Nesta página
Exemplo: Configuração e aplicação de um filtro de firewall sem estado para combinar pacotes recebidos em um grupo de interface
Os filtros de firewall são essenciais para proteger uma rede e simplificar o gerenciamento de rede. No Junos OS, você pode configurar filtros de firewall stateless para controlar o trânsito de pacotes de dados pelo sistema e manipular pacotes conforme necessário. Aplicar um filtro de firewall sem estado para combinar pacotes recebidos em um grupo de interface ajuda a filtrar pacotes que transitam por cada interface no grupo de interface. Este exemplo mostra como configurar um filtro de firewall sem estado padrão para combinar pacotes marcados para um determinado grupo de interface.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Quaisquer dois roteadores ou switches da Juniper Networks que estejam conectados física ou logicamente entre si por meio de interfaces pertencentes a uma instância de roteamento
Versão do Junos OS 7.4 ou posterior
Visão geral
Você pode aplicar um filtro de firewall sem estado para combinar pacotes recebidos em um grupo de interface.
Neste exemplo, você configura duas interfaces de roteador ou switch para pertencer ao grupo de interface. Você também configura um filtro de firewall sem estado com três termos. Em termo term1, o filtro corresponde a pacotes que foram marcados como recebidos nesse grupo de interface e contêm uma tag de protocolo ICMP. O filtro conta, registra e rejeita pacotes que correspondam às condições. A termo term2, o filtro corresponde a pacotes que contêm a tag de protocolo ICMP. O filtro conta, registra e aceita todos os pacotes compatíveis com a condição. A termo term3, o filtro conta todos os pacotes de trânsito.
Observe que todas as interfaces do grupo de interface devem pertencer a uma única instância de roteamento.
Quando você aplica um filtro de firewall em uma interface de loopback, a interface filtra todos os pacotes destinados ao Mecanismo de Roteamento.
A configuração rápida da CLI mostra a configuração para todos os dispositivos em Figura 1. O procedimento passo a passo da seção descreve as etapas do Dispositivo R1.
Configuração
- Configuração rápida da CLI
- Configure e aplique o filtro de firewall sem estado em um grupo de interface
- Resultados
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
Dispositivo R0
set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.1/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.1/30 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.1/30 set interfaces lo0 unit 0 family inet address 10.0.0.1/32
Dispositivo R1
set firewall family inet filter filter_if_group term term1 from interface-group 1 set firewall family inet filter filter_if_group term term1 from protocol icmp set firewall family inet filter filter_if_group term term1 then count if_group_counter1 set firewall family inet filter filter_if_group term term1 then log set firewall family inet filter filter_if_group term term1 then reject set firewall family inet filter filter_if_group term term2 from protocol icmp set firewall family inet filter filter_if_group term term2 then count if_group_counter2 set firewall family inet filter filter_if_group term term2 then log set firewall family inet filter filter_if_group term term2 then accept set firewall family inet filter filter_if_group term term3 then count default set interfaces ge-0/0/0 unit 0 family inet filter group 1 set interfaces ge-0/0/0 unit 0 family inet address 172.16.17.2/30 set interfaces ge-0/0/1 unit 0 family inet address 172.16.19.2/30 set interfaces ge-0/0/2 unit 0 family inet filter group 1 set interfaces ge-0/0/2 unit 0 family inet address 20.1.1.2/30 set interfaces lo0 unit 0 family inet address 20.0.0.1/32 set forwarding-options family inet filter input filter_if_group
Configure e aplique o filtro de firewall sem estado em um grupo de interface
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o filtro filter_if_group de firewall sem estado em um grupo de interface:
Crie o filtro de firewall sem estado
filter_if_group.[edit firewall] user@R1# edit family inet filter filter_if_group
Configure as interfaces e atribua duas interfaces ao grupo
1de interface.[edit interfaces] user@R1# set ge-0/0/0 unit 0 family inet filter group 1 user@R1# set ge-0/0/0 unit 0 family inet address 172.16.17.2/30 user@R1# set ge 0/0/1 unit 0 family inet address 172.16.19.2/30 user@R1# set ge-0/0/2 unit 0 family inet filter group 1 user@R1# set ge-0/0/2 unit 0 family inet address 20.1.1.2/30 user@R1# set lo0 unit 0 family inet address 20.0.0.1/32
Configure o termo
term1para combinar pacotes recebidos em grupo1de interface e com o protocolo ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term1 from interface-group 1 user@R1# set family inet filter filter_if_group term term1 from protocol icmp
Configure o termo
term1para contar, registrar e rejeitar todos os pacotes correspondentes.[edit firewall] user@R1# set family inet filter filter_if_group term term1 then count if_group_counter1 user@R1# set family inet filter filter_if_group term term1 then log user@R1# set family inet filter filter_if_group term term1 then reject
Configure o termo
term2para combinar pacotes com o protocolo ICMP.[edit firewall] user@R1# set family inet filter filter_if_group term term2 from protocol icmp
Configure o termo
term2para contar, registrar e aceitar todos os pacotes correspondentes.[edit firewall] user@R1# set family inet filter filter_if_group term term2 then count if_group_counter2 user@R1# set family inet filter filter_if_group term term2 then log user@R1# set family inet filter filter_if_group term term2 then accept
Configure o termo
term3para contar todos os pacotes de trânsito.[edit firewall] user@R1# set family inet filter filter_if_group term term3 then count default
Aplique o filtro de firewall na instância de roteamento.
