Exemplo: Configuração de um filtro de firewall em uma interface de gerenciamento em um switch da Série EX
Você pode configurar um filtro de firewall em uma interface de gerenciamento em um switch da Série EX para filtrar o tráfego de entrada ou saída na interface de gerenciamento do switch. Você pode usar serviços públicos como SSH ou Telnet para se conectar à interface de gerenciamento na rede e, em seguida, usar protocolos de gerenciamento, como o SNMP, para coletar dados estatísticos do switch.
Este exemplo discute como configurar um filtro de firewall em uma interface de gerenciamento para filtrar pacotes SSH que são retirados de um switch da Série EX:
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch da Série EX e um PC de gerenciamento
Versão 10.4 ou posterior do Junos OS para switches da Série EX
Visão geral e topologia
Topologia
Neste exemplo, um PC de gerenciamento estabelece uma conexão SSH com a interface de gerenciamento em um switch para gerenciar remotamente o switch. O endereço IP configurado para a interface de gerenciamento é 10.204.33.103/20. Um filtro de firewall é configurado na interface de gerenciamento para contar o número de pacotes de saída de uma porta SSH de origem na interface de gerenciamento. Quando o PC de gerenciamento estabelece a sessão de SSH com a interface de gerenciamento, a interface de gerenciamento devolve pacotes de SSH ao PC de gerenciamento para confirmar se a sessão está estabelecida. Esses pacotes SSH são filtrados com base na condição de correspondência especificada no filtro de firewall antes de serem encaminhados para o PC de gerenciamento. Como esses pacotes são gerados a partir da porta SSH de origem na interface de gerenciamento, eles cumprem a condição de correspondência especificada para a interface de gerenciamento. O número de pacotes SSH combinados fornece uma contagem do número de pacotes que passaram pela interface de gerenciamento. Um administrador de sistema pode usar essas informações para monitorar o tráfego de gerenciamento e tomar qualquer ação, se necessário.
Figura 1 mostra a topologia para este exemplo em que um PC de gerenciamento estabelece uma conexão SSH com o switch.
Configuração
Para configurar um filtro de firewall em uma interface de gerenciamento, execute essas tarefas:
Configuração rápida da CLI
Para criar e configurar rapidamente um filtro de firewall na interface de gerenciamento para filtrar pacotes SSH que estão sendo retirados da interface de gerenciamento, copiar os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set firewall family inet filter mgmt_fil1 term t1 from source-port ssh set firewall family inet filter mgmt_fil1 term t1 then count c1 set firewall family inet filter mgmt_fil1 term t2 then accept set interfaces me0 unit 0 family inet filter output mgmt_fil1
Procedimento passo a passo
Para configurar um filtro de firewall na interface de gerenciamento para filtrar pacotes SSH:
Configure o filtro de firewall que combina com pacotes SSH da porta de origem:
[edit] user@switch# set firewall family inet filter (Firewall Filters) mgmt_fil1 term t1 from source-port ssh user@switch# set firewall family inet filter mgmt_fil1 term t1 then count c1 user@switch# set firewall family inet filter mgmt_fil1 term t2 then accept
Essas declarações configuram um contador c1 para contar o número de pacotes SSH que são retirados da interface SSH de origem na interface de gerenciamento.
Definir o filtro de firewall para a interface de gerenciamento:
[edit] user@switch# set interfaces me0 unit 0 family inet filter output mgmt_fil1
Nota:Você também pode definir o filtro de firewall para uma interface VME.
Resultados
Confira os resultados da configuração:
[edit] user@switch# show interfaces { me0 { unit 0 { family inet { filter { output mgmt_fil1; } address 10.93.54.6/24; } } } } firewall { family inet { filter mgmt_fil1{ term t1 { from { source-port ssh; then count c1; } } term t2 { then accept; } } } }
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificando se o filtro de firewall está configurado em uma interface de gerenciamento
Propósito
Verifique se o filtro de firewall foi habilitado na interface de gerenciamento do switch.
Ação
Verifique se o filtro de firewall é aplicado à interface de gerenciamento:
[edit] user@switch# show interfaces me0 unit 0 { family inet { filter { output mgmt_fil1; } address 10.204.33.103/20; } }
Verifique o valor do contador associado ao filtro de firewall:
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 0 0
A partir do PC de gerenciamento, estabeleça uma sessão de shell segura com o switch:
[user@management-pc ~]$ ssh user@10.204.33.103
Verifique os valores do contador após a geração de pacotes SSH do switch em resposta à solicitação segura de sessão de shell pelo PC de gerenciamento:
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 3533 23
Significado
A saída indica que o filtro de firewall foi aplicado à interface de gerenciamento e o contra-valor indica que 23 pacotes SSH foram gerados a partir do switch.