Nesta página
Exemplo: Referências de nesting a vários filtros de firewall
Este exemplo mostra como configurar referências aninhadas a vários filtros de firewall.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você configura um filtro de firewall para uma combinação de condições de correspondência e ação que pode ser compartilhada entre vários filtros de firewall. Em seguida, você configura dois filtros de firewall que fazem referência ao primeiro filtro de firewall. Mais tarde, se os critérios comuns de filtragem precisarem ser alterados, você modificará apenas a única configuração de filtro de firewall compartilhada.
Topologia
O common_filter filtro de firewall descarta pacotes que tenham uma fonte UDP ou um número de campo de porta de destino de 69. Ambos os dois filtros filter1 de firewall adicionais e filter2, referência a common_filter.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
- Configuração rápida da CLI
- Configure os filtros de firewall aninhados
- Aplique ambos os filtros de firewall aninhados nas interfaces
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de [edit] hierarquia.
set firewall family inet filter common_filter term common_term from protocol udp set firewall family inet filter common_filter term common_term from port tftp set firewall family inet filter common_filter term common_term then discard set firewall family inet filter filter1 term term1 filter common_filter set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter2 term term1 filter common_filter set firewall family inet filter filter2 term term2 from protocol udp set firewall family inet filter filter2 term term2 from port bootps set firewall family inet filter filter2 term term2 then accept set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter1 set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Configure os filtros de firewall aninhados
Procedimento passo a passo
Para configurar dois filtros de firewall aninhados que compartilham um filtro comum:
Navegue pela CLI até o nível de hierarquia no qual você configura filtros de firewall IPv4.
[edit] user@host# edit firewall family inet
Configure o filtro comum que será referenciado por vários outros filtros.
[edit firewall family inet] user@host# set filter common_filter term common_term from protocol udp user@host# set filter common_filter term common_term from port tftp user@host# set filter common_filter term common_term then discard
Configure um filtro que faz referência ao filtro comum.
[edit firewall family inet] user@host# set filter filter1 term term1 filter common_filter user@host# set filter filter1 term term2 from address 192.168.0.0/16 user@host# set filter filter1 term term2 then reject
Configure um segundo filtro que faz referência ao filtro comum.
[edit firewall family inet] user@host# set filter filter2 term term1 filter common_filter user@host# set filter filter2 term term2 from protocol udp user@host# set filter filter2 term term2 from port bootps user@host# set filter filter2 term term2 then accept
Aplique ambos os filtros de firewall aninhados nas interfaces
Procedimento passo a passo
Para aplicar ambos os filtros de firewall aninhados em interfaces lógicas:
Aplique o primeiro filtro aninhado em uma entrada de interface lógica.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter1
Aplique o segundo filtro aninhado em uma entrada de interface lógica.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall entrando no comando do
show firewallmodo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter common_filter { term common_term { from { protocol udp; port tftp; } then { discard; } } } filter filter1 { term term1 { filter common_filter; } term term2 { from { address 192.168/16; } then { reject; } } } filter filter2 { term term1 { filter common_filter; } term term2 { from { protocol udp; port bootps; } then { accept; } } } }Confirme a configuração da interface entrando no comando do
show interfacesmodo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { filter { input filter1; } address 10.1.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { filter { input filter2; } address 10.1.3.1/24; } } }Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para confirmar se a configuração está funcionando corretamente, insira os comandos de show firewall filter filter1 modo operacional e show firewall filter filter2 operacional.