[edit] user@R1# set forwarding-options family inet filter input filter_if_group
Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Resultados
A partir do modo de configuração, confirme sua configuração emitindo o show interfacese show firewallshow forwarding-options os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@R1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
filter {
group 1;
}
address 172.16.17.2/30;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.16.19.2/30;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
filter {
group 1;
}
address 20.1.1.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 20.0.0.1/32;
}
}
}
[edit]
user@R1# show firewall
family inet {
filter filter_if_group {
term term1 {
from {
interface-group 1;
protocol icmp;
}
then {
count if_group_counter1;
log;
reject;
}
}
term term2 {
from {
protocol icmp;
}
then {
count if_group_counter2;
log;
accept;
}
}
term term3 {
then count default;
}
}
}
[edit]
user@R1# show forwarding-options
family inet {
filter {
input filter_if_group;
}
}
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando a configuração das interfaces
- Verificação da configuração do filtro de firewall sem estado
Verificando a configuração das interfaces
Propósito
Verifique se as interfaces estão configuradas corretamente.
Ação
Para exibir o estado das interfaces, use o comando do show interfaces terse modo operacional.
Dispositivo R0
user@R0> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.1/30
multiservice
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.1/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.1/30
multiservice
lo0 up up
lo0.0 up up inet 10.0.0.1 --> 0/0Dispositivo R1
user@R1> show interfaces terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up inet 172.16.17.2/30
multiservice
...
ge-0/0/1 up up
ge-0/0/1.0 up up inet 172.16.19.2/30
multiservice
ge-0/0/2 up up
ge-0/0/2.0 up up inet 20.1.1.2/30
multiservice
...Significado
Todas as interfaces dos dispositivos R0 e R1 estão fisicamente conectadas e ativas. O grupo 1 de interface no dispositivo R1 consiste em duas interfaces, ou seja, ge-0/0/0.0 e ge-0/0/2.0.
Verificação da configuração do filtro de firewall sem estado
Propósito
Verifique se as condições de correspondência do filtro de firewall estão configuradas corretamente.
Ação
Para exibir os contadores de filtro de firewall, insira o comando do
show firewall filter filter_if_groupmodo operacional.user@R1> show firewall filter filter_if_group Filter: filter_if_group Counters: Name Bytes Packets default 192975 3396 if_group_counter1 2520 30 if_group_counter2 2604 41
Para exibir o log local de cabeçalhos de pacotes para pacotes avaliados pelo filtro de firewall, insira o comando do
show firewall logmodo operacional.user@R1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 22:27:33 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:33 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:32 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:32 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:31 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:31 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:30 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:30 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe A lo0.0 ICMP 20.1.1.2 20.1.1.1 22:27:29 pfe R ge-0/0/2.0 ICMP 20.1.1.1 20.1.1.2 22:27:21 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:20 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:19 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:18 pfe A ge-0/0/1.0 ICMP 172.16.19.1 172.16.19.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:04 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:04 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:02 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:02 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:01 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:01 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:27:00 pfe A lo0.0 ICMP 172.16.17.2 172.16.17.1 22:27:00 pfe R ge-0/0/0.0 ICMP 172.16.17.1 172.16.17.2 22:24:48 filter_if_group A fxp0.0 ICMP 10.92.16.2 10.92.26.176
Para garantir que os filtros de firewall estejam ativos no grupo
1de interface no dispositivo R1, use o comando deping <address>modo operacional na CLI do dispositivo R0.user@R0> ping 172.16.17.2 PING 172.16.17.2 (172.16.17.2): 56 data bytes 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f46b 0 0000 40 01 6239 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f479 0 0000 40 01 622b 172.16.17.1 172.16.17.2 36 bytes from 172.16.17.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f487 0 0000 40 01 621d 172.16.17.1 172.16.17.2
user@R0> ping 20.1.1.2 PING 20.1.1.2 (20.1.1.2): 56 data bytes 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5bd 0 0000 40 01 5ae7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5cd 0 0000 40 01 5ad7 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5d9 0 0000 40 01 5acb 20.1.1.1 20.1.1.2 36 bytes from 20.1.1.2: Communication prohibited by filter Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 0054 f5f6 0 0000 40 01 5aae 20.1.1.1 20.1.1.2
Para garantir que o filtro de firewall não seja aplicado em uma interface que não esteja em grupo
1de interface, use o comando deping <address>modo operacional na CLI do dispositivo R0.user@R0> ping 172.16.19.2 PING 172.16.19.2 (172.16.19.2): 56 data bytes 64 bytes from 172.16.19.2: icmp_seq=0 ttl=64 time=8.689 ms 64 bytes from 172.16.19.2: icmp_seq=1 ttl=64 time=4.076 ms 64 bytes from 172.16.19.2: icmp_seq=2 ttl=64 time=8.501 ms 64 bytes from 172.16.19.2: icmp_seq=3 ttl=64 time=3.954 ms ...
Significado
O filtro de firewall sem estado é aplicado a todas as interfaces do grupo 1de interface. O termo term1 condição de correspondência no filtro de firewall stateless conta, registra e rejeita pacotes que são recebidos ou enviados das interfaces em grupo 1 de interface e com um protocolo ICMP de origem. O termo term2 condição de correspondência corresponde a pacotes marcados com o protocolo ICMP e contagens, logs e aceita esses pacotes. O termo term3 condição de correspondência conta todos os pacotes de trânsito.