Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de um filtro para limitar o acesso TCP a uma porta com base em uma lista de prefixo

Este exemplo mostra como configurar um filtro de firewall sem estado padrão que limita determinado tráfego de TCP e protocolo de mensagem de controle de Internet (ICMP) destinado ao Mecanismo de Roteamento especificando uma lista de fontes de prefixo que contêm pares BGP permitidos.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você cria um filtro de firewall sem estado que bloqueia todas as tentativas de conexão de TCP de portar 179 de todos os solicitantes, exceto os pares BGP que têm um prefixo especificado.

Topologia

Uma lista plist_bgp179de prefixo de origem é criada que especifica a lista de prefixos de origem que contêm peers BGP permitidos.

O filtro filter_bgp179 de firewall stateless corresponde a todos os pacotes da lista plist_bgp179 de prefixo de origem à porta de destino número 179.

Configuração

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Configure o filtro

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar o filtro:

  1. Expanda a lista bgp179 de prefixos para incluir todos os prefixos apontados pelo grupo de peer BGP definido por protocols bgp group <*> neighbor <*>.

  2. Defina o termo filtro que rejeita as tentativas de conexão de TCP de portar 179 de todos os solicitantes, exceto os pares BGP especificados.

  3. Definir o outro termo filtro para aceitar todos os pacotes.

  4. Aplique o filtro de firewall na interface de loopback.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show firewall, show interfacese show policy-options comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Exibição do filtro de firewall aplicado à interface de loopback

Propósito

Verifique se o filtro filter_bgp179 de firewall é aplicado ao tráfego de entrada IPv4 na interface lo0.0lógica.

Ação

Use o show interfaces statistics operational mode comando para interface lo0.0lógica e inclua a opção detail . Sob a Protocol inet seção da seção de saída de comando, o Input Filters campo exibe o nome do filtro de firewall stateless aplicado à interface lógica na direção de entrada.