Nesta página
Exemplo: Usando cadeias de filtro de firewall
Este exemplo mostra o uso de cadeias de filtro de firewall. Os filtros de firewall 1, filter2 e filter3 são aplicados à interface ge-0/1/1.0 usando as declarações e as declarações de configuração.input-chain
output-chain
Requisitos
Antes de começar:
-
Você deve ter um roteador da Série MX com MPCs e executando o junos versão 18.4R1 ou posterior.
Se você estiver usando roteadores PTX10001-36MR, PTX10004, PTX10008 ou PTX10016 para este recurso, instale o Junos OS Evolved Release 21.4R1.
O roteador deve ser configurado para protocolo IP versão 4 (IPv4) e configurado a interface lógica com um endereço de interface.
family inet
Todas as outras configurações iniciais do roteador devem estar completas, com conectividade IPv4 básica entre os dispositivos confirmada.O tráfego que você envia deve ser compatível com as regras do filtro de firewall para que as regras configuradas por você possam combinar com o tráfego de teste que você envia.
Visão geral
Esses exemplos mostram como acorrentar vários filtros de firewall para entrada e saída para que possam ser aplicados a uma determinada interface e avaliados em sequência. A ordem de execução ocorre na mesma ordem que a cadeia, da esquerda para a direita.
O uso de cadeias de filtro (em oposição ao filtro da lista de entrada) tem a vantagem de permitir vários níveis de filtragem, como o uso de um filtro inicial para realizar classificação genérica (como QoS), e depois um ou mais filtros subsequentes para refinamento adicional (como segurança) porque evitam o conflito herdado que pode vir quando os endereços IP usados na avaliação se sobrepõem.
A partir do Junos OS Evolved Release 21.4R1, você pode usar cadeias de filtro de firewall em roteadores PTX10001-36MR, PTX10004, PTX10008 e PTX10016.
Você pode aplicar a cadeia de filtro da seguinte forma:
set interfaces interface-name unit unit family inet filter input-chain [filter1 filter2 filter3];
set interfaces interface-name unit unit family inet filter output-chain [filter1 filter2 filter3];
Nas plataformas PTX Evo, o recurso tem as seguintes limitações:
-
Você pode configurar apenas o primeiro filtro em uma cadeia de filtros como uma interface específica. Nos roteadores da Série MX, você pode configurar todos os filtros em uma cadeia de filtros como interface específica.
-
Você não pode configurar os mesmos filtros que parte de um filtro CLI e filtros de cadeia regulares no mesmo ponto de ligação específico da interface. Nesses pontos de ligação específicos da interface, substitua o filtro CLI existente por cadeias de filtro ou vice-versa e os comprometa separadamente, para evitar um erro.
-
Você não pode configurar filtros de cadeia junto com "family ANY" e interface-policers no mesmo ponto de ligação.
-
Em interfaces de loopback, os filtros de cadeia de saída não são suportados.
-
Em interfaces de loopback, você não pode configurar filtros regulares de CLI de entrada e filtros de cadeia.
-
Para interfaces IRB, você não pode configurar tanto cadeias de filtro específicas de interface CLI regulares quanto cadeias de filtro.
-
Para a saída de estilo SP de Camada 2, você não pode configurar tanto filtros específicos da interface CLI regular quanto filtros de cadeia.
-
Filtros como não são suportados como parte de filtros de cadeia de CLI.
fast-lookup-filter
-
As cadeias de filtros CLI não são suportadas para filtros urpf-fail.
-
À medida que os filtros de saída para a família MPLS são suportados apenas e os filtros de cadeia não suportam filtros de pesquisa rápida, a verificação de confirmação relevante será fornecida enquanto configura os filtros de cadeia de saída MPLS da família.
fast-lookup-filter
Topologia
Neste exemplo, você configura vários filtros de firewall e depois os aplica em sequência encadeando-os a uma determinada interface. Este exemplo usa configurado com o endereço IP 172.16.1.1/30 para a cadeia de entrada e saída.ge-0/1/1.0
Se um pacote não corresponder a nenhum dos filtros da lista de cadeia, o pacote será descartado.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja .Use o editor de CLI no modo de configuração
- Configuração rápida da CLI
- Configure filtros de firewall IPv4
- Aplicar a cadeia de filtros de entrada
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de hierarquia.[edit]
Os nomes do filtro usados aqui estão , e assim por diante, enquanto os nomes de termo são (termo1, usando filtro1) e assim por diante.filter1t1_f1
set firewall family inet filter filter1 term t1_f1 from protocol tcp set firewall family inet filter filter1 term t1_f1 then count f1_t1_cnt set firewall family inet filter filter1 term t2_f1 from precedence 7 set firewall family inet filter filter1 term t2_f1 then count f1_t2_cnt set firewall family inet filter filter1 term t2_f1 then accept set firewall family inet filter filter2 term t1_f2 from dscp 0 set firewall family inet filter filter2 term t1_f2 then count f2_t1_cnt set firewall family inet filter filter2 term t2_f2 from source-port 1020 set firewall family inet filter filter2 term t2_f2 then count f2_t2_cnt set firewall family inet filter filter2 term t2_f2 then accept set firewall family inet filter filter3 term t1_f3 from destination-address 172.30.1.1/32 set firewall family inet filter filter3 term t1_f3 then count f3_t1_cnt set firewall family inet filter filter3 term t2_f3 from destination-port 5454 set firewall family inet filter filter3 term t2_f3 then count f3_t2_cnt set firewall family inet filter filter3 term t2_f3 then accept set interfaces ge-0/1/1 unit 0 family inet address 172.16.1.1/30 set interfaces ge-0/1/1 unit 0 family inet filter input-chain [ filter1 filter2 filter3 ] set interfaces ge-0/1/1 unit 0 family inet filter output-chain [ filter1 filter2 filter3 ]
Configure filtros de firewall IPv4
Aqui configuramos os filtros de firewall. Cada um tem condições de jogo diferentes e conta ações. Os dois primeiros filtros têm vários termos com a ação não terminante, o que significa que os pacotes correspondentes serão passados para o próximo filtro da cadeia, enquanto o terceiro tem uma ação de aceitação.count Os pacotes que não correspondem a nenhuma das condições especificadas seriam descartados.
Procedimento passo a passo
Para configurar os filtros de firewall:
Navegue pela CLI até o nível de hierarquia no qual você configura filtros de firewall IPv4.
[edit] user@host# edit firewall family inet
Configure o primeiro filtro de firewall para contar pacotes ou pacotes TCP com uma precedência de 7, antes de enviar para o próximo filtro da cadeia.
[edit firewall family inet] user@host# set filter filter1 term t1_f1 from protocol tcp user@host# set filter filter1 term t1_f1 then count f1_t1_cnt user@host# set filter filter1 term t2_f1 from precedence 7 user@host# set filter filter1 term t2_f1 then count f1_t2_cnt user@host# set filter filter1 term t2_f1 then accept
Configure o segundo filtro de firewall para contar pacotes ou pacotes DSCP com uma porta de origem de 1020, antes de mandá-los para o próximo filtro da cadeia.
[edit firewall family inet] user@host# set filter filter2 term t1_f2 from dscp 0 user@host# set filter filter2 term t1_f2 then count f2_t1_cnt user@host# set filter filter2 term t2_f2 from source-port 1020 user@host# set filter filter2 term t2_f2 then count f2_t2_cnt user@host# set filter filter2 term t2_f2 then accept
Configure o último filtro de firewall para contar e aceitar pacotes com um endereço de destino de 172.30.1.1/32, ou uma porta de destino de 5454.
[edit firewall family inet] user@host# set filter filter3 term t1_f3 from destination-address 172.30.1.1/32 user@host# set filter filter3 term t1_f3 then count f3_t1_cnt user@host# set filter filter3 term t2_f3 from destination-port 5454 user@host# set filter filter3 term t2_f3 then count f3_t2_cnt user@host# set filter filter3 term t2_f3 then accept
Aplicar a cadeia de filtros de entrada
Aqui, anexamos os filtros de firewall a uma determinada interface. A ordem de execução ocorre na mesma ordem que a cadeia, da esquerda para a direita.
Procedimento passo a passo
Para atribuir à interface um endereço IP:
Navegar até a interface que estamos usando para os filtros, .
ge-0/1/1.0
[edit] user@host# edit interfaces ge-0/1/1 unit 0 family inet
Atribua um endereço IPv4 à interface lógica.
[edit interfaces ge-0/1/1 unit 0 family inet] user@host# set address 172.16.1.1/30
Aplique os filtros como uma lista de filtros de entrada.
[edit interfaces ge-0/1/1 unit 0 family inet] user@host# set filter input-chain [ filter1 filter2 filter3 ] user@host# set filter out-chain [ filter1 filter2 filter3 ]
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração dos filtros de firewall entrando no comando do modo de configuração.
show firewall
Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit firewall] user@host# show family inet { } filter filter1 { term t1_f1 { from { protocol tcp; } then count f1_t1_cnt; accept; } term t2_f1 { from { precedence 7; } then count f1_t2_cnt; accept; } } filter filter2 { term t1_f2 { from { dscp 0; } then count f2_t1_cnt; } term t2_f2 { from { source-port 1020; } then count f2_t2_cnt; } } filter filter3 { term t1_f3 { from { destination-address { 172.30.1.1/32; } } then { count f3_t1_cnt; } } term t2_f3 { from { destination-port 5454; } then { count f3_t2_cnt; accept; } } } } }
Confirme a configuração da interface entrando no comando do modo de configuração.
show interfaces
[edit] user@host# show interfaces ge-0/1/1 { unit 0 { family inet { filter { input-chain [ filter1 filter2 filter3 ]; } address 172.16.1.1/30; } } }
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Confirme que a configuração funciona como esperado, ou seja, que o tráfego correspondente é avaliado por cada um dos filtros filtra1, filtro2 e filtro3, e que a ação esperada (contagem ou aceita) foi tomada.
Enviar tráfego através dos filtros de firewall
Propósito
Envie tráfego de um dispositivo para o roteador que você configurou para ver se os pacotes correspondentes estão sendo avaliados por todos os filtros relevantes da cadeia.
Ação
Para verificar se os pacotes de entrada são avaliados por filtro1, filtro2 e filtro3:
A partir do host remoto que está conectado, envie um pacote com uma precedência de 7. O pacote deve ser contado e depois avaliado por filtro2.
ge-0/1/1.0
A partir do host remoto que está conectado , envie um pacote com valor de DSCP de 0. O pacote deve ser contado e depois avaliado por filtro3.
ge-0/1/1.0
A partir do host remoto conectado, envie um pacote com um endereço de destino de 172.30.1.1.1/32 e uma porta de destino de 5454.
ge-0/1/1.0
O pacote deve ser contado e depois aceito.Para exibir informações de balcão para os filtros que você configurou, insira o comando do modo operacional.
show firewall filter filter-name
A saída de comando exibe o número de bytes e pacotes que correspondem aos termos do filtro associados aos contadores.