Nesta página
Exemplo: Configuração de registro para um termo de filtro de firewall
Este exemplo mostra como configurar um filtro de firewall para registrar cabeçalhos de pacotes.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você usa um filtro de firewall que registra e conta pacotes ICMP que têm como origem ou destino.192.168.207.222
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja .Use o editor de CLI no modo de configuração
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure o arquivo de mensagens Syslog para a instalação do firewall
- Configure o filtro de firewall
- Aplique o filtro de firewall em uma interface lógica
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de hierarquia.[edit]
set system syslog file messages_firewall_any firewall any set system syslog file messages_firewall_any archive no-world-readable set firewall family inet filter icmp_syslog term icmp_match from address 192.168.207.222/32 set firewall family inet filter icmp_syslog term icmp_match from protocol icmp set firewall family inet filter icmp_syslog term icmp_match then count packets set firewall family inet filter icmp_syslog term icmp_match then syslog set firewall family inet filter icmp_syslog term icmp_match then accept set firewall family inet filter icmp_syslog term default_term then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input icmp_syslog
Configure o arquivo de mensagens Syslog para a instalação do firewall
Procedimento passo a passo
Para configurar um arquivo de mensagens de syslog para a instalação:firewall
Configure um arquivo de mensagens para todas as mensagens de syslog geradas para a instalação.
firewalluser@host# set system syslog file messages_firewall_any firewall any
Restrinja a permissão aos arquivos de syslog de instalação arquivados para o usuário raiz e usuários que tenham a permissão de manutenção do Junos OS.
firewalluser@host# set system syslog file messages_firewall_any archive no-world-readable
Configure o filtro de firewall
Procedimento passo a passo
Para configurar o filtro de firewall que registra e conta pacotes ICMP que têm como origem ou destino:icmp_syslog192.168.207.222
Crie o filtro de firewall.
icmp_syslog[edit] user@host# edit firewall family inet filter icmp_syslog
Configure a correspondência no protocolo ICMP e em um endereço.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match from address 192.168.207.222/32 user@host# set term icmp_match from protocol icmp
Conte, faça login e aceite pacotes correspondentes.
[edit firewall family inet filter icmp_syslog] user@host# set term icmp_match then count packets user@host# set term icmp_match then syslog user@host# set term icmp_match then accept
Aceite todos os outros pacotes.
[edit firewall family inet filter icmp_syslog] user@host# set term default_term then accept
Aplique o filtro de firewall em uma interface lógica
Procedimento passo a passo
Para aplicar o filtro de firewall a uma interface lógica:
Configure a interface lógica à qual você aplicará o filtro de firewall.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure o endereço da interface para a interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique o filtro de firewall na interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input icmp_syslog
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do arquivo de mensagens de syslog para a instalação inserindo o comando do modo de configuração.
firewallshow systemSe a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show system syslog { file messages_firewall_any { firewall any; archive no-world-readable; } }Confirme a configuração do filtro de firewall entrando no comando do modo de configuração.
show firewallSe a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter icmp_syslog { term icmp_match { from { address { 192.168.207.222/32; } protocol icmp; } then { count packets; syslog; accept; } } term default_term { then accept; } } }Confirme a configuração da interface entrando no comando do modo de configuração.
show interfacesSe a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input icmp_syslog; } address 10.1.2.3/30; } } }Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para confirmar que a configuração está funcionando corretamente, insira o comando:show log filter
user@host> show log messages_firewall_any Mar 20 08:03:11 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (1 packets)
Este arquivo de saída contém os seguintes campos:
Date and Time— Data e hora em que o pacote foi recebido (não mostrado no padrão).Filtrar a ação:
A— Aceite (ou no próximo termo)D— DescarteR— Rejeitar
Protocol— Nome ou número do protocolo do packet.Source address— Endereço IP de origem no pacote.Destination address— Endereço IP de destino no pacote.Nota:Se o protocolo for ICMP, o tipo e o código do ICMP serão exibidos. Para todos os outros protocolos, as portas de origem e destino são exibidas.
Os dois últimos campos (ambos zero) são as portas TCP/UDP de origem e destino, respectivamente, e são mostrados apenas para pacotes TCP ou UDP. Esta mensagem de log indica que apenas um pacote para esta correspondência foi detectado em cerca de 1 segundo de intervalo. Se os pacotes chegarem mais rápido, a função log do sistema comprime as informações para que menos saída seja gerada e exibe uma saída semelhante à seguinte:
user@host> show log messages_firewall_any Mar 20 08:08:45 hostname feb FW: so-0/1/0.0 A icmp 192.168.207.222 192.168.207.223 0 0 (515 packets)