Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configurando um filtro para limitar o acesso do TCP a uma porta baseada em uma lista de prefixos

Este exemplo mostra como configurar um filtro de firewall sem estado padrão que limita determinados tráfego de TCP e Internet Control Message Protocol (ICMP) destinados ao Mecanismo de Roteamento ao especificar uma lista de fontes de prefixo que contêm peers BGP permitidos.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você cria um filtro de firewall sem estado que bloqueia todas as tentativas de porta 179 de todos os solicitantes, exceto BGP peers que tenham um prefixo especificado.

Topologia

Uma lista de prefixos de origem é criada que especifica a lista de prefixos de origem que contêm plist_bgp179 peers BGP permitidos.

O filtro de firewall sem estado combina com todos os pacotes da lista de prefixos de filter_bgp179 origem plist_bgp179 até a porta de destino número 179.

Configuração

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da rede e, em seguida, copie e copie e colar os comandos na CLI no nível da [edit] hierarquia.

Configurar o filtro

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Como usar o Editor de CLI no modo de configuração no Guia de Usuários da CLI do Junos OS.

Para configurar o filtro:

  1. Expanda a lista de prefixos para incluir todos os prefixos apontados bgp179 pelo grupo BGP peer definido por protocols bgp group <*> neighbor <*> .

  2. Defina o termo de filtro que recusa tentativas de conexão TCP para porta 179 de todos os solicitantes, exceto os BGP peers especificados.

  3. Defina o outro termo de filtro para aceitar todos os pacotes.

  4. Aplique o filtro de firewall à interface de loopback.

Resultados

A partir do modo de configuração, confirme sua configuração show firewall inserindo os show interfaces comandos , e . show policy-options Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Exibindo o filtro de firewall aplicado à interface de loopback

Propósito

Verificar se o filtro de firewall é aplicado ao tráfego de entrada filter_bgp179 IPv4 na interface lo0.0 lógica.

Ação

Use o show interfaces statistics operational mode comando para interface lógica e inclua a lo0.0detail opção. Na seção da seção de saída de comando, o campo exibe o nome do filtro de firewall sem estado aplicado à interface lógica na Protocol inetInput Filters direção da entrada.