Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Aplicando listas de vários filtros de firewall

Este exemplo mostra como aplicar listas de vários filtros de firewall.

Requisitos

Antes de começar, tenha certeza de que tem:

  • Instalou seu roteador ou switch e suportei pic, DPC ou MPC e realizou a configuração inicial do roteador ou switch.

  • Configurou a Ethernet básica na topologia.

  • Configurou uma interface lógica para executar o protocolofamily inet IP versão 4 (IPv4) e configurou a interface lógica com um endereço de interface. Este exemplo usa uma interface ge-1/3/0.0 lógica configurada com o endereço IP 172.16.1.2/30.

    Nota:

    Para integridade, a seção de configuração deste exemplo inclui a configuração de um endereço IP para interface ge-1/3/0.0lógica.

  • Verifique se o tráfego está fluindo na topologia e que o tráfego IPv4 de entrada e saída está fluindo por uma interface ge-1/3/0.0lógica.

  • Verifique se você tem acesso ao host remoto conectado à interface ge-1/3/0.0lógica deste roteador ou switch.

Nota:

Os policiais/filtros de interface física não têm suporte para filtros de lista.

Visão geral

Neste exemplo, você configura três filtros de firewall IPv4 e aplica cada filtro diretamente na mesma interface lógica usando uma lista.

Topologia

Este exemplo aplica os seguintes filtros de firewall como uma lista de filtros de entrada na interface ge-1/3/0.0lógica. Cada filtro contém um único termo que avalia pacotes IPv4 e aceita pacotes com base no valor do destination port campo no cabeçalho do TCP:

  • Filtrar filter_FTP correspondências no número de porta FTP (21).

  • Filtrar filter_SSH correspondências no número da porta SSH (22).

  • Ajuste o filtro filter_Telnet no número da porta Telnet (23).

Se um pacote de entrada não corresponder a nenhum dos filtros da lista de entrada, o pacote será descartado.

Nota:

O Junos OS usa filtros em uma lista na ordem em que os nomes do filtro aparecem na lista. Neste exemplo simples, a ordem é irrelevante porque todos os filtros especificam a mesma ação.

Qualquer um dos filtros pode ser aplicado a outras interfaces, seja sozinho (usando a input declaração ou output declaração) ou em combinação com outros filtros (usando a declaração ou output-list a input-list declaração). O objetivo é configurar vários filtros de firewall "inflexíveis" que você pode reutilizar em listas de filtros específicas da interface.

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de [edit] hierarquia.

Configure vários filtros de firewall IPv4

Procedimento passo a passo

Para configurar os filtros de firewall IPv4:

  1. Navegue pela CLI até o nível de hierarquia no qual você configura filtros de firewall IPv4.

  2. Configure o primeiro filtro de firewall para contar e aceitar pacotes para a porta 21.

  3. Configure o segundo filtro de firewall para contar e aceitar pacotes para a porta 22.

  4. Configure o terceiro filtro de firewall para contar e aceitar pacotes da porta 23.

  5. Configure o último filtro de firewall para contar os pacotes descartados.

Aplique os filtros em uma interface lógica como uma lista de entrada e uma lista de saída

Procedimento passo a passo

Para aplicar os seis filtros de firewall IPv4 como uma lista de filtros de entrada e uma lista de filtros de saída:

  1. Navegue pela CLI até o nível de hierarquia no qual você aplica filtros de firewall IPv4 à interface ge-1/3/0.0lógica.

  2. Configure a família de protocolo IPv4 para a interface lógica.

  3. Aplique os filtros como uma lista de filtros de entrada.

Confirme e confirme a configuração do seu candidato

Procedimento passo a passo

Para confirmar e então confirmar a configuração do seu candidato:

  1. Confirme a configuração dos filtros de firewall entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  2. Confirme a configuração da interface entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  3. Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificar se os pacotes de entrada só são aceitos se destinados à porta FTP, SSH ou Telnet

Propósito

Verifique se os três filtros estão ativos para a interface lógica.

Ação

Para verificar se os pacotes de entrada são aceitos de acordo com os três filtros:

  1. A partir do host remoto que está conectado à interface ge-1/3/0.0lógica deste roteador (ou switch), envie um pacote com a porta de destino número 21 no cabeçalho. O pacote deve ser aceito.

  2. A partir do host remoto que está conectado à interface ge-1/3/0.0lógica deste roteador (ou switch), envie um pacote com a porta de destino número 22 no cabeçalho. O pacote deve ser aceito.

  3. A partir do host remoto que está conectado à interface ge-1/3/0.0lógica deste roteador (ou switch), envie um pacote com a porta de destino número 23 no cabeçalho. O pacote deve ser aceito.

  4. A partir do host remoto conectado à interface ge-1/3/0.0lógica deste roteador (ou switch), envie um pacote com um número de porta de destino diferente de 21, 22 ou 23. O pacote deve ser descartado.

  5. Para exibir informações de balcão para a lista de filtros aplicados à entrada no ge-1/3/0.0 comando do show firewall filter ge-1/3/0.0-inet-i modo operacional. A saída de comando exibe o número de bytes e pacotes que correspondem aos termos do filtro associados aos seguintes contadores:

    • pkts_FTP-ge-1/3/0.0-inet-i

    • pkts_SSH-ge-1/3/0.0-inet-i

    • pkts_Telnet-ge-1/3/0.0-inet-i

    • pkts_discard-ge-1/3/0.0-inet-i