Nesta página
Exemplo: Configurando um filtro para limitar o acesso do TCP a uma porta baseada em uma lista de prefixos
Este exemplo mostra como configurar um filtro de firewall sem estado padrão que limita determinados tráfego de TCP e Internet Control Message Protocol (ICMP) destinados ao Mecanismo de Roteamento ao especificar uma lista de fontes de prefixo que contêm peers BGP permitidos.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você cria um filtro de firewall sem estado que bloqueia todas as tentativas de porta 179 de todos os solicitantes, exceto BGP peers que tenham um prefixo especificado.
Topologia
Uma lista de prefixos de origem é criada que especifica a lista de prefixos de origem que contêm plist_bgp179 peers BGP permitidos.
O filtro de firewall sem estado combina com todos os pacotes da lista de prefixos de filter_bgp179 origem plist_bgp179 até a porta de destino número 179.
Configuração
Configuração rápida CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da rede e, em seguida, copie e copie e colar os comandos na CLI no nível da [edit] hierarquia.
set policy-options prefix-list plist_bgp179 apply-path "protocols bgp group <*> neighbor <*>" set firewall family inet filter filter_bgp179 term 1 from source-address 0.0.0.0/0 set firewall family inet filter filter_bgp179 term 1 from source-prefix-list plist_bgp179 except set firewall family inet filter filter_bgp179 term 1 from destination-port bgp set firewall family inet filter filter_bgp179 term 1 then reject set firewall family inet filter filter_bgp179 term 2 then accept set interfaces lo0 unit 0 family inet filter input filter_bgp179 set interfaces lo0 unit 0 family inet address 127.0.0.1/32
Configurar o filtro
Procedimento passo a passo
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Como usar o Editor de CLI no modo de configuração no Guia de Usuários da CLI do Junos OS.
Para configurar o filtro:
Expanda a lista de prefixos para incluir todos os prefixos apontados bgp179 pelo grupo BGP peer definido por protocols bgp group <*> neighbor <*> .
[edit policy-options prefix-list plist_bgp179] user@host# set apply-path " protocolsbgp group <*> neighbor <*>"
Defina o termo de filtro que recusa tentativas de conexão TCP para porta 179 de todos os solicitantes, exceto os BGP peers especificados.
[edit firewall family inet filter filter_bgp179] user@host# set term term1 from source-address 0.0.0.0/0 user@host# set term term1 from source-prefix-list bgp179 except user@host# set term term1 from destination-port bgp user@host# set term term1 then reject
Defina o outro termo de filtro para aceitar todos os pacotes.
[edit firewall family inet filter filter_bgp179] user@host# set term term2 then accept
Aplique o filtro de firewall à interface de loopback.
[edit interfaces lo0 unit 0 family inet] user@host# set filter input filter_bgp179 user@host# set address 127.0.0.1/32
Resultados
A partir do modo de configuração, confirme sua configuração show firewall inserindo os show interfaces comandos , e . show policy-options Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.
user@host# show firewall
family inet {
filter filter_bgp179 {
term 1 {
from {
source-address {
0.0.0.0/0;
}
source-prefix-list {
plist_bgp179 except;
}
destination-port bgp;
}
then {
reject;
}
}
term 2 {
then {
accept;
}
}
}
}
user@host# show interfaces
lo0 {
unit 0 {
family inet {
filter {
input filter_bgp179;
}
address 127.0.0.1/32;
}
}
}
user@host# show policy-options
prefix-list plist_bgp179 {
apply-path "protocols bgp group <*> neighbor <*>";
}
Caso você não configure o dispositivo, entre commit no modo de configuração.
Verificação
Confirmar se a configuração está funcionando corretamente.
Exibindo o filtro de firewall aplicado à interface de loopback
Propósito
Verificar se o filtro de firewall é aplicado ao tráfego de entrada filter_bgp179 IPv4 na interface lo0.0 lógica.
Ação
Use o show interfaces statistics operational mode comando para interface lógica e inclua a lo0.0detail opção. Na seção da seção de saída de comando, o campo exibe o nome do filtro de firewall sem estado aplicado à interface lógica na Protocol inetInput Filters direção da entrada.
[edit]
user@host> show interfaces statistics lo0.0 detail
Logical interface lo0.0 (Index 321) (SNMP ifIndex 16) (Generation 130)
Flags: SNMP-Traps Encapsulation: Unspecified
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: Unlimited, Generation: 145, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter_bgp179
Addresses, Flags: Primary
Destination: Unspecified, Local: 127.0.0.1, Broadcast: Unspecified, Generation: 138