Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Aplicação de listas de vários filtros de firewall

Este exemplo mostra como aplicar listas de vários filtros de firewall.

Requisitos

Antes de começar, certifique-se de que você tem:

  • Instalei seu roteador ou switch e suporte a PIC, DPC ou MPC e realizamos a configuração inicial do roteador ou switch.

  • Ethernet básica configurada na topologia.

  • Configurar uma interface lógica para executar o protocolo IP versão 4 (IPv4) e configurar a interface lógica family inet com um endereço de interface. Este exemplo usa interface lógica ge-1/3/0.0 configurada com o endereço IP 172.16.1.2/30.

    Nota:

    Para completar, a seção de configuração deste exemplo inclui a configuração de um endereço IP para interface ge-1/3/0.0 lógica.

  • Verificamos que o tráfego está fluindo na topologia e que o tráfego IPv4 de entrada e saída está fluindo pela interface ge-1/3/0.0 lógica.

  • Verificar se você tem acesso ao host remoto conectado à interface lógica deste roteador ou ge-1/3/0.0 switch.

Visão geral

Neste exemplo, você configura três filtros de firewall IPv4 e aplica cada filtro diretamente à mesma interface lógica usando uma lista.

Topologia

Este exemplo aplica os seguintes filtros de firewall como uma lista de filtros de entrada na interface ge-1/3/0.0 lógica. Cada filtro contém um único termo que avalia pacotes IPv4 e aceita pacotes com base no valor do campo destination port no header TCP:

  • O filter_FTP filtro combina com o número da porta do FTP ( 21 ).

  • O filter_SSH filtro combina com o número da porta SSH ( 22 ).

  • O filter_Telnet filtro combina com o número da porta da telnet ( 23 ).

Se um pacote de entrada não combinar com nenhum dos filtros da lista de entrada, o pacote será descartado.

Nota:

O Junos OS usa filtros em uma lista na ordem na qual os nomes do filtro aparecem na lista. Neste exemplo simples, a ordem é irrelevante, porque todos os filtros especificam a mesma ação.

Qualquer um dos filtros pode ser aplicado a outras interfaces, seja sozinho (usando a declaração ou declaração) ou combinado com outros filtros inputoutput (usando input-list a output-list instrução ou a afirmação). O objetivo é configurar vários filtros de firewall "minimalistas" que você pode reutilizar em listas de filtros específicas da interface.

Configuração

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Usando o CLI Editor no modo de configuração .

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, copie os comandos na CLI no nível [edit] da hierarquia.

Configurar vários filtros de firewall IPv4

Procedimento passo a passo

Para configurar os filtros de firewall IPv4:

  1. Navegar pela CLI até o nível da hierarquia no qual você configura filtros de firewall IPv4.

  2. Configure o primeiro filtro de firewall para contar e aceitar pacotes para a porta 21.

  3. Configure o segundo filtro de firewall para contar e aceitar pacotes para a porta 22.

  4. Configure o terceiro filtro de firewall para contar e aceitar pacotes da porta 23.

  5. Configure o último filtro de firewall para contar os pacotes descartados.

Aplique os filtros a uma interface lógica como uma lista de entradas e uma lista de saída

Procedimento passo a passo

Para aplicar os seis filtros de firewall IPv4 como uma lista de filtros de entrada e uma lista de filtros de saída:

  1. Navegar pela CLI até o nível da hierarquia no qual você aplica filtros de firewall IPv4 à interface ge-1/3/0.0 lógica.

  2. Configure a família de protocolo IPv4 para a interface lógica.

  3. Aplique os filtros como uma lista de filtros de entrada.

Confirmar e confirmar a configuração do seu candidato

Procedimento passo a passo

Para confirmar e confirmar a configuração do seu candidato:

  1. Confirmar a configuração dos filtros de firewall inserindo o comando show firewall modo de configuração. Se a saída do comando não mostrar a configuração pretendido, repetirá as instruções neste exemplo para corrigir a configuração.

  2. Confirmar a configuração da interface inserindo o comando show interfaces modo de configuração. Se a saída do comando não mostrar a configuração pretendido, repetirá as instruções neste exemplo para corrigir a configuração.

  3. Caso você tenha terminado de configurar o dispositivo, compromete a configuração do seu candidato.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificar se os pacotes de entrada são aceitos somente se destinados à porta FTP, SSH ou Telnet

Propósito

Verificar se todos os três filtros estão ativos para a interface lógica.

Ação

Para verificar se os pacotes de entrada são aceitos de acordo com os três filtros:

  1. Do host remoto que está conectado à interface lógica (ou switch) deste roteador, envie um pacote com a porta de destino ge-1/3/0.0 número 21 no header. O pacote deve ser aceito.

  2. Do host remoto que está conectado à interface lógica (ou switch) deste roteador, envie um pacote com a porta de destino ge-1/3/0.0 número 22 no header. O pacote deve ser aceito.

  3. Do host remoto que está conectado à interface lógica (ou switch) deste roteador, envie um pacote com a porta de destino ge-1/3/0.0 número 23 no header. O pacote deve ser aceito.

  4. Do host remoto conectado à interface lógica (ou switch) deste roteador, envie um pacote com um número de porta de destino que não ge-1/3/0.0 seja 21, 22 ou 23. O pacote deve ser descartado.

  5. Para exibir informações de conta para a lista de filtros aplicados à entrada no ge-1/3/0.0-inet-i comando enter the operational show firewall filter ge-1/3/0.0-inet-i mode. A saída de comando exibe o número de bytes e pacotes que combinam termos de filtro associados aos seguintes contadores:

    • pkts_FTP-ge-1/3/0.0-inet-i

    • pkts_SSH-ge-1/3/0.0-inet-i

    • pkts_Telnet-ge-1/3/0.0-inet-i

    • pkts_discard-ge-1/3/0.0-inet-i