Nesta página
Exemplo: Aplicando listas de vários filtros de firewall
Este exemplo mostra como aplicar listas de vários filtros de firewall.
Requisitos
Antes de começar, tenha certeza de que tem:
-
Instalou seu roteador ou switch e suportei pic, DPC ou MPC e realizou a configuração inicial do roteador ou switch.
-
Configurou a Ethernet básica na topologia.
-
Configurou uma interface lógica para executar o protocolo
family inet
IP versão 4 (IPv4) e configurou a interface lógica com um endereço de interface. Este exemplo usa uma interfacege-1/3/0.0
lógica configurada com o endereço IP 172.16.1.2/30.Nota:Para integridade, a seção de configuração deste exemplo inclui a configuração de um endereço IP para interface
ge-1/3/0.0
lógica. -
Verifique se o tráfego está fluindo na topologia e que o tráfego IPv4 de entrada e saída está fluindo por uma interface
ge-1/3/0.0
lógica. -
Verifique se você tem acesso ao host remoto conectado à interface
ge-1/3/0.0
lógica deste roteador ou switch.
Os policiais/filtros de interface física não têm suporte para filtros de lista.
Visão geral
Neste exemplo, você configura três filtros de firewall IPv4 e aplica cada filtro diretamente na mesma interface lógica usando uma lista.
Topologia
Este exemplo aplica os seguintes filtros de firewall como uma lista de filtros de entrada na interface ge-1/3/0.0
lógica. Cada filtro contém um único termo que avalia pacotes IPv4 e aceita pacotes com base no valor do destination port
campo no cabeçalho do TCP:
Filtrar
filter_FTP
correspondências no número de porta FTP (21
).Filtrar
filter_SSH
correspondências no número da porta SSH (22
).Ajuste o filtro
filter_Telnet
no número da porta Telnet (23
).
Se um pacote de entrada não corresponder a nenhum dos filtros da lista de entrada, o pacote será descartado.
O Junos OS usa filtros em uma lista na ordem em que os nomes do filtro aparecem na lista. Neste exemplo simples, a ordem é irrelevante porque todos os filtros especificam a mesma ação.
Qualquer um dos filtros pode ser aplicado a outras interfaces, seja sozinho (usando a input
declaração ou output
declaração) ou em combinação com outros filtros (usando a declaração ou output-list
a input-list
declaração). O objetivo é configurar vários filtros de firewall "inflexíveis" que você pode reutilizar em listas de filtros específicas da interface.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
- Configuração rápida da CLI
- Configure vários filtros de firewall IPv4
- Aplique os filtros em uma interface lógica como uma lista de entrada e uma lista de saída
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de [edit]
hierarquia.
set firewall family inet filter filter_FTP term 0 from protocol tcp set firewall family inet filter filter_FTP term 0 from destination-port 21 set firewall family inet filter filter_FTP term 0 then count pkts_FTP set firewall family inet filter filter_FTP term 0 then accept set firewall family inet filter filter_SSH term 0 from protocol tcp set firewall family inet filter filter_SSH term 0 from destination-port 22 set firewall family inet filter filter_SSH term 0 then count pkts_SSH set firewall family inet filter filter_SSH term 0 then accept set firewall family inet filter filter_Telnet term 0 from protocol tcp set firewall family inet filter filter_Telnet term 0 from destination-port 23 set firewall family inet filter filter_Telnet term 0 then count pkts_Telnet set firewall family inet filter filter_Telnet term 0 then accept set firewall family inet filter filter_discard term 1 then count pkts_discarded set firewall family inet filter filter_discard term 1 then discard set interfaces ge-1/3/0 unit 0 family inet address 172.16.1.2/30 set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_FTP set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_SSH set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_Telnet set interfaces ge-1/3/0 unit 0 family inet filter input-list filter_discard
Configure vários filtros de firewall IPv4
Procedimento passo a passo
Para configurar os filtros de firewall IPv4:
Navegue pela CLI até o nível de hierarquia no qual você configura filtros de firewall IPv4.
[edit] user@host# edit firewall family inet
Configure o primeiro filtro de firewall para contar e aceitar pacotes para a porta 21.
[edit firewall family inet] user@host# set filter filter_FTP term 0 from protocol tcp user@host# set filter filter_FTP term 0 from destination-port 21 user@host# set filter filter_FTP term 0 then count pkts_FTP user@host# set filter filter_FTP term 0 then accept
Configure o segundo filtro de firewall para contar e aceitar pacotes para a porta 22.
[edit firewall family inet] user@host# set filter filter_SSH term 0 from protocol tcp user@host# set filter filter_SSH term 0 from destination-port 22 user@host# set filter filter_SSH term 0 then count pkt_SSH user@host# set filter filter_SSH term 0 then accept
Configure o terceiro filtro de firewall para contar e aceitar pacotes da porta 23.
[edit firewall family inet] user@host# set filter filter_Telnet term 0 from protocol tcp user@host# set filter filter_Telnet term 0 from destination-port 23 user@host# set filter filter_Telnet term 0 then count pkts_Telnet user@host# set filter filter_Telnet term 0 then accept
Configure o último filtro de firewall para contar os pacotes descartados.
[edit firewall family inet] user@host# set filter filter_discard term 1 then count pkts_discarded user@host# set filter filter_discard term 1 then discard
Aplique os filtros em uma interface lógica como uma lista de entrada e uma lista de saída
Procedimento passo a passo
Para aplicar os seis filtros de firewall IPv4 como uma lista de filtros de entrada e uma lista de filtros de saída:
Navegue pela CLI até o nível de hierarquia no qual você aplica filtros de firewall IPv4 à interface
ge-1/3/0.0
lógica.[edit] user@host# edit interfaces ge-1/3/0 unit 0 family inet
Configure a família de protocolo IPv4 para a interface lógica.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set address 172.16.1.2/30
Aplique os filtros como uma lista de filtros de entrada.
[edit interfaces ge-1/3/0 unit 0 family inet] user@host# set filter input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração dos filtros de firewall entrando no comando do
show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter filter_FTP { term 0 { from { protocol tcp; destination-port 21; } then { count pkts_FTP; accept; } } } filter filter_SSH { term 0 { from { protocol tcp; destination-port 22; } then { count pkts_SSH; accept; } } } filter filter_Telnet { term 0 { from { protocol tcp; destination-port 23; } then { count pkts_Telnet; accept; } } } filter filter_discard { term 1 { then { count pkts_discarded; discard; } } } }
Confirme a configuração da interface entrando no comando do
show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces ge-1/3/0 { unit 0 { family inet { filter { input-list [ filter_FTP filter_SSH filter_Telnet filter_discard ]; } address 172.16.1.2/30; } } }
Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Confirme se a configuração está funcionando corretamente.
Verificar se os pacotes de entrada só são aceitos se destinados à porta FTP, SSH ou Telnet
Propósito
Verifique se os três filtros estão ativos para a interface lógica.
Ação
Para verificar se os pacotes de entrada são aceitos de acordo com os três filtros:
A partir do host remoto que está conectado à interface
ge-1/3/0.0
lógica deste roteador (ou switch), envie um pacote com a porta de destino número 21 no cabeçalho. O pacote deve ser aceito.A partir do host remoto que está conectado à interface
ge-1/3/0.0
lógica deste roteador (ou switch), envie um pacote com a porta de destino número 22 no cabeçalho. O pacote deve ser aceito.A partir do host remoto que está conectado à interface
ge-1/3/0.0
lógica deste roteador (ou switch), envie um pacote com a porta de destino número 23 no cabeçalho. O pacote deve ser aceito.A partir do host remoto conectado à interface
ge-1/3/0.0
lógica deste roteador (ou switch), envie um pacote com um número de porta de destino diferente de 21, 22 ou 23. O pacote deve ser descartado.-
Para exibir informações de balcão para a lista de filtros aplicados à entrada no
ge-1/3/0.0
comando doshow firewall filter ge-1/3/0.0-inet-i
modo operacional. A saída de comando exibe o número de bytes e pacotes que correspondem aos termos do filtro associados aos seguintes contadores:-
pkts_FTP-ge-1/3/0.0-inet-i
-
pkts_SSH-ge-1/3/0.0-inet-i
-
pkts_Telnet-ge-1/3/0.0-inet-i
-
pkts_discard-ge-1/3/0.0-inet-i
-