Aplicação de filtros e serviços em interfaces
Quando você definiu e agrupou as regras de serviço configurando a definição do conjunto de serviços, você pode aplicar serviços a uma ou mais interfaces no roteador. Para associar um conjunto de serviços definido com uma interface, inclua a service-set declaração com a input declaração ou output a [edit interfaces interface-name unit logical-unit-number family inet service] declaração no nível hierárquico:
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
Quando você habilita serviços em uma interface, o encaminhamento de caminho reverso não é suportado. Você não pode configurar serviços na interface de gerenciamento (fxp0) ou na interface de loopback (lo0).
Você pode configurar diferentes conjuntos de serviços nos lados de entrada e saída da interface. No entanto, para conjuntos de serviços com regras bidirecionais de serviço, você deve incluir a mesma definição de conjunto de serviços tanto nas input declarações quanto output nas declarações. Qualquer conjunto de serviços que você incluir na service declaração deve ser configurado com a interface-service declaração no nível de [edit services service-set service-set-name] hierarquia; para obter mais informações, consulte Configurando conjuntos de serviço a serem aplicados às interfaces de serviços.
Se você configurar uma interface com um filtro de firewall de entrada que inclua uma ação de rejeição e com um conjunto de serviços que inclui regras de firewall stateful, o roteador executa o filtro de firewall de entrada antes que as regras de firewall stateful sejam executadas no pacote. Como resultado, quando o Mecanismo de encaminhamento de pacotes envia uma mensagem de erro do Protocolo de Mensagem de Controle de Internet (ICMP) pela interface, as regras de firewall stateful podem abandonar o pacote porque ele não foi visto na direção de entrada.
Possíveis soluções alternativas devem incluir um filtro de tabela de encaminhamento para realizar a ação de rejeição, porque esse tipo de filtro é executado após o firewall stateful na direção de entrada, ou incluir um filtro de serviço de saída para evitar que os pacotes ICMP gerados localmente vão para o serviço de firewall stateful.
Configuração de filtros de serviço
Você pode incluir opcionalmente filtros associados a cada conjunto de serviços para refinar a meta e processar o tráfego de forma adicional. Se você incluir a service-set declaração sem uma service-filter definição, o software do roteador assume que a condição da correspondência é verdadeira e seleciona o conjunto de serviços para processamento automaticamente.
Para configurar filtros de serviço, inclua a firewall declaração no nível de [edit] hierarquia:
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
Você deve especificar inet como a família de endereços para configurar um filtro de serviço.
Você configura filtros de serviço de maneira semelhante aos filtros de firewall. Os filtros de serviço têm as mesmas condições de correspondência que os filtros de firewall, mas as seguintes ações específicas:
count— Adicione o pacote a um contador total.log— Registre o pacote.port-mirror— Espelhar a porta do pacote.sample— Experimente o pacote.service— Encaminhe o pacote para processamento de serviços.skip— Omite o pacote do processamento de serviços.
Para obter mais informações sobre a configuração de filtros de firewall, consulte as políticas de roteamento, filtros de firewall e o guia de usuário dos policiais de tráfego.
Você também pode incluir mais de uma definição de conjunto de serviços em cada lado da interface. Se você incluir vários conjuntos de serviços, o software do roteador os avalia na ordem especificada na configuração. Ele executa o primeiro conjunto de serviços para o qual encontra uma correspondência no filtro de serviço e ignora as definições subsequentes.
Uma declaração adicional permite especificar um filtro para processar o tráfego após a execução do conjunto de serviços de entrada. Para configurar esse tipo de filtro, inclua a post-service-filter declaração no nível de [edit interfaces interface-name unit logical-unit-number family inet service input] hierarquia:
post-service-filter filter-name;
O software realiza filtragem de pós-serviço somente quando ele selecionou e executou um conjunto de serviços. Se o tráfego não atender aos critérios de correspondência para qualquer um dos conjuntos de serviços configurados, o filtro pós-serviço será ignorado. A post-service-filter declaração não é suportada quando a interface de serviço está em um MS-MIC ou MS-MPC.
Para um exemplo da aplicação de um conjunto de serviços em uma interface, veja Exemplos: Configurando interfaces de serviços.
Para obter mais informações sobre a aplicação de filtros nas interfaces, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento. Para obter informações gerais sobre filtros, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.
Após a aplicação do processamento de NAT em pacotes, eles não estão sujeitos a filtros de serviço de saída. Os filtros de serviço afetam apenas o tráfego não traduzido.