Nesta página
Exemplo: Aninhar referências a vários filtros de firewall
Este exemplo mostra como configurar referências aninhadas a vários filtros de firewall.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você configura um filtro de firewall para uma combinação de condições e ação que podem ser compartilhadas entre vários filtros de firewall. Em seguida, configura dois filtros de firewall que referenciam o primeiro filtro de firewall. Mais tarde, se os critérios de filtragem comuns precisarem ser alterados, você modificará apenas a configuração de filtro de firewall compartilhado.
Topologia
O common_filter filtro de firewall descarta pacotes que tenham uma origem UDP ou um número de campo de porta de destino de 69 . Ambos os dois filtros de firewall adicionais filter1filter2 e, referência ao common_filter .
Configuração
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Nós e o CLI Editor em modo de configuração .
- Configuração rápida CLI
- Configure os filtros de firewall aninhados
- Aplique filtros de firewall aninhados às interfaces
- Confirmar e confirmar a configuração do seu candidato
Configuração rápida CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, copie os comandos na CLI no nível [edit] da hierarquia.
set firewall family inet filter common_filter term common_term from protocol udp set firewall family inet filter common_filter term common_term from port tftp set firewall family inet filter common_filter term common_term then discard set firewall family inet filter filter1 term term1 filter common-filter set firewall family inet filter filter1 term term2 from address 192.168.0.0/16 set firewall family inet filter filter1 term term2 then reject set firewall family inet filter filter2 term term1 filter common-filter set firewall family inet filter filter2 term term2 from protocol udp set firewall family inet filter filter2 term term2 from port bootps set firewall family inet filter filter2 term term2 then accept set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 set interfaces ge-0/0/0 unit 0 family inet filter input filter1 set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Configure os filtros de firewall aninhados
Procedimento passo a passo
Para configurar dois filtros de firewall aninhados que compartilham um filtro comum:
Navegar pela CLI até o nível da hierarquia no qual você configura filtros de firewall IPv4.
[edit] user@host# edit firewall family inet
Configure o filtro comum que será referenciado por vários outros filtros.
[edit firewall family inet] user@host# set filter common_filter term common_term from protocol udp user@host# set filter common_filter term common_term from port tftp user@host# set filter common_filter term common_term then discard
Configure um filtro que faz referência ao filtro comum.
[edit firewall family inet] user@host# set filter filter1 term term1 filter common-filter user@host# set filter filter1 term term2 from address 192.168.0.0/16 user@host# set filter filter1 term term2 then reject
Configure um segundo filtro que referencia o filtro comum.
[edit firewall family inet] user@host# set filter filter2 term term1 filter common-filter user@host# set filter filter2 term term2 from protocol udp user@host# set filter filter2 term term2 from port bootps user@host# set filter filter2 term term2 then accept
Aplique filtros de firewall aninhados às interfaces
Procedimento passo a passo
Para aplicar filtros de firewall aninhados a interfaces lógicas:
Aplique o primeiro filtro aninhado a uma entrada de interface lógica.
[edit] user@host# set interfaces ge-0/0/0 unit 0 family inet address 10.1.0.1/24 user@host# set interfaces ge-0/0/0 unit 0 family inet filter input filter1
Aplique o segundo filtro aninhado a uma entrada de interface lógica.
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.3.1/24 user@host# set interfaces ge-0/0/3 unit 0 family inet filter input filter2
Confirmar e confirmar a configuração do seu candidato
Procedimento passo a passo
Para confirmar e confirmar a configuração do seu candidato:
Confirmar a configuração do filtro de firewall inserindo o comando
show firewallmodo de configuração. Se a saída do comando não mostrar a configuração pretendido, repetirá as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter common_filter { term common_term { from { protocol udp; port tftp; } then { discard; } } } filter filter1 { term term1 { filter common-filter; } term term2 { from { address 192.168/16; } then { reject; } } } filter filter2 { term term1 { filter common-filter; } term term2 { from { protocol udp; port bootps; } then { accept; } } } }Confirmar a configuração da interface inserindo o comando
show interfacesmodo de configuração. Se a saída do comando não mostrar a configuração pretendido, repetirá as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet { filter { input filter1; } address 10.1.0.1/24; } } } ge-0/0/3 { unit 0 { family inet { filter { input filter2; } address 10.1.3.1/24; } } }Caso você tenha terminado de configurar o dispositivo, compromete a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para confirmar se a configuração está funcionando corretamente, insira os show firewall filter filter1 comandos do modo e do modo show firewall filter filter2 operacional.