímos um recurso limitado de filtro de firewall. Você pode configurar os filtros usando o Junos OS CLI dentro do controlador de roteador nativo de nuvem, usando NETCONF ou as APIs de roteador nativas de nuvem. A partir da versão 23.2 do roteador nativo de nuvem da Juniper, você também pode configurar filtros de firewall usando anotações de nós e modelo de configuração personalizado no momento da implantação do cRPD. Analise o guia de implantação para obter mais detalhes.
Durante a implantação, o sistema define e aplica filtros de firewall para impedir que o tráfego passe diretamente entre as interfaces do roteador. Você pode definir e aplicar dinamicamente mais filtros. Use os filtros de firewall para:
-
Definir filtros de firewall para o tráfego familiar de ponte.
-
Definir filtros com base em um ou mais dos seguintes campos: endereço MAC de origem, endereço MAC de destino ou EtherType.
-
Definir vários termos em cada filtro.
-
Descarte o tráfego que corresponda ao filtro.
-
Aplique filtros para unir domínios.
Exemplo de configuração
Abaixo, você pode ver um exemplo de uma configuração de filtro de firewall a partir de uma implantação de roteador nativo da nuvem:
root@jcnr01> show configuration firewall firewall { family { bridge { filter example { term t1 { from { destination-mac-address 10:10:10:10:10:11; source-mac-address 10:10:10:10:10:10; ether-type arp; } then { discard; } } } } } }
A única ação que você pode configurar em um filtro de firewall é a ação de descarte.
set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1
. Em seguida, você deve confirmar a configuração para que o filtro de firewall faça efeito.
Para ver quantos pacotes combinam com o filtro (por VLAN), você pode emitir o show firewall filter filter1
comando no cRPD CLI. Por exemplo:
show firewall filter filter1 Filter : filter1 vlan-id : 3001 Term Packet t1 0
No exemplo anterior, aplicamos o filtro no domínio bd3001
da ponte. O filtro ainda não combinou com nenhum pacote.
Solucionando problemas
A tabela a seguir lista alguns dos problemas potenciais que você pode enfrentar ao implementar regras de firewall ou ACLs no roteador nativo da nuvem. Você executa a maioria desses comandos no servidor host.
Comando | de causas e resolução possíveis | do problema |
---|---|---|
Filtros de firewall ou ACLs não estão funcionando | A conexão gRPC (porta 50052) ao vRouter está baixa. Verifique a conexão gRPC. | netstat -antp|grep 50052 |
O ui-pubd processo não está sendo executado. Verifique se ui-pubd está funcionando. |
ps aux|grep ui-pubd |
|
Filtro de firewall ou comandos de exibição da ACL que não funcionam | A conexão gRPC (porta 50052) ao vRouter está baixa. Verifique a conexão gRPC. | netstat -antp|grep 50052 |
O serviço de firewall não está sendo executado. | ps aux|grep firewall |
|
show log filter.logVocê deve executar este comando no CLI do controlador JCNR (cRPD). |