Aplicação de filtros e serviços a interfaces
Depois de definir e agrupar as regras de serviço configurando a definição do conjunto de serviços, você pode aplicar serviços a uma ou mais interfaces no roteador. Para associar um conjunto de serviços definido a uma interface, inclua a service-set instrução com a input instrução or output no nível de [edit interfaces interface-name unit logical-unit-number family inet service] hierarquia:
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
Quando você habilita serviços em uma interface, o encaminhamento de caminho reverso não é suportado. Não é possível configurar serviços na interface de gerenciamento (fxp0) ou na interface de loopback (lo0).
Você pode configurar diferentes conjuntos de serviços nos lados de entrada e saída da interface. No entanto, para conjuntos de serviços com regras de serviço bidirecionais, você deve incluir a mesma definição de conjunto de serviços nas input instruções and . output Qualquer conjunto de serviços incluído na service instrução deve ser configurado com a interface-service declaração no nível de [edit services service-set service-set-name] hierarquia; para obter mais informações, consulte Configurando conjuntos de serviços a serem aplicados a interfaces de serviços.
Se você configurar uma interface com um filtro de firewall de entrada que inclui uma ação de rejeição e com um conjunto de serviços que inclui regras de firewall stateful, o roteador executará o filtro de firewall de entrada antes que as regras de firewall stateful sejam executadas no pacote. Como resultado, quando o Mecanismo de Encaminhamento de Pacotes envia uma mensagem de erro do Internet Control Message Protocol (ICMP) pela interface, as regras de firewall stateful podem descartar o pacote porque ele não foi visto na direção de entrada.
As possíveis soluções alternativas são incluir um filtro de tabela de encaminhamento para executar a ação de rejeição, porque esse tipo de filtro é executado após o firewall stateful na direção de entrada, ou incluir um filtro de serviço de saída para impedir que os pacotes ICMP gerados localmente vão para o serviço de firewall stateful.
Configurando filtros de serviço
Opcionalmente, é possível incluir filtros associados a cada conjunto de serviços para refinar o destino e, adicionalmente, processar o tráfego. Se você incluir a service-set declaração sem uma service-filter definição, o software do roteador assumirá que a condição de correspondência é verdadeira e selecionará o conjunto de serviços para processamento automaticamente.
Para configurar filtros de serviço, inclua a firewall declaração no nível da [edit] hierarquia:
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
Você deve especificar inet como a família de endereços para configurar um filtro de serviço.
Você configura filtros de serviço de maneira semelhante aos filtros de firewall. Os filtros de serviço têm as mesmas condições de correspondência que os filtros de firewall, mas as seguintes ações específicas:
count— Adicione o pacote a um contador total.log— Registre o pacote.port-mirror— Espelhe o pacote na porta.sample— Faça uma amostra do pacote.service— Encaminhe o pacote para processamento de serviços.skip— Omita o pacote do processamento de serviços.
Para obter mais informações sobre como configurar filtros de firewall, consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiais de tráfego.
Você também pode incluir mais de uma definição de conjunto de serviços em cada lado da interface. Se você incluir vários conjuntos de serviços, o software do roteador os avaliará na ordem especificada na configuração. Ele executa o primeiro conjunto de serviços para o qual encontra uma correspondência no filtro de serviço e ignora as definições subsequentes.
Uma instrução adicional permite que você especifique um filtro para processar o tráfego após a execução do conjunto de serviços de entrada. Para configurar esse tipo de filtro, inclua a post-service-filter declaração no nível da [edit interfaces interface-name unit logical-unit-number family inet service input] hierarquia:
post-service-filter filter-name;
O software executa a filtragem pós-serviço somente quando selecionou e executou um conjunto de serviços. Se o tráfego não atender aos critérios de correspondência para nenhum dos conjuntos de serviços configurados, o filtro pós-serviço será ignorado. A post-service-filter instrução não é suportada quando a interface de serviço está em um MS-MIC ou MS-MPC.
Para obter um exemplo de aplicação de um conjunto de serviços a uma interface, consulte Exemplos: Configuração de interfaces de serviços.
Para obter mais informações sobre como aplicar filtros a interfaces, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento. Para obter informações gerais sobre filtros, consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiais de tráfego.
Depois que o processamento NAT é aplicado aos pacotes, eles não estão sujeitos aos filtros de serviço de saída. Os filtros de serviço afetam apenas o tráfego não convertido